10.9. 手动从 LUKS 加密卷中删除 Clevis pin
使用以下步骤手动删除 clevis luks bind 命令创建的元数据,以及擦除包含 Clevis 添加的密码短语的密钥插槽。
重要
从 LUKS 加密卷中删除 Clevis pin 的建议方法是通过 clevis luks unbind 命令。使用 clevis luks unbind 的删除过程只包含一个步骤,适用于 LUKS1 和 LUKS2 卷。以下示例命令删除绑定步骤创建的元数据,并擦除 /dev/sda2 设备上的密钥槽 1:
# clevis luks unbind -d /dev/sda2 -s 1先决条件
- 具有 Clevis 绑定的 LUKS 加密卷。
步骤
检查卷(如
/dev/sda2)是由哪个 LUKS 版本加密的,并识别绑定到 Clevis 的槽和令牌:# cryptsetup luksDump /dev/sda2 LUKS header information Version: 2 ... Keyslots: 0: luks2 ... 1: luks2 Key: 512 bits Priority: normal Cipher: aes-xts-plain64 ... Tokens: 0: clevis Keyslot: 1 ...在上例中,Clevis 令牌标识为
0,关联的密钥槽是1。如果是 LUKS2 加密,请删除令牌:
# cryptsetup token remove --token-id 0 /dev/sda2如果您的设备由 LUKS1 加密,由
Version 表示:1string 在cryptsetup luksDump命令的输出中,使用luksmetaflush 命令执行这个额外步骤:# luksmeta wipe -d /dev/sda2 -s 1擦除包含 Clevis 密码短语的密钥插槽:
# cryptsetup luksKillSlot /dev/sda2 1
其他资源
-
在系统中
clevis-luks-unbind(8)和(1)、cryptsetupluksmeta (8)手册页
