11.9. LUKS で暗号化したボリュームからの Clevis ピンの手動削除
clevis luks bind コマンドで作成されたメタデータを手動で削除する場合や、Clevis が追加したパスフレーズを含む鍵スロットを一掃するには、以下の手順を行います。
重要
LUKS で暗号化したボリュームから Clevis ピンを削除する場合は、clevis luks unbind コマンドを使用することが推奨されます。clevis luks unbind を使用した削除手順は、1 回のステップで設定され、LUKS1 ボリュームおよび LUKS2 ボリュームの両方で機能します。以下のコマンド例は、バインディング手順で作成されたメタデータを削除し、/dev/sda2 デバイスの鍵スロット 1 を削除します。
# clevis luks unbind -d /dev/sda2 -s 1前提条件
- Clevis バインディングを使用した LUKS 暗号化ボリューム。
手順
/dev/sda2 などのボリュームがどの LUKS バージョンであるかを確認し、Clevis にバインドされているスロットおよびトークンを特定します。
# cryptsetup luksDump /dev/sda2 LUKS header information Version: 2 ... Keyslots: 0: luks2 ... 1: luks2 Key: 512 bits Priority: normal Cipher: aes-xts-plain64 ... Tokens: 0: clevis Keyslot: 1 ...上記の例では、Clevis トークンは 0 で識別され、関連付けられた鍵スロットは 1 です。
LUKS2 暗号化の場合は、トークンを削除します。
# cryptsetup token remove --token-id 0 /dev/sda2デバイスが LUKS1 で暗号化されていて、
Version:1という文字列がcryptsetup luksDumpコマンドの出力に含まれている場合は、luksmeta wipeコマンドでこの追加手順を実行します。# luksmeta wipe -d /dev/sda2 -s 1Clevis パスフレーズを含む鍵スロットを削除します。
# cryptsetup luksKillSlot /dev/sda2 1
関連情報
-
clevis-luks-unbind(1)、cryptsetup(8)、およびluksmeta(8)の man ページ