10.9. 手动从 LUKS 加密卷中删除 Clevis pin
使用以下步骤手动删除 clevis luks bind
命令创建的元数据,以及擦除包含 Clevis 添加的密码短语的密钥插槽。
重要
从 LUKS 加密卷中删除 Clevis pin 的建议方法是通过 clevis luks unbind
命令。使用 clevis luks unbind
的删除过程只包含一个步骤,适用于 LUKS1 和 LUKS2 卷。以下示例命令删除绑定步骤创建的元数据,并擦除了 /dev/sda2
设备上的密钥插槽 1
:
# clevis luks unbind -d /dev/sda2 -s 1
先决条件
- 具有 Clevis 绑定的 LUKS 加密卷。
流程
检查卷(如
/dev/sda2)
是使用哪个 LUKS 版本加密的,并标识绑定到 Clevis 的插槽和令牌:# cryptsetup luksDump /dev/sda2 LUKS header information Version: 2 ... Keyslots: 0: luks2 ... 1: luks2 Key: 512 bits Priority: normal Cipher: aes-xts-plain64 ... Tokens: 0: clevis Keyslot: 1 ...
在上例中,Clevis 令牌标识为
0
,关联的密钥插槽是1
。如果是 LUKS2 加密,请删除令牌:
# cryptsetup token remove --token-id 0 /dev/sda2
如果您的设备是由 LUKS1 加密的,其在
cryptsetup luksDump
命令的输出中标识为Version: 1
字符串,请使用luksmeta wipe
命令执行这个额外步骤:# luksmeta wipe -d /dev/sda2 -s 1
擦除包含 Clevis 密码短语的密钥插槽:
# cryptsetup luksKillSlot /dev/sda2 1
其它资源
-
clevis-luks-unbind(1)
、cryptsetup(8)
和luksmeta(8)
手册页