Closed3

Ubuntu のインストーラーで作られた暗号化デバイスを完全に無効化する方法

手順

https://www.thegeekdiary.com/centos-rhel-how-to-delete-luks-encrypted-device/

基本的には上に準じるが、効率化する。

  1. ディスクをパスワードでアンロックする。
  2. ログインするなり、リカバリーモードに入るなりする。(このとき / がマウントされる)
    • 以下すべて(sudoなどの)root 権限で作業すること。
  3. lsblk -e7 -p で対象の device mapper を特定する (MOUNTPOINT=/ の親)。そして、対応する暗号化デバイスも特定する (TYPE=crypt)。[1]
    • blkid | grep -i LUKS, blkid --match-token TYPE="crypto_LUKS" でも可[2]
    • blkid | grep -i _cryptpvdisplay などで対応する mapper が分かるはず。
    • 例えば、 /dev/nvme0n1p3/dev/mapper/nvme0n1p3_crypt
  4. cryptsetup status /dev/mapper/nvme0n1p3_crypt で mapper が LUKS デバイスであることを確認し、エラーが出ないことを確認する[3]
    • cryptsetup luksDump /dev/nvme0n1p3 でキースロットの状況を見ても良い[4]。大抵は唯一スロット0だけ内容があるはず。
  5. cryptsetup erase /dev/nvme0n1p3 で鍵をすべて削除し、キースロットがすべて無効化(DISABLED)される[5]
    • この時点で復帰する方法はなくなる。鍵を再度追加することもできない(はず)。
    • cryptsetup luksDump /dev/nvme0n1p3 でキースロットがすべて無効化(DISABLED)されてることが確認できる。
    • LVMボリュームは使用中なので、 cryptsetup close /dev/mapper/nvme0n1p3_crypt で閉じることはできない[6]Device /dev/mapper/nvme0n1p3_crypt is still in use. などとエラーが出る。
  6. 再起動して、パスワードでアンロック不能になったことを確認して完了。

https://wiki.archlinux.jp/index.php/Dm-crypt/ドライブの準備#LUKS_.E3.83.98.E3.83.83.E3.83.80.E3.83.BC.E3.82.92.E6.B6.88.E5.8E.BB

LUKS ヘッダーを消去

脚注
  1. https://man7.org/linux/man-pages/man8/lsblk.8.html ↩︎
  2. https://linux.die.net/man/8/blkid ↩︎
  3. https://man7.org/linux/man-pages/man8/cryptsetup.8.html#BASIC_ACTIONS ↩︎
  4. https://man7.org/linux/man-pages/man8/cryptsetup.8.html#LUKS_EXTENSION ↩︎
  5. https://wiki.archlinux.jp/index.php/Dm-crypt/デバイスの暗号化#LUKS_.E3.82.AD.E3.83.BC.E3.81.AE.E5.89.8A.E9.99.A4 ↩︎
  6. https://man7.org/linux/man-pages/man8/cryptsetup.8.html#BASIC_ACTIONS ↩︎

TODO

  • device mapper の対応付けを見る方法が分からない
    • lsblk -p でイケそう
      • snap がジャマ → lsblk | grep -v loop
      • lsblk -e 7[1]
脚注
  1. https://askubuntu.com/a/1142405 ↩︎
このスクラップは2021/10/05にクローズされました
ログインするとコメントできます