linux中的磁碟加密
1.LUSK加密
LUSK(linux Unified Key Setup),是linux硬碟加密的標準,luks相當於對磁碟上了一把鎖,要想開啟就要有相應的“鑰匙”,使用“鑰匙”開啟後,我們就可以任意的進行操作了,與普通的硬碟一樣,使用方法如下。
2.對磁碟進行加密
1.首先,我們可以看到當前主機中裝置/dev/vdb有3個分割槽:
2.選擇對分割槽/dev/vdb1進行加密:
cryptsetup luksFormat /dev/vdb1
我們可以看到,當加密操作完成後,已經“上鎖”的磁碟是不能直接掛載的,若要對磁碟進行掛載,必須先將“鎖”開啟:
3.使用加密磁碟
1.開啟加密磁碟
cryptsetup open /dev/vdb1 redhat ##/dev/vdb是真實的經過加密的裝置 ##redhat是加密後的真實裝置對映的虛擬裝置
開啟後,我們在/dev/mapper中可以看到虛擬裝置redhat:
2.給磁碟新增檔案系統:
mkfs.xfs /dev/mapper/redhat
3.掛載裝置:
現在,我們就可以正常的使用此裝置進行讀寫:
此時,我們在此裝置上新建檔案如下:
4.解除安裝&關閉裝置:
先將裝置解除安裝,再關閉,關閉裝置的操作就像將裝置上的已經開啟的“鎖”再 鎖上,關閉裝置之後,我們不能再掛載裝置,從而也就不能在裝置上讀寫。
1.解除安裝裝置:umount /mnt/
2.關閉裝置:cryptsetup close redhat ##redhat就是我們在開啟時指定的虛擬裝置
關閉後,我們可以看到,/dev/mapper中,虛擬裝置redhat消失,在下次開啟加密裝置時,由我們指定新的虛擬裝置:
4.加密磁碟開機自動掛載
首先,我們建立/pub目錄用來永久掛載加密磁碟:
1.開機自動掛載:
vim /etc/fstab
/dev/mapper/ww /pub xfs defaults 0 0
裝置 掛載點 檔案型別 掛載方式預設 是否備份 是否檢查
2.設定虛擬裝置與真實裝置的對映
我們已經知道,在開啟加密磁碟時,需要我們指定相應的虛擬裝置,在上面的編輯中,我們指定了裝置與掛載點,但是我們指定的裝置是系統中當前並不存在的虛擬裝置,因此,我們還需要建立虛擬裝置與真實裝置的對映,也就是開啟加密磁碟:
vim /etc/crypttab
ww /dev/vdb1 /root/vdb1passwd
虛擬裝置 真實裝置 校驗檔案
##表示:真實裝置通過此校驗檔案成功後建立此虛擬裝置
3.建立校驗檔案
在上面,我們指定/root/vdb1passwd為校驗檔案,但是此檔案中系統並不存在,因此我們需要自己建立此檔案,並在此檔案中寫入磁碟的密碼:
4.為加密的裝置新增密碼校驗檔案
我們 在上面建立了校驗檔案,但是此時,此檔案與裝置聽不存在聯絡,因此我們還需讓這兩者建立聯絡:
cryptsetup luksAddKey /dev/vdb1 /root/vdb1passwd ##指定此加密裝置的校驗檔案為/root/vdb1passwd
完成這些操作後,我們的加密磁碟就可以開機自動掛載,首先,我們可以看到當前/dev/mapper/ww並沒有掛載到/pub上:
reboot後,我們可以看到裝置自動掛載,並且裝置中還存在我們建立的檔案test{1…5}:
5.刪除加密裝置:
刪除裝置的過程即是刪除我們對裝置做的所有更改
1.刪除自動掛載檔案中的內容:vim /etc/fstab
2.刪除/etc/crypttab中的內容:
3.刪除校驗檔案;
4.解除安裝裝置:
5.關閉裝置:
6.格式化裝置:
此時,此裝置就變為一個普通的裝置,我們不再需要進行“開啟”“關閉”等操作,可以直接對裝置進行掛載:
