Luks linux смена пароля

Обновлено: 06.07.2024

Операционная система Linux изначально проектировалась как многопользовательская и безопасная система. Поэтому здесь у каждого пользователя есть пароль. Полномочия пользователей и способ их аутентификации заложен на уровне системы.

Иногда возникает необходимость изменить пароль в Linux. Во-первых, это может произойти, если вы забыли пароль или просто хотите его поменять. Другая же причина - это безопасность. Пароли нужно менять по крайней мере несколько раз в год, и, если вы системный администратор компании, важно заставить ваших пользователей тоже менять пароли время от времени, и у Linux для этого тоже есть инструменты. В этой статье мы рассмотрим, как поменять пароль в Linux.

Основы

В Linux есть несколько утилит с помощью которых может быть выполнена смена пароля Linux. В этой статье мы будем рассматривать только способы сделать это с помощью терминала, с графическими способами, я думаю, вы и так без труда разберётесь, к тому же они не дают нужной нам гибкости.

Список пользователей в Linux хранится в файле /etc/passwd, вы можете без труда открыть его и посмотреть, пароли же выделены в отдельный файл - /etc/shadow. Этот файл можно открыть только с правами суперпользователя, и, более того, пароли здесь хранятся в зашифрованном виде, поэтому узнать пароль Linux не получиться, а поменять вручную будет сложно.

В большинстве случаев смена пароля выполняется с помощью утилиты passwd. Это очень мощная утилита, она позволяет не только менять пароль, но и управлять сроком его жизни. У неё такой синтаксис:

$ passwd опции пользователь

Рассмотрим опции, чтобы лучше ориентироваться в использовании утилиты:

  • -d - удалить пароль пользователя, после этого он не сможет войти
  • -e - сделать пароль устаревшим
  • -i - через сколько дней после того, как пароль устарел, отключить аккаунт, если пользователь не сменил пароль
  • -l - запретить пользователю входить в систему
  • -n - минимальное количество дней между сменами пароля
  • -S - отобразить информацию об аккаунте
  • -u - отменяет действие параметра -l
  • -x - максимальное количество дней, пока пароль можно использовать.
  • -w - количество дней, после которых нужно предупреждать пользователя о том, что надо сменить пароль.

Возможно, сейчас всё выглядит очень непонятно, но на примерах станет проще. Мы рассмотрим, зачем и в каких случаях нужно использовать все эти опции, чтобы сменить пароль в Linux. Переходим к практике.

Если вы забыли пароль и вам его надо не просто сменить, а сбросить, вам будут полезными эти две статьи:

Как сменить пароль пользователя

Вы можете сменить свой пароль, когда захотите. Для этого вам не нужно особых прав суперпользователя, только знать свой текущий пароль. Просто откройте терминал и выполните утилиту passwd без параметров:

passwd

Дальше необходимо ввести новый пароль - и готово, теперь он измеён. Он кодируетсятся с помощью необратимого шифрования и сохраняется в файле /etc/shadow Но заметьте, что вы не можете использовать здесь любой пароль. Система Linux заботится о том, чтобы пользователи выбирали достаточно сложные пароли. Если он будет очень коротким или будет содержать только цифры, вы не сможете его установить.

Общие требования для пароля такие: должен содержать от 6 до 8 символов, причём один или несколько из них должны относиться как минимум к двум из таких множеств:

  • Буквы нижнего регистра
  • Буквы верхнего регистра
  • Цифры от нуля до девяти
  • Знаки препинания и знак _

Теперь рассмотрим, как изменить пароль Linux для другого пользователя.

Как сменить пароль другого пользователя

Со своим паролем всё понятно, но если вы захотите поменять код для другого пользователя, то придётся вопользоваться правами суперпользователя. А во всём остальном процесс тот же:

sudo passwd user

Здесь user - это пользователь, для которого нужна смена пароля Linux. Требования для пароля такие же: вы не сможете установить слишком простой пароль.

Вы можете удалить пароль Linux для пользователя, тогда он не сможет войти в систему:

sudo passwd -d user

Как поменять пароль группы

Наверное вы видели в своей системе файл /etc/gshadow. Этот файл эквивалентен /etc/shadow, только содержат пароли для групп. Вы не можете войти от имени группы, но зато, зная её пароль, можете получить доступ к предоставляемым ею функциям в отдельной командной оболочке с помощью команды newgrp.

