Red Hat Training

A Red Hat training course is available for RHEL 8

9.7. Remoção manual de um pino Clevis de um volume codificado em LUKS

Use o seguinte procedimento para remover manualmente os metadados criados pelo comando clevis luks bind e também para limpar um rasgo de chave que contém a senha adicionada por Clevis.

Importante

A maneira recomendada para remover um pino Clevis de um volume codificado em LUKS é através do comando clevis luks unbind. O procedimento de remoção usando clevis luks unbind consiste de apenas um passo e funciona tanto para os volumes LUKS1 como para LUKS2. O seguinte comando de exemplo remove os metadados criados pela etapa de encadernação e limpa o slot de chave 1 no dispositivo /dev/sda2: 

# clevis luks unbind -d /dev/sda2 -s 1

Pré-requisitos

  • Um volume encriptado LUKS com uma encadernação Clevis.

Procedimento

  1. Verifique em qual versão LUKS o volume, por exemplo /dev/sda2, está codificado e identifique um slot e um token que está vinculado a Clevis: 

    # cryptsetup luksDump /dev/sda2
LUKS header information
Version:        2
...
Keyslots:
  0: luks2
...
1: luks2
      Key:        512 bits
      Priority:   normal
      Cipher:     aes-xts-plain64
...
      Tokens:
        0: clevis
              Keyslot:  1
...

    No exemplo anterior, o token Clevis é identificado por 0 e o espaço chave associado é 1.

  2. No caso de criptografia LUKS2, remova o token: 

    # cryptsetup token remove --token-id 0 /dev/sda2

  3. Se seu dispositivo for criptografado por LUKS1, que é indicado pela string Version: 1 na saída do comando cryptsetup luksDump, execute este passo adicional com o comando luksmeta wipe: 

    # luksmeta wipe -d /dev/sda2 -s 1

  4. Limpe a ranhura da chave que contém a frase-chave Clevis: 

    # cryptsetup luksKillSlot /dev/sda2 1

Recursos adicionais

  • Para mais informações, consulte as páginas de manual clevis-luks-unbind(1), cryptsetup(8) e luksmeta(8).