使用 Ubuntu 为现有全盘加密设备分离 LUKS 标头（在 USB 上）

正如评论中指出的@AB解决方案是一个原始分区，其中包含标头而不是分区内的头文件（由于需要先挂载文件系统，这很麻烦）

将标头（LUKS2 约为 16MB）复制到分区（/dev/sdb大于标头大小）有两个选项。

• 第一个是复制原始标头dd。

首先，您需要找到数据的偏移量（因为标头始终从 0 开始）。对于 LUKS 设备/dev/sda4，请使用cryptsetup luksDump /dev/sda4并查找 ligne抵消在该部分数据段。然后使用 查找文件系统块大小stat -fc %s /dev/sda4。最后，dd if=/dev/sda4 of=/dev/sdb bs=<fs_block_size> count=<data_offset>

• 第二种是将所有头数据打包到一个备份文件中，该备份文件将复制到该分区/dev/sdb。

因为备份文件可能会导致一些问题安全问题即使它保存在加密磁盘上，最好只为该文件创建一个虚拟磁盘。

mkdir /tmp/header_backup
mount -t tmpfs -o size=512m tmpfs /tmp/header_backup
cryptsetup luksHeaderBackup /dev/sda4 --header-backup-file /tmp/header_backup/header.luks
dd if=/tmp/header_backup/header.luks of=/dev/sdb
umount /tmp/header_backup

然后将/etc/crypttab选项添加header=/dev/sdb到相应的行（例如sda4_crypt [UUID] none luks,discard,header=/dev/sdb）

要擦除旧的 LUKS 标头：cryptsetup luksErase /dev/sda4。这只会擦除键槽，但保留所有元数据。如果您想要（没有必要）完全擦除标头，您将需要在其上有另一个文件系统标头，以便将 UUID 保留到该分区上。但请注意，完全擦除 LUKS 标头可能不会导致安全擦除，具体取决于您的存储设备（SSD 或 HDD）。对于SSD已删除的块可能会保留在队列中，直到设备需要分配更多空间。

否则要擦除标头：获取文件系统块大小 ( <fs_block_size>) stat -fc %s /dev/sda4、LUKS 数据偏移量 ( <luks_data_offset>) cryptsetup luksDump /dev/sdb、分区的 UUID /dev/sda4( <uuid_sda4>)，然后：

dd if=/dev/urandom of=/dev/sda4 bs=<fs_block_size> count=<luks_data_offset>
mkfs.ext4 fs.img
tune2fs -U <uuid_sda4> fs.img
dd if=fs.img of=/dev/sda4

该分区/dev/sdb将具有与 LUKS 相同的 UUID，这可能是一个问题。您可以更改它，而不会扰乱 LUKS 流程cryptsetup luksUUID /dev/sdb --uuid $(uuidgen)

最后更新 initramfsupdate-initramfs -u -k all