Red Hat Training

A Red Hat training course is available for RHEL 8

11.7. 手动从 LUKS 加密卷中删除 Clevis pin

使用以下步骤手动删除 clevis luks bind 命令创建的元数据,以及擦除包含 Clevis 添加的密码短语的密钥插槽。

重要

从 LUKS 加密卷中删除 Clevis pin 的建议方法是通过 clevis luks unbind 命令。使用 clevis luks unbind 的删除过程仅包含一个步骤,适用于 LUKS1 和 LUKS2 卷。以下示例命令删除绑定步骤创建的元数据,并擦除 /dev/sda2 设备中的键插槽 1

# clevis luks unbind -d /dev/sda2 -s 1

先决条件

  • 具有 Clevis 绑定的 LUKS 加密卷。

流程

  1. 检查卷的 LUKS 版本(如 /dev/sda2 )由 加密,并确定绑定到 Clevis 的插槽和令牌:

    # cryptsetup luksDump /dev/sda2
    LUKS header information
    Version:        2
    ...
    Keyslots:
      0: luks2
    ...
    1: luks2
          Key:        512 bits
          Priority:   normal
          Cipher:     aes-xts-plain64
    ...
          Tokens:
            0: clevis
                  Keyslot:  1
    ...

    在上例中,Clevis 令牌由 0 标识,关联的密钥插槽是 1

  2. 如果使用 LUKS2 加密,请删除令牌:

    # cryptsetup token remove --token-id 0 /dev/sda2
  3. 如果您的设备由 LUKS1 加密,这在 cryptsetup luksDump 命令的输出中由 Version: 1 字符串表示,请使用 the luks meta wipe 命令执行这个额外步骤:

    # luksmeta wipe -d /dev/sda2 -s 1
  4. 擦除包含 Clevis 密码短语的密钥插槽:

    # cryptsetup luksKillSlot /dev/sda2 1

其它资源

  • clevis-luks-unbind(1)、 cryptsetup(8)和 luksmeta(8)man page