Для установки пароля на группу используется утилита очень похожая на passwd - gpasswd. Естественно, нам нужны права суперпользователя. Например:

sudo gpasswd disk

passwd1

Теперь попробуем получить полномочия группы:

passwd2

После ввода пароля мы временно оказываемся в этой группе и можем работать с теми файлами, к которым разрешен доступ этой группе. Чтобы удалить пароль Linux из группы, используется опция -r:

sudo gpasswd -r disk

Как заставить пользователя поменять пароль

Безопасность сервера - это одна из самых важных вещей. Часто причиной проблем с безопасностью становятся сами пользователи, которые недостаточно часто меняют пароли или делают их слишком простыми. Если вы администратор, у вас есть возможность заставить пользователей выполнять смену пароля время от времени, а также автоматически отсылать им предупреждения о том, что пора сменить пароль пользователя Linux.

Всё это позволяет сделать утилита passwd. Сначала давайте рассмотрим, как посмотреть информацию о пароле в passwd. Для этого используется опция -S:

passwd3

  • Первое поле - имя пользователя
  • Второе поле показывает одно из значений: P - пароль установлен, L - пользователь заблокирован, NP - пароля нет.
  • 07/21/2016 - дата последнего изменения пароля.
  • 0 - минимальное время до смены пароля
  • 99999 - максимальное время действия пароля
  • 7 - за сколько дней нужно предупреждать об истечении срока действия пароля
  • -1 - через сколько дней пароль нужно деактивировать.

Например, через тридцать дней после смены, пароль пользователя станет устаревшим:

sudo passwd -x 30 test

passwd4

За три дня до того, как пароль устареет, предупредим пользователя, что его нужно сменить:

sudo passwd -w 3 test

Если он этого не сделает в течении пяти дней, аккаунт нужно отключить:

sudo passwd -i 3 test

Пароль можно менять не чаще, чем раз в 10 дней:

sudo passwd -n 10 test

Смотрим теперь, что у нас получилось:

sudo passwd -S test

passwd5

Как поменять пароль root

Изменить пароль Linux для root очень просто, точно так же, как и для любого другого пользователя. Только нужно иметь права суперпользователя. Вот так это будет выглядеть:

sudo passwd root

passwd6

Всё работает. Таким же способом можно задать пароль root в Ubuntu.

Как вручную поменять пароль

Операционная система Linux не была бы Linux, если бы мы не имели возможность настроить пароль вручную безо всяких утилит. Как я уже говорил, пароли хранятся в файле /etc/shadow. И хранятся они там в зашифрованном виде. Расшифровать пароль невозможно.

Когда система сохраняет пароль, она выполняет шифрование по определённому алгоритму и сохраняет уже зашифрованный результат, а когда пользователю нужно войти в систему, она просто берёт его пароль, опять же шифрует и сверяет с тем, что хранится в /etc/shadow. Если совпадает - пользователь авторизован.

Даже таким способом сменить пароль пользователя Linux не так уж сложно. Итак, сначала нам нужно получить зашифрованный пароль. Это можно сделать несколькими способами, например с помощью openssl:

openssl passwd -1 -salt xyz yourpass

Замените xyz на любую случайную комбинацию символов, чем больше, тем лучше; yourpass - это ваш новый пароль.

Скопируйте полученный результат в буфер обмена, затем откройте файл /etc/shadow и найдите там нужного пользователя. Я хочу сменить пароль Linux для test:

sudo vi /etc/shadow

passwd8

Синтаксис этого файла такой:

имя_пользователя: пароль: .

Следующее поле указывает на последнее изменение пароля в виде количества дней, прошедших с первого января 1970. Остальные поля нас не интересуют, да и вы с ними очень просто разберётесь, просто сопоставив данные.

Теперь замените пароль на полученный выше и сохраненный в буфер обмена. Сохраните файл и можете пробовать войти под новым паролем:

passwd7

Всё работает. Как я уже говорил, есть ещё несколько алгоритмов шифрования, с помощью которых вы можете получить пароль, вот они:

makepasswd --clearfrom=- --crypt-md5 <<< YourPass
mkpasswd -m sha-512 -S salt -s <<< YourPass
perl -e 'print crypt("YourPass", "salt"),"\n"'
openssl passwd -crypt -salt XRYourPass

Во всех этих примерах salt - это случайная строка для увеличения надёжности шифрования, а YourPass - ваш пароль. Что делать с полученным данными вы уже знаете.

