如何在Linux上使用DM-Crypt LUKS加密分区

TrueCrypt是没有更多的,这个帖子的目的是显示你直接分区加密与dm-crypt luks。

DM-Crypt是透明驱动器加密,它是内核模块,也是设备映射器框架的一部分,用于将物理块设备映射到更高级别的虚拟块设备上,它使用内核加密api中的加密例程。 长篇小说,设备映射加密由内核提供“linux”crypto api。

确保您至少有一个没有数据的分区。 如果您没有可用的分区,请使用parted,gparted或任何您喜欢的程序来缩小一些现有的分区并创建一个新的分区。

我将使用分区称为/dev/sda3 ,我们的第一个任务是用随机数据覆盖该分区3次,这足以防止您进行法医调查。 我花了将近30分钟,20 GB的分区被覆盖了3次。

shred --verbose --random-source=/dev/urandom --iterations=3 /dev/sda3

以LUKS加密方式创建加密设备映射器设备:

cryptsetup --verbose --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random luksFormat /dev/sda3

你会被问到以下问题:

WARNING!
========
This will overwrite data on /dev/sda3 irrevocably.
 
 
Are you sure? (Type uppercase yes): YES
Enter passphrase:
Verify passphrase:
Command successful

解锁分区,这里“root”是设备映射器的名称,把它看作标签。

cryptsetup open --type luks /dev/sda3 root

我们必须创建文件系统才能编写可通过设备映射器名称(label)访问的加密数据。

mkfs.ext4 /dev/mapper/root

安装设备并传输所有数据:

mount -t ext4 /dev/mapper/root /mnt

一旦完成,请卸载并关闭设备:

umount /mnt

cryptsetup接近根

最后但并非最不重要的是清除复制和缓存缓冲区:

sysctl --write vm.drop_caches=3

就是这样,简单直接的加密。 从现在开始,您只需要解锁,安装,传输数据,卸载并关闭设备。

如果你有几个小时的空闲和实验,可以随时阅读这些页面:

链路1链路2链路3链路4链路5链路6链路7

如果要进行全盘加密,请保护/启动分区。 一切都写在伟大的细节如何做到在上述链接。

发布编辑:事情变得更好,因为我刚刚了解到可以刻录LUKS加密的CD和DVD光盘。

而是使用驱动器分区,我们将通过dd和内核的随机数生成器/ dev / urandom创建一个文件,该文件将使用假熵来填充初始文件。

创建500MB文件,将在单个文件中用作文件系统。

dd if=/dev/urandom of=encrypted.volume bs=1MB count=500

只需使用dd替换此帖子(shred)中的第一个命令,然后键入其余的命令。

现在,您可以确保没有人会在LUKS加密中的整个文件系统的单个文件中过去您的数据,只需确保在将其刻录到光盘之前卸载和关闭encrypted.volume

赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