Red Hat Training

A Red Hat training course is available for RHEL 8

15.15.7. Extracción manual de un pasador de horquilla de un volumen cifrado con LUKS

Utilice el siguiente procedimiento para eliminar manualmente los metadatos creados por el comando clevis luks bind y también para borrar una ranura de llave que contenga una frase de contraseña añadida por Clevis.

Importante

La forma recomendada de eliminar un pasador de horquilla de un volumen cifrado con LUKS es a través del comando clevis luks unbind. El procedimiento de eliminación mediante clevis luks unbind consta de un solo paso y funciona tanto para volúmenes LUKS1 como LUKS2. El siguiente comando de ejemplo elimina los metadatos creados por el paso de vinculación y borra la ranura de la llave 1 en el dispositivo /dev/sda2:

# clevis luks unbind -d /dev/sda2 -s 1

Requisitos previos

  • Un volumen encriptado por LUKS con una encuadernación de horquilla.

Procedimiento

  1. Compruebe con qué versión de LUKS está encriptado el volumen, por ejemplo /dev/sda2, e identifique una ranura y un token que esté vinculado a Clevis:

    # cryptsetup luksDump /dev/sda2
    LUKS header information
    Version:        2
    ...
    Keyslots:
      0: luks2
    ...
    1: luks2
          Key:        512 bits
          Priority:   normal
          Cipher:     aes-xts-plain64
    ...
          Tokens:
            0: clevis
                  Keyslot:  1
    ...

    En el ejemplo anterior, la ficha de la horquilla se identifica con 0 y la ranura de la llave asociada es 1.

  2. En el caso de la encriptación LUKS2, retire el token:

    # cryptsetup token remove --token-id 0 /dev/sda2
  3. Si su dispositivo está encriptado por LUKS1, lo que se indica con la cadena Version: 1 en la salida del comando cryptsetup luksDump, realice este paso adicional con el comando luksmeta wipe:

    # luksmeta wipe -d /dev/sda2 -s 1
  4. Limpie la ranura de la llave que contiene la frase de contraseña de la Clevis:

    # cryptsetup luksKillSlot /dev/sda2 1

Recursos adicionales

  • Para más información, consulte las páginas de manual clevis-luks-unbind(1), cryptsetup(8), y luksmeta(8).