Выводы

Из этой статьи вы узнали, как сменить пароль Linux. Я рассмотрел все возможные способы и даже не очень стандартные. Если у вас остались вопросы, пишите комментарии!


При начальном шифровании содержимого диска (например, в процессе установки операционной системы), необходимо указать пароль, который будет использоваться каждый раз при открытии раздела LUKS.

При работе пользователя с системой, содержащей LUKS-разделы, могут возникнуть следующие кейсы:

  • вы забыли свой пароль LUKS или получили систему с зашифрованным диском от кого-то без передачи LUKS-ключа. После перезагрузки системы, вы не сможете войти в нее.
  • политики безопасности требуют частой смены LUKS-паролей. При этом необходимо изменить LUKS-ключи, не повредив данные раздела

Восемь слотов LUKS

Один LUKS-раздел может открываться одним из 8 возможных ключей. Конечно, можно использовать и единственный ключ в одном слоте.
Чтобы узнать текущее состояние всех слотов, используется команда cryptsetup luksDump:

В приведенном выше примере:

  • /DEV/sdb1 является LUKS-разделом
  • номера слотов начинаются с 0
  • ENABLED указывает, что слот уже используется
  • в данном случае для шифрованного раздела задано 2 пароля, и свободно еще 6

Добавление нового LUKS-ключа

Для добавления нового ключа LUKS на зашифрованный раздел /dev/sdb1 используется команда luksAddKey:

Проверим, добавился ли новый ключ:

Добавление нового LUKS-ключа в определенный слот

Вместо назначения ключа LUKS в первый свободный слот, мы можем указать номер определенного слота с помощью опции -S номер_слота (в примере ниже, слот №5):

Проверка показывает, что все прошло успешно:

Удаление существующего ключа

Для удаления определенного ключа используется команда cryptsetup luksRemoveKey, после чего в ответ на приглашение “Enter LUKS passphrase to be deleted:” вводится пароль того ключа, который мы хотим удалить:

Удаление существующего ключа по номеру слота

Чтобы удалить какой-то определенный ключ LUKS, достаточно знать парольную фразу хотя бы для одного из слотов:

Проверка показывает, что все получилось правильно:

Добавление ключа LUKS из файла

Новый ключ LUKS можно добавить из уже существующего файла ключей:

  • masterkeyfile задает имя бинарного файла, содержащего ключ LUKS
  • при запросе “Enter any passphrase:” вводится любой из существующих паролей для LUKS-раздела /dev/sdb1
  • для ключа из masterkeyfile пароль вводить не нужно

Если вы перезагрузили сервер, и не в состоянии смонтировать зашифрованный раздел LUKS, потому что вы забыли свой пароль LUKS, то вам не повезло.

В этом сценарии, вы можете сделать следующие два шага:

  • извлечь текущий зашифрованный ключ из раздела LUKS
  • создать новый LUKS-ключ, используя извлеченный выше зашифрованный ключ

В этом примере, раздел /home1 зашифрован LUKS, но пароль к нему забыт.

Команда dmsetup table –showkeys покажет зашифрованные ключи всех разделов, которые установлены на вашей системе.

Часть поля после «AES-CBC-essiv:sha256» является зашифрованным паролем. Сохраняем его в текстовый файл:

Теперь мы должны преобразовать этот существующий ключ из текстового файла в двоичный файл. Используем команду XXD:

Наконец, добавляем новый ключ LUKS, используя существующий ключ LUKS, извлеченный в бинарный файл.

  • –master-key-file определяет бинарный файл с ключем
  • какой-то существующий пароль luksAddKey не запрашивал, поскольку он взял его из двоичного файла
  • при запросе “Enter new passphrase for key slot:”, укажите новый пароль для LUKS. Постарайтесь его не забыть.

У меня есть сервер Debian Wheezy, который некоторое время работал с зашифрованным диском. Пароль для зашифрованного диска ( /dev/sda5 ) был потерян, когда мой файл зашифрованного пароля был поврежден.

Я хотел бы иметь возможность перезагрузить этот сервер, но для этого, конечно, потребуется этот пароль. Поскольку диск явно находится в расшифрованном состоянии, есть ли способ изменить пароль, не зная старого?

cryptsetup luksChangeKey /dev/sda5 требует пароль тома.

