19.3.3. Restaurer l'accès à un volume
Une fois que les clés de chiffrement auront été sauvegardées (voir Section 19.3.1, « Se préparer à enregistrer vos clés de chiffrement. » et Section 19.3.2, « Sauvegarde des clés de chiffrement »), l'accès pourra être restauré à un pilote selon les besoins.
Procédure 19.5. Restaurer l'accès à un volume
- Extraire le paquet escrow pour le volume, du stockage de paquets, et envoyez le vers l'un des utilisateurs désignées afin qu'il soit décrypté.
- L'utilisateur désigné exécute :
volume_key --reencrypt -d/the/nss/directoryescrow-packet-in -o escrow-packet-outAprès avoir fourni le mot de passe de base de données NSS, l’utilisateur désigné choisira une phrase secrète pour le chiffrementescrow-paquet-out. Cette phrase secrète peut varier à chaque fois et ne protège que les clés de cryptage que lorsqu'elles sont transférées de l’utilisateur désigné au le système cible. - Obtenir le fichier
escrow-packet-outet la phrase secrète de l'utilisateur désigné. - Démarrer le système cible dans un environnement où
volume_keypeut être exécuté et où un paquetescrow-packet-outest disponible (en mode de secours, par exemple). - Exécutez:
volume_key --restore/path/to/volumeescrow-packet-outVous apercevrez alors une invite vous demandant la phrase secrète de paquet qui a été choisie par l'utilisateur désigné, et la nouvelle phrase secrète du volume. - Monter le volume en utilisant la phrase secrète de volume choisie.
Il est possible d’enlever l'ancienne phrase secrète oubliée en utilisant
cryptsetup luksKillSlot, par exemple, afin de libérer l'emplacement pour la phrase secrète dans l’en-tête de LUKS du volume chiffré. Cela se fait par la commande cryptsetup luksKillSlot device key-slot. Pour plus d’informations et d’exemples, voir cryptsetup--aider.
