Linux下磁盘加密

LUKS(Linux Unified Key Setup)为Linux硬盘加密提供了一种标准，它不仅能通用于不同的Linux发行版本，还支持多用户/口令。因为它的加密密钥独立于口令，所以如果口令失密，我们可以迅速改变口令而无需重新加密真个硬盘。通过提供一个标准的磁盘上的格式，它不仅方便之间分布的兼容性，而且还提供了多个用户密码的安全管理。必须首先对加密的卷进行解密,才能挂载其中的文件系统。

工具：cryptsetup(默认已经安装)

常用参数：luksFormat、luksOpen、luksClose、luksAddKey

使用cryptsetup对分区进行了加密后，这个分区就不再允许直接挂载。LUKS也是一种基于device mapper 机制的加密方案。如果要使用这个分区，必须对这个分区做一个映射，映射到/dev/mapper这个目录里去，我们只能挂载这个映射才能使用。然而做映射的时候是需要输入解密密码的。

Crypsetup工具加密的特点：

Ø  加密后不能直接挂载

Ø  加密后硬盘丢失也不用担心数据被盗

Ø  加密后必须做映射才能挂载

步骤：

1.   创建分区并加密分区

2.   映射分区

3.   格式化分区并挂载使用

4.  关闭映射分区

创建一个磁盘分区/dev/sdb1，不进行格式化

1、  加密分区

# cryptsetup -v -y -c aes-cbc-plain luksFormat /dev/sdb1

WARNING!

========

This will overwrite data on /dev/sdb1 irrevocably.

Are you sure? (Type uppercase yes): YES  --> 注意这里必须是大写的YES

Enter LUKS passphrase:

Verify passphrase:

Command successful.

#

2、  映射分区

# cryptsetup luksOpen /dev/sdb1 sx_disk  //把sdb1映射为sx_disk

Enter passphrase for /dev/sdb1:

# ll -d /dev/mapper/sx_disk

lrwxrwxrwx. 1 root root 7  6月 25 03:24 /dev/mapper/sx_disk -> ../dm-0

# cryptsetup status /dev/mapper/sx_disk //查看映射分区状态

/dev/mapper//dev/mapper/sx_disk is active.

type:  LUKS1

cipher:  aes-cbc-plain

keysize: 256 bits

device:  /dev/sdb1

offset:  4096 sectors

size:    16767701 sectors

mode:    read/write

#

3、挂载使用

# mkdir /mnt/sx_disk

# mkfs.ext3 /dev/mapper/sx_disk

# mount /dev/sdb1 /mnt/sx_disk/   //直接挂载是不可以的

mount: unknown filesystem type 'crypto_LUKS'

# mount /dev/mapper/sx_disk /mnt/sx_disk/ //挂载映射设备，挂载成功

4、关闭映射，先卸载后关闭

# umount /mnt/sx_disk/

# cryptsetup luksClose sx_disk  //关闭映射

# ll /dev/mapper/  //映射设备已经不见了

总用量 0

crw-rw----. 1 root root 10, 58  6月 25 03:01 control

#

5、设置开机自动挂载

生成密钥文件，www.linuxidc.com 如果想开机时手动输入密码可以不生成

# touch /root/cryptpasswd

# cryptsetup luksAddKey /dev/sdb1 /root/cryptpasswd

Enter any passphrase:

# cat /root/cryptpasswd  //直接查看密钥为空

#

设置开机启动

# vim /etc/crypttab

# cat /etc/crypttab

sx_disk /dev/sdb1 /root/cryptpasswd

//sx_disk为映射名称，/dev/sdb1是加密设备设备，/root/cryptpasswd为密码文件，如果想开机手动输入密码，密码文件处空着即可

# vim /etc/fstab

# tail -1 /etc/fstab

/dev/mapper/sx_disk       /mnt/sx_disk             ext4 defaults   0 0

#