Linux下磁盘加密
LUKS(Linux Unified Key
Setup)为Linux硬盘加密提供了一种标准,它不仅能通用于不同的Linux发行版本,还支持多用户/口令。因为它的加密密钥独立于口令,所以如果口令失密,我们可以迅速改变口令而无需重新加密真个硬盘。通过提供一个标准的磁盘上的格式,它不仅方便之间分布的兼容性,而且还提供了多个用户密码的安全管理。必须首先对加密的卷进行解密,才能挂载其中的文件系统。
工具:cryptsetup(默认已经安装)
常用参数:luksFormat、luksOpen、luksClose、luksAddKey
使用cryptsetup对分区进行了加密后,这个分区就不再允许直接挂载。LUKS也是一种基于device mapper
机制的加密方案。如果要使用这个分区,必须对这个分区做一个映射,映射到/dev/mapper这个目录里去,我们只能挂载这个映射才能使用。然而做映射的时候是需要输入解密密码的。
Crypsetup工具加密的特点:
加密后不能直接挂载
加密后硬盘丢失也不用担心数据被盗
加密后必须做映射才能挂载
步骤:
1. 创建分区并加密分区
2. 映射分区
3. 格式化分区并挂载使用
4. 关闭映射分区
创建一个磁盘分区/dev/sdb1,不进行格式化
1、 加密分区
|
# cryptsetup -v -y -c aes-cbc-plain luksFormat /dev/sdb1
WARNING! ======== This will overwrite data on /dev/sdb1 irrevocably. Are you sure? (Type uppercase yes): YES --> Enter LUKS passphrase: Verify passphrase: Command successful. # |
2、 映射分区
|
# cryptsetup luksOpen /dev/sdb1 sx_disk //把sdb1映射为sx_disk Enter passphrase for /dev/sdb1: # ll -d /dev/mapper/sx_disk lrwxrwxrwx. 1 root root 7 6月 25 03:24 /dev/mapper/sx_disk -> ../dm-0 # cryptsetup status /dev/mapper/sx_disk //查看映射分区状态 /dev/mapper//dev/mapper/sx_disk is active. type: LUKS1 cipher: aes-cbc-plain keysize: 256 bits device: /dev/sdb1 offset: 4096 sectors size: 16767701 sectors mode: read/write # |
3、挂载使用
|
# mkdir /mnt/sx_disk # mkfs.ext3 /dev/mapper/sx_disk # mount /dev/sdb1 /mnt/sx_disk/ //直接挂载是不可以的 mount: unknown filesystem type ‘crypto_LUKS‘ # mount /dev/mapper/sx_disk /mnt/sx_disk/ |
4、关闭映射,先卸载后关闭
|
# umount /mnt/sx_disk/ # cryptsetup luksClose sx_disk //关闭映射 # ll /dev/mapper/ //映射设备已经不见了 总用量 0 crw-rw----. 1 root root 10, 58 6月 25 03:01 control # |
5、设置开机自动挂载
生成密钥文件,如果想开机时手动输入密码可以不生成
|
# touch /root/cryptpasswd # cryptsetup luksAddKey /dev/sdb1 /root/cryptpasswd Enter any passphrase: # cat /root/cryptpasswd //直接查看密钥为空 # |
设置开机启动
|
# vim /etc/crypttab # cat /etc/crypttab sx_disk /dev/sdb1 /root/cryptpasswd //sx_disk为映射名称,/dev/sdb1是加密设备设备,/root/cryptpasswd为密码文件,如果想开机手动输入密码,密码文件处空着即可 # vim /etc/fstab # tail -1 /etc/fstab /dev/mapper/sx_disk /mnt/sx_disk ext4 defaults 0 0 |