Возможный путь состоял бы в том, чтобы добавить /etc/fstab
запись для ISO с 'пользовательским' параметром, как
/test.iso /mnt/iso auto defaults,user 0 1
Но Вы обычно должны базироваться доступ так или иначе для редактирования этого файла, таким образом, это не очень полезно.
cryptsetup luksRemoveKey
только удалил бы ключ шифрования, если бы у Вас был больше чем один. Шифрование все еще было бы там.
Fedora Раздел Installation_Guide C.5.3 объясняет как luksRemoveKey
работы.
То, что "невозможно" удалить шифрование, в то время как хранение содержания является просто образованным предположением. Я основываю это на двух вещах:
Во-первых, при удалении парольной фразы из раздела LUKS вам необходимо указать раздел диска, на котором она находится, например:
cryptsetup luksRemoveKey /dev/sda2
И когда вы хотите получить статус от зашифрованного устройства LUKS -, вам нужно обратиться к имени LUKS -, как вы это сделали.
Но luksRemoveKey удаляет только одну из парольных фраз (и никогда не удаляет последнюю ). Если вы хотите навсегда расшифровать, вам нужно использовать cryptsetup -reencrypt:
cryptsetup-reencrypt --decrypt /dev/sda2
Удаление слотов ключей -похоже на забвение пароля, это не имеет ничего общего с перемещением замены устройства LUKS на файловую систему внутри него.
Вы МОЖЕТЕ -неразрушающим образом удалить шифрование LUKS с устройства без необходимости резервного копирования, переформатирования и восстановления. . cryptsetup
поддерживает это, начиная с версии 1.5.0, выпущенной в 2012 году.
После успешного дешифрования устройства LUKS внутренняя файловая система становится доступной для ОС, и вы можете смонтировать ее напрямую.
Предупреждение:Это опасно, сначала создайте резервную копию всех ваших данных.
Для ЛУКС1:
Для ЛУКС2:
cryptsetup luksChangeKey --pbkdf pbkdf2 <device_path>
cryptsetup convert --type luks1 <device_path>
Я протестировал оба варианта, и они работают.
Текущие версии cryptsetup утверждают, что поддерживают прямую расшифровку LUKS2. устройства. Это команда cryptsetup --reencrypt --decrypt --header HEADER_FILE <device_path>
. аргумент --header
обязателен, потому что команды предполагают, что ваше устройство использует отдельный заголовок. Если вы это сделаете, это сработает, и даже может сделать расшифровку онлайн. Если вы не используете отсоединенный заголовок (довольно часто ), и вы пытаетесь либо предоставить дамп заголовка или передача самого блочного устройства в качестве значения --header
, cryptsetup
будет спокойно продолжаться, и когда он завершится, вы получите устройство LUKS2, в котором нет ключевых слотов -и ваши данные исчезнет. Это версия 2.3.3 (2020 ), в будущих версиях она может измениться.
Я рекомендую использовать более безопасный путь LUKS2 ->LUKS1 ->Decrypt, который, как я могу подтвердить, работает.