9.7. Remoção manual de um pino Clevis de um volume codificado em LUKS
Use o seguinte procedimento para remover manualmente os metadados criados pelo comando clevis luks bind e também para limpar um rasgo de chave que contém a senha adicionada por Clevis.
A maneira recomendada para remover um pino Clevis de um volume codificado em LUKS é através do comando clevis luks unbind. O procedimento de remoção usando clevis luks unbind consiste de apenas um passo e funciona tanto para os volumes LUKS1 como para LUKS2. O seguinte comando de exemplo remove os metadados criados pela etapa de encadernação e limpa o slot de chave 1 no dispositivo /dev/sda2:
# clevis luks unbind -d /dev/sda2 -s 1Pré-requisitos
- Um volume encriptado LUKS com uma encadernação Clevis.
Procedimento
Verifique em qual versão LUKS o volume, por exemplo /dev/sda2, está codificado e identifique um slot e um token que está vinculado a Clevis:
# cryptsetup luksDump /dev/sda2 LUKS header information Version: 2 ... Keyslots: 0: luks2 ... 1: luks2 Key: 512 bits Priority: normal Cipher: aes-xts-plain64 ... Tokens: 0: clevis Keyslot: 1 ...No exemplo anterior, o token Clevis é identificado por 0 e o espaço chave associado é 1.
No caso de criptografia LUKS2, remova o token:
# cryptsetup token remove --token-id 0 /dev/sda2Se seu dispositivo for criptografado por LUKS1, que é indicado pela string
Version: 1na saída do comandocryptsetup luksDump, execute este passo adicional com o comandoluksmeta wipe:# luksmeta wipe -d /dev/sda2 -s 1Limpe a ranhura da chave que contém a frase-chave Clevis:
# cryptsetup luksKillSlot /dev/sda2 1
Recursos adicionais
-
Para mais informações, consulte as páginas de manual
clevis-luks-unbind(1),cryptsetup(8)eluksmeta(8).
