10.9. LUKS で暗号化したボリュームからの Clevis ピンの手動削除
clevis luks bind コマンドで作成されたメタデータを手動で削除する場合や、Clevis が追加したパスフレーズを含む鍵スロットを一掃するには、以下の手順を行います。
重要
LUKS で暗号化したボリュームから Clevis ピンを削除する場合は、clevis luks unbind コマンドを使用することが推奨されます。clevis luks unbind を使用した削除手順は、1 回のステップで構成され、LUKS1 ボリュームおよび LUKS2 ボリュームの両方で機能します。次のコマンド例は、バインド手順で作成されたメタデータを削除し、/dev/sda2 デバイスの鍵スロット 1 を削除します。
# clevis luks unbind -d /dev/sda2 -s 1前提条件
- Clevis バインディングを使用した LUKS 暗号化ボリューム。
手順
/dev/sda2などのボリュームがどの LUKS バージョンであるかを確認し、Clevis にバインドされているスロットおよびトークンを特定します。# cryptsetup luksDump /dev/sda2 LUKS header information Version: 2 ... Keyslots: 0: luks2 ... 1: luks2 Key: 512 bits Priority: normal Cipher: aes-xts-plain64 ... Tokens: 0: clevis Keyslot: 1 ...上記の例では、Clevis トークンは
0で識別され、関連付けられたキースロットは1です。LUKS2 暗号化の場合は、トークンを削除します。
# cryptsetup token remove --token-id 0 /dev/sda2デバイスを LUKS1 で暗号化し、
cryptsetup luksDumpコマンドの出力にVersion: 1文字列が示されている場合は、luksmeta wipeコマンドでこの追加手順を行います。# luksmeta wipe -d /dev/sda2 -s 1Clevis パスフレーズを含む鍵スロットを削除します。
# cryptsetup luksKillSlot /dev/sda2 1
関連情報
-
システム上の
clevis-luks-unbind(1)、cryptsetup(8)、luksmeta(8)man ページ
