Как заставить изменение пароля LUKS каждые 90 дней?

Используя Ubuntu 12.04 или Red Hat Enterprise Linux Desktop 6 для рабочего стола, как мы можем заставить пользователей менять свои пароли LUKS каждые 90 дней?

2 Solutions collect form web for “Как заставить изменение пароля LUKS каждые 90 дней?”

В этом нет особого смысла. Обычно регулярное изменение паролей состоит в том, что, если кто-то еще узнал ваш пароль, вы ограничиваете, как долго они могут его использовать. Но пароль LUKS используется для дешифрования главного ключа тома LUKS, который фактически используется для шифрования данных, поэтому, если кто-то узнает ваш пароль, он может использовать его для получения этого главного ключа. Изменение пароля не изменяет главный ключ – помните, что это ключ, используемый для фактического шифрования данных; изменение этого требует повторного шифрования всего диска, поэтому вы не лишаете злоумышленника доступа к диску.

(Обратите внимание, что это предполагает технически сложного злоумышленника, кто-то может найти или написать программу для разблокирования тома LUKS, используя основной ключ, а не кодовую фразу keylot. Изменение паролей может помочь против кого-то, кто знает, как взаимодействовать с обычным Запросить пароль LUKS – но против кого-то подобного вам, вероятно, не требуется шифрование диска вообще.)

AFAIK для этого нет инструментов. Вам необходимо сохранить данные (из заголовка раздела LUKS) и сравнить зашифрованные пароли (должно быть 8), чтобы убедиться, что они изменены (умный пользователь может изменить пароль и добавить старый в один из разных слоты).

Хорошая политика заключается в том, чтобы сохранить старые зашифрованные пароли, чтобы вы могли проверить, переполняется ли кто-то между использованием пароля A и пароля B.

  • Как сделать Dropbox сохранить учетные данные о сохранности Kali Rolling Luke в зашифрованном виде?
  • Установка Debian с зашифрованным root: установщик не видит EFI / загрузочный раздел
  • initramfs, LUKS и dm_mod не могут загружаться после обновления
  • Удалены ли удаленные тома LUKS локально с помощью sshfs, видимых для удаленных пользователей?
  • Могу ли я заставить grub вернуться в меню, когда я получу криптовальную кодовую фразу?
  • Ошибка монтирования при автоопределении USB-флэш-накопителя с шиной LUKS
  • Можно ли обнулить свободное пространство на томе LUKS?
  • Как изменить хеш-спецификацию и время-время существующего устройства LUMS dm-crypt?
  • Не удалось загрузить с помощью dracut и luks: '/ dev / resume': файл существует
  • Раздел по-прежнему зашифрован с помощью luks после wipefs
  • Как расшифровать LUKS с помощью известного мастер-ключа?
  • Linux и Unix - лучшая ОС в мире.