Red Hat Training
A Red Hat training course is available for RHEL 8
11.9. 手动从 LUKS 加密卷中删除 Clevis pin
使用以下步骤手动删除 clevis luks bind 命令创建的元数据,以及擦除包含 Clevis 添加的密码短语的密钥插槽。
重要
从 LUKS 加密卷中删除 Clevis pin 的建议方法是通过 clevis luks unbind 命令。使用 clevis luks unbind 的删除过程只包含一个步骤,适用于 LUKS1 和 LUKS2 卷。以下示例命令删除绑定步骤创建的元数据,并擦除了 /dev/sda2 设备上的密钥插槽 1 :
# clevis luks unbind -d /dev/sda2 -s 1先决条件
- 具有 Clevis 绑定的 LUKS 加密卷。
流程
检查卷(如
/dev/sda2)是使用哪个 LUKS 版本加密的,并标识绑定到 Clevis 的插槽和令牌:# cryptsetup luksDump /dev/sda2 LUKS header information Version: 2 ... Keyslots: 0: luks2 ... 1: luks2 Key: 512 bits Priority: normal Cipher: aes-xts-plain64 ... Tokens: 0: clevis Keyslot: 1 ...在上例中,Clevis 令牌标识为
0,关联的密钥插槽是1。如果是 LUKS2 加密,请删除令牌:
# cryptsetup token remove --token-id 0 /dev/sda2如果您的设备是由 LUKS1 加密的,其在
cryptsetup luksDump命令的输出中标识为Version: 1字符串,请使用luksmeta wipe命令执行这个额外步骤:# luksmeta wipe -d /dev/sda2 -s 1擦除包含 Clevis 密码短语的密钥插槽:
# cryptsetup luksKillSlot /dev/sda2 1
其它资源
-
clevis-luks-unbind(1)、cryptsetup(8)和luksmeta(8)手册页
