Làm thế nào để loại bỏ mã hóa LUKS?


12

Tôi đã thử xóa mã hóa LUKS trên thư mục chính của mình bằng lệnh sau:

cryptsetup luksRemoveKey /dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd

Nhưng nó cho tôi một lỗi nói:

Thiết bị / dev / mapper / luks-3fd5-235-26-2625-2456f-4353fgdgd không phải là thiết bị LUKS hợp lệ.

Bối rối, tôi đã thử như sau:

cryptsetup status luks-3fd5-235-26-2625-2456f-4353fgdgd

Và nó nói:

/dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd is active and is in use.
type: LUKS1
cipher: ...

Có vẻ như thiết bị được mã hóa đang hoạt động, nhưng không hợp lệ. Điều gì có thể sai ở đây?

Câu trả lời:


14
  • Sao lưu
  • Định dạng lại
  • Khôi phục

cryptsetup luksRemoveKeysẽ chỉ xóa một khóa mã hóa nếu bạn có nhiều hơn một. Mã hóa vẫn sẽ ở đó.

Phần cài đặt Fedora_Guide Phần C.5.3 giải thích cách luksRemoveKeyhoạt động.

Rằng "không thể" loại bỏ mã hóa trong khi giữ nội dung chỉ là phỏng đoán có giáo dục. Tôi dựa trên hai điều:

  • Bởi vì bộ chứa LUKS có hệ thống tập tin hoặc LVM hoặc bất cứ thứ gì ở trên nó, chỉ cần loại bỏ lớp mã hóa sẽ đòi hỏi kiến ​​thức về ý nghĩa của dữ liệu được lưu trữ trên nó, đơn giản là không có sẵn. Ngoài ra, một yêu cầu sẽ là ghi đè một phần của khối lượng LUKS với đối tác được giải mã của nó, sẽ không phá vỡ phần còn lại của nội dung LUKS và tôi không chắc liệu điều đó có thể được thực hiện hay không.
  • Việc thực hiện nó sẽ giải quyết một vấn đề nằm cách xa mục đích của LUKS như bạn có thể nhận được, và tôi thấy rất khó có ai đó sẽ dành thời gian để làm điều đó thay vì một thứ gì đó "có ý nghĩa" hơn.

Làm sao mà bạn biết được điều đó? Bất kỳ tài liệu tham khảo?
Câu hỏi tràn

Đã thêm tham chiếu vào Hướng dẫn cài đặt Fedora và lý do tại sao tôi tin rằng khôi phục sao lưu là tùy chọn duy nhất để chuyển từ mã hóa toàn bộ đĩa sang không mã hóa.
MattBianco

7

Đầu tiên, khi xóa cụm mật khẩu khỏi phân vùng LUKS, bạn cần chỉ định phân vùng đĩa nơi nó nằm, như:

cryptsetup luksRemoveKey /dev/sda2

Và khi bạn muốn trạng thái từ một thiết bị được mã hóa LUKS, bạn cần tham khảo tên LUKS, như bạn đã làm.

Nhưng luksRemoveKey chỉ xóa một trong các cụm mật khẩu (và không bao giờ là cụm từ cuối). Nếu bạn muốn giải mã vĩnh viễn, bạn phải sử dụng cryptsetup-reencrypt:

cryptsetup-reencrypt --decrypt /dev/sda2

FWIW, đối với các thiết bị LUKS 2 cryptsetupcó một tiểu ban mã hóa lại .
maxschlepzig
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.