モチベ

完全にただのノイズに帰して、安全に処分したい。

前提

Ubuntu がインストーラーによって LVM on LUKS で構築されている。

参考

https://askubuntu.com/a/1291283

https://jumpcloud.com/blog/how-to-enable-full-disk-encryption-on-an-ubuntu-20-04-desktop

手順

https://www.thegeekdiary.com/centos-rhel-how-to-delete-luks-encrypted-device/

man

https://man7.org/linux/man-pages/man8/cryptsetup.8.html

https://linux.die.net/man/8/cryptsetup

概要

https://wiki.archlinux.jp/index.php/Dm-crypt/デバイスの暗号化

https://wiki.archlinux.jp/index.php/Dm-crypt/システム全体の暗号化

https://wiki.archlinux.jp/index.php/LVM

https://wiki.archlinux.jp/index.php/ディスク暗号化#.E3.83.96.E3.83.AD.E3.83.83.E3.82.AF.E3.83.87.E3.83.90.E3.82.A4.E3.82.B9.E3.81.AE.E6.9A.97.E5.8F.B7.E5.8C.96

手順

https://www.thegeekdiary.com/centos-rhel-how-to-delete-luks-encrypted-device/

基本的には上に準じるが、効率化する。

0. ディスクをパスワードでアンロックする。
1. ログインするなり、リカバリーモードに入るなりする。（このとき / がマウントされる）
   • 以下すべて（sudoなどの）root 権限で作業すること。
2. lsblk -e7 -p で対象の device mapper を特定する (MOUNTPOINT=/ の親)。そして、対応する暗号化デバイスも特定する (TYPE=crypt)。^[1]
   • blkid | grep -i LUKS, blkid --match-token TYPE="crypto_LUKS" でも可^[2]。
   • blkid | grep -i _crypt や pvdisplay などで対応する mapper が分かるはず。
   • 例えば、 /dev/nvme0n1p3 → /dev/mapper/nvme0n1p3_crypt
3. cryptsetup status /dev/mapper/nvme0n1p3_crypt で mapper が LUKS デバイスであることを確認し、エラーが出ないことを確認する^[3]。
   • cryptsetup luksDump /dev/nvme0n1p3 でキースロットの状況を見ても良い^[4]。大抵は唯一スロット0だけ内容があるはず。
4. cryptsetup erase /dev/nvme0n1p3 で鍵をすべて削除し、キースロットがすべて無効化（DISABLED）される^[5]。
   • この時点で復帰する方法はなくなる。鍵を再度追加することもできない（はず）。
   • cryptsetup luksDump /dev/nvme0n1p3 でキースロットがすべて無効化（DISABLED）されてることが確認できる。
   • LVMボリュームは使用中なので、 cryptsetup close /dev/mapper/nvme0n1p3_crypt で閉じることはできない^[6]。 Device /dev/mapper/nvme0n1p3_crypt is still in use. などとエラーが出る。
5. 再起動して、パスワードでアンロック不能になったことを確認して完了。

別

https://wiki.archlinux.jp/index.php/Dm-crypt/ドライブの準備#LUKS_.E3.83.98.E3.83.83.E3.83.80.E3.83.BC.E3.82.92.E6.B6.88.E5.8E.BB

LUKS ヘッダーを消去

TODO

• device mapper の対応付けを見る方法が分からない
  • lsblk -p でイケそう
    • snap がジャマ → lsblk | grep -v loop
    • lsblk -e 7^[1]