Хмммм . Какой смысл иметь зашифрованную файловую систему, если бы было так легко получить доступ к ней без пароля. @mdpc: Ваш клеветник не имеет смысла. У него есть доступ к файловой системе, потому что у него был пароль при последней загрузке сервера. Тот факт, что у вас был пароль (и он был поврежден), не лишает законной силы мой комментарий. В общем, если вы забудете пароль для любого типа зашифрованного материала, он должен быть утерян навсегда, в противном случае, зачем вообще его шифровать? @mdpc Настоящее время, он имеет текущий доступ к файловой системе.

Да, вы можете сделать это, получив доступ к главному ключу во время расшифровки тома.

Быстро и грязно добавить новую фразу-пароль:

device и volume_name должен быть установлен соответствующим образом.
volume_name имя расшифрованного тома, который вы видите в /dev/mapper .

Объяснение:

Тома LUKS шифруют свои данные с помощью мастер-ключа. Каждая добавленная вами парольная фраза просто хранит копию этого мастер-ключа, зашифрованную этой парольной фразой. Поэтому, если у вас есть мастер-ключ, вам просто нужно использовать его в новом слоте ключа.

Давайте разберем команду выше.

Это сбрасывает кучу информации об активно дешифрованном томе. Вывод выглядит так:

Поле № 5 является главным ключом.

Не собираюсь показывать выходные данные этого, поскольку это двоичные данные, но для этого нужно получить главный ключ для тома, а затем преобразовать его в необработанные двоичные данные, которые понадобятся позже.

Это говорит cryptsetup добавить новый ключ к тому. Обычно для этого действия требуется существующий ключ, однако мы используем его, --master-key-file чтобы сообщить, что вместо этого мы хотим использовать мастер-ключ. Это оболочка командной подстановки & перенаправления. Он в основном выполняет все внутри, отправляет вывод в канал, а затем заменяет путь к этому каналу.
<(. ) <(. )

Таким образом, вся команда - это всего лишь одна строка для сжатия нескольких операций.


Шифрование дисков предназначено для защиты данных в компьютере от несанкционированного физического доступа. Бытует распространённое заблуждение, что дисковое шифрование с этой задачей действительно справляется, а сценарии, в которых это не так, представляются уж слишком экзотическими и нереалистичными. В этой статье показано, что извлечение мастер-ключа шифрованного тома LUKS легко осуществимо на практике, и предложен (давно не новый) метод защиты.

Суть проблемы

Отдельно стоит остановиться на предназначении дискового шифрования. Действительно, когда физический доступ невозможен и данными владеет запущенная система, проблем никаких нет. Могут быть проблемы с безопасностью самой системы, но тут шифрование дисков никак не поможет. Дисковое шифрование должно оберегать данные, когда у любопытствующей стороны есть возможность получить доступ к дискам минуя систему, например физически подключив диски к своей системе или загрузив свою ОС на инспектируемом компьютере. Сценарий физического доступа — единственный сценарий, при котором дисковое шифрование имеет какой-то смысл.

Проблема состоит в том, что атакующий может незаметно вмешаться в цепь загрузки ОС и вынудить систему выдать ключи шифрования, как только она их получит при очередном запуске.

Такая атака требует лишь одного акта доступа к компьютеру: данные с диска можно скопировать совместно с подменой цепи загрузки, а потом расшифровать их, дождавшись появления ключа. В сравнении с незашифрованными дисками неудобство состоит только в том, что нужно озаботиться тем, как ключ будет передан, и дождаться запуска.

Далее перейдём к демонстрации такой техники на практике. Может оказаться так, что для её реализации атакующему потребуется меньше усилий, чем владелец системы затратил на настройку какого-то своего экзотического метода разблокировки дисков (например, удалённо).

Практическая демонстрация

Демо я проведу на примере виртуальной машины с Debian 9, на которой шифрование дисков было включено при установке системы.

