10.9. 手动从 LUKS 加密卷中删除 Clevis pin


使用以下步骤手动删除 clevis luks bind 命令创建的元数据,以及擦除包含 Clevis 添加的密码短语的密钥插槽。

重要

从 LUKS 加密卷中删除 Clevis pin 的建议方法是通过 clevis luks unbind 命令。使用 clevis luks unbind 的删除过程只包含一个步骤,适用于 LUKS1 和 LUKS2 卷。以下示例命令删除绑定步骤创建的元数据,并擦除了 /dev/sda2 设备上的密钥插槽 1

# clevis luks unbind -d /dev/sda2 -s 1

先决条件

  • 具有 Clevis 绑定的 LUKS 加密卷。

流程

  1. 检查卷(如 /dev/sda2) 是使用哪个 LUKS 版本加密的,并标识绑定到 Clevis 的插槽和令牌:

    # cryptsetup luksDump /dev/sda2
    LUKS header information
    Version:        2
    ...
    Keyslots:
      0: luks2
    ...
    1: luks2
          Key:        512 bits
          Priority:   normal
          Cipher:     aes-xts-plain64
    ...
          Tokens:
            0: clevis
                  Keyslot:  1
    ...

    在上例中,Clevis 令牌标识为 0 ,关联的密钥插槽是 1

  2. 如果是 LUKS2 加密,请删除令牌:

    # cryptsetup token remove --token-id 0 /dev/sda2
  3. 如果您的设备是由 LUKS1 加密的,其在 cryptsetup luksDump 命令的输出中标识为 Version: 1 字符串,请使用 luksmeta wipe 命令执行这个额外步骤:

    # luksmeta wipe -d /dev/sda2 -s 1
  4. 擦除包含 Clevis 密码短语的密钥插槽:

    # cryptsetup luksKillSlot /dev/sda2 1

其它资源

  • 在系统中 clevis-luks-unbind ( 1)、cryptsetup (8)和 luksmeta (8) 手册页
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.