使用Debian 9.4或Ubuntu 18.04 LTS进行全驱动加密

本教程将逐步向您展示如何使用Debian 9.4或Ubuntu 18.04 LTS（Bionic Beaver）上的Cryptsetup加密完整驱动器。获得加密的驱动器可能不是LVM卷的一部分。

假设

1.要加密的驱动器不是LVM的一部分。

2. cryptsetup已经安装

3.您已经知道要加密的设备（在本例中我将使用/ dev / sdb1）

4.您已经保存了要加密的驱动器上的所有数据， 否则您将丢失所有数据

你需要知道如何使用sudo或su -

备注和警告

您已经保存了要加密的驱动器上的所有数据， 否则您将丢失所有数据

我提出的过程，为我工作 - YMMV

请参阅最后的引用链接，以获得其他选项和过程的完整概述，因为本教程是从这些链接到我的需求的汇编。

...最后，您已经保存了要加密的驱动器上的所有数据， 否则您将丢失所有数据

创建一个用于身份验证的密钥文件 - 如果您打算在启动时使用自动挂载，则需要这样做：

dd if=/dev/urandom of=/root/drive_key bs=1024 count=4

保护密钥文件只能由root读取：

chmod 0400 /root/drive_key

初始化LUKS文件系统并使用密钥文件进行身份验证而不是密码：

cryptsetup -d=/root/drive_key -v luksFormat /dev/sdb1

使用密钥文件创建LUKS映射：

cryptsetup -d=/root/drive_key luksOpen /dev/sdb1 data

创建你的文件系统（我使用ext4）：

mkfs.ext4 /dev/mapper/data

在系统上创建挂载点（某些人使用/ media）：

mkdir /mnt/data

在挂载点挂载新文件系统：

mount /dev/mapper/data /mnt/data

通过将以下行添加到/ etc / crypttab，为要使用的fstab创建映射器：

data /dev/sdb1 /root/drive_key luks

将挂载点添加到/ etc / fstab：

/dev/mapper/data /mnt/data ext4 defaults 0 2

此时，您需要做的就是重启或使用mount -a。我自己发现只需重新启动系统就更清洁了。

这个设置非常适用于Debian或Ubuntu。我已经在两者之间互换了这种设置。

这意味着，如果您在Debian中创建上面列出的加密驱动器（正如我在9.4中所做的那样），只要我使用上面概述的相同进程和密钥文件，我就可以在Ubuntu 18.04下安装相同的驱动器。

关键是要确保至少对您的根目录（或至少是密钥文件）进行tarballed，并将其移动到具有与以前操作系统相同权限的相同位置。