Установка Debian 9 с шифрованием создаёт загрузочный раздел и раздел с шифрованным LVM. Снимок экрана установленной системы с запросом пароля расшифровки для наглядности:

Всё готово, можно приступать. Выключаем машину, копируем диск. В моем случае это выглядит так:

Монтируем диск машины, извлекаем инитрамдрайв:


Готово, можно редактировать инитрамдрайв. Зная, что машина имеет постоянное сетевое подключение, я хочу организовать зашифрованную отправку мастер-ключа после открытия дисков. Для этого мне потребуется:

    . Добавляю её в /sbin . Отправляется в /scripts/local-top и добавляется в список /scripts/local-top/ORDER после cryptoroot .
  1. Недостающий родной скрипт обработки событий udhcpc, чтобы запустить автонастройку сети прямо в рамдрайве, пользуясь встроенными средствами. Его законное место в /etc/udhcpc/default.script

250 КБ и 120 КБ после сжатия UPX. Сам secsend просто читает стандартный вход, шифрует его cryptobox-ом из libsodium с использованием заданного публичного ключа Curve25519 и отправляет данные на заданный адрес по TCP. Его использование непринципиально для основной цели демонстрации, он скорее показывает что атакующий по сути ничем не ограничен: можно запускать код, который делает что хочет атакующий и как он этого хочет.

После добавления этих трёх файлов и редактирования ещё одного можно запаковывать всё обратно и возвращать изменённый файл на место:


Потребуется некоторый сервер для приёма зашифрованного мастер-ключа, например такой (Python 3.5.3+). Запустив его с указанием секретной части ключевой пары, дожидаемся, пока условная жертва включит свой компьютер:


При включении виртуальной машины с зашифрованным диском всё внешне выглядит как обычно, ничего не изменилось:


А вот на стороне слушателя подключений появился секретный мастер-ключ:

С этого момента сама виртуальная машина с данными и её пользователь со знанием пароля шифрования уже не представляют интереса для злоумышленника. Особо отмечу, что смена парольной фразы не меняет мастер-ключ, которым зашифрован весь том. Даже если между снятием копии и отправкой ключа как-то затесалась смена парольной фразы — это не помеха. Воспользуемся мастер-ключом для открытия тома. Для этого преобразуем его 16ричную запись в логе в бинарный файл:


Монтируем диски со снятой копии:

Меры защиты

Как можно заключить — корень проблемы в запуске недоверенного кода. Вот небольшой обзор методик, которые стоит рассмотреть в контексте этого вопроса.

Шифрование загрузочного раздела

Некоторые дистрибутивы предлагают и такую возможность при установке (например OpenSuSE). В таком случае загрузочный раздел расшифровывается загрузчиком, а затем с него загружаются ядро и инитрамдрайв. Такой подход не имеет особого смысла по следующим причинам:

  • Самый главный вопрос с подменой кода всё равно остаётся открытым. Только теперь подменять нужно будет загрузчик.
  • Для загрузочного раздела важнее не конфиденциальность данных, а целостность данных. Обычное шифрование LUKS не предоставляет такой гарантии. Некоторая выгода здесь заключается только в том, что на таком зашифрованном разделе трудно сформировать осмысленную подмену.
  • И шифрование LUKS2 с проверкой целостности (dm-integrity) тоже не защищает от вмешательств, потому что оно не даёт гарантий против атак, связанных с повторным воспроизведением секторов. Например, имея дамп такого раздела и конфиг загрузчика на нём, всё равно можно взять и откатить ядро на состояние, скопированное ранее. Это не даёт преимуществ конкретно в вопросе извлечения ключа (разве что если старое ядро было уязвимо и это можно каким-то образом использовать), это скорее довод в пользу бесполезности шифрования загрузочного раздела.

Использование TPM для хранения ключа шифрования и валидации безопасной среды загрузки

Однако в линуксе поддержка TPM пока находится в зачаточном состоянии. Загрузчик TrustedGRUB2 (приспособленный для работы с TPM загрузчик) не поддерживает UEFI и от этого пропадает весь смысл затеи. Кроме того наличие рабочего TPM 2.0 только сейчас начинает появляться в железе, зачастую вместе с обновлениями BIOS. Большинство материнских плат не имеют дискретного TPM-модуля, вместо этого TPM программно реализован внутри Intel ME . По всем этим причинам я пока не рассматриваю такую конфигурацию как рабочую и пригодную для широкого использования.

Использование UEFI Secure Boot для полного покрытия загрузочной цепи электронной подписью

Существуют дистрибутивы (Fedora, OpenSuSE) и одиночные решения, которые позволяют использовать Secure Boot в Linux. Однако, коробочные решения зачастую не обеспечивают целостность кода в цепи загрузки. Они предназначены преимущественно для того, чтобы Linux просто запускался при включенном Secure Boot. Обычно просто используется EFI shim, подписанный сертификатом Microsoft, который дальше запускает всё что угодно. Соответственно, при использовании внешнего сертифицирования покрыть подписью инитрамдрайв, который генерируется прямо в установленной системе, просто невозможно.

    — первая статья на хабре на эту тему, очень подробная. — здесь особенно хорошо написано, почему Secure Boot с установленными сертификатами Microsoft эквивалентен его отсутствию.

Доступное решение

Мне встретился подход к полноценному внедрению Secure Boot, совместимый с общепринятой схемой загрузки и не требующий серьёзного вмешательства в систему: отдельный загрузчик, отдельный рамдрайв, отдельное ядро. UEFI проверяет подпись только загрузчика GRUB2, загрузчик имеет вшитый конфиг с ключом для проверки подписи и паролем администратора, и дальше проверяет ядро и рамдрайв. Подписанный загрузчик устанавливается параллельно со старым и при необходимости сохраняется возможность запуститься обычным образом, выключив Secure Boot. Разумеется, эта возможность должна быть закрыта паролем администратора в меню настроек UEFI.

Конкретно на примере Debian 9 установка выглядит примерно следующим образом (предполагая, что UEFI уже в Setup Mode):


Здесь все команды введены от имени суперпользователя. В итоге остаётся только убедиться, что Secure Boot включён в меню BIOS и защитить настройки BIOS паролем администратора.

А вот как выглядит попытка подмены рамдрайва на такой инсталляции:


Подмена загрузчика (внешний вид зависит от платформы):


Одного лишь дискового шифрования недостаточно для обеспечения конфиденциальности данных. Подпись всей цепи загрузки с использованием UEFI Secure Boot и GPG позволяет достичь хорошего уровня защиты от подмены исполняемого кода при условии, что эксплуатант компьютера способен распознать сброс или подмену системной платы, или даже всего компьютера. В противном случае крайне трудно предложить адекватные способы защиты, если пользователь готов ввести пароль/передать ключ в любую машину, которая случайно оказалась на столе или в серверной.

ОБНОВЛЕНИЕ (2020-09-24 20:24:24+00:00): NSA опубликовало технический отчёт со схожими рекомендациями по усилению безопасности загрузочной цепи: ссылка, зеркало.

Пока нет, но это в разработке, здесь, кто-то работает над этим (среди других функций) как проект GSOC, насколько я знаю.

4 ответа

Протестировано в Ubuntu 14.04: Найдите приложение « Диски »

Выберите устройство, выберите громкость, щелкните шестеренки (дополнительные действия) - > «Изменить кодовую фразу»

screenshot
screenshot

Сначала вам будет предложено ввести действительную парольную фразу (в любом активированном слоте ключей), а затем вам будет предложено ввести новую парольную фразу в целевом слоте ключей.

- ключ-слот , -S Для операций LUKS, которые добавляют ключевой материал, эта опция позволяет вам указать, какой ключевой слот выбран для нового ключа. Этот параметр можно использовать для luksFormat и luksAddKey. Кроме того, для открытия эта опция выбирает определенный ключевой слот для сравнения парольной фразы. Если данная кодовая фраза будет соответствовать только другому ключевому слоту, операция завершится неудачно.

Я не знаком с инструментом GUI, но cryptsetup - это инструмент для взаимодействия с LUKS.

Обычно AFAIK LUKS позволяет вам добавить 8 слотов для парольных фраз , и вы можете сделать это с помощью:

, где 0 - номер слота. Я предполагаю, что LUKS хранит слоты как 0,1,2 и т.д. Но я рекомендую вам быть очень осторожными с LUKS, так как вы можете заблокировать себя. См. Руководство для cryptsetup . Также я рекомендую вам посетить другой канал IRC дистрибутива, чтобы быть в большей безопасности, прежде чем продолжить.

Возможно, вам придется перезагрузить компьютер и попробовать новую парольную фразу, прежде чем вы удалите ключ.

Редактировать : Похоже, gnome-disks (AKA gnome-disk-utility ) позволяет изменить кодовую фразу.

enter image description here

enter image description here

Протестировано на Ubuntu 18.04, запустите gnome-disks , и вы можете указать и щелкнуть, чтобы изменить парольную фразу для шифрования. Таким же образом, как и в принятом выше ответе.

Читайте также: