TrueCrypt是没有更多的,这个帖子的目的是显示你直接分区加密与dm-crypt luks。
DM-Crypt是透明驱动器加密,它是内核模块,也是设备映射器框架的一部分,用于将物理块设备映射到更高级别的虚拟块设备上,它使用内核加密api中的加密例程。 长篇小说,设备映射加密由内核提供“linux”crypto api。
确保您至少有一个没有数据的分区。 如果您没有可用的分区,请使用parted,gparted或任何您喜欢的程序来缩小一些现有的分区并创建一个新的分区。
我将使用分区称为/dev/sda3 ,我们的第一个任务是用随机数据覆盖该分区3次,这足以防止您进行法医调查。 我花了将近30分钟,20 GB的分区被覆盖了3次。
shred --verbose --random-source=/dev/urandom --iterations=3 /dev/sda3
以LUKS加密方式创建加密设备映射器设备:
cryptsetup --verbose --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random luksFormat /dev/sda3
你会被问到以下问题:
WARNING!
========
This will overwrite data on /dev/sda3 irrevocably.
Are you sure? (Type uppercase yes): YES
Enter passphrase:
Verify passphrase:
Command successful
解锁分区,这里“root”是设备映射器的名称,把它看作标签。
cryptsetup open --type luks /dev/sda3 root
我们必须创建文件系统才能编写可通过设备映射器名称(label)访问的加密数据。
mkfs.ext4 /dev/mapper/root
安装设备并传输所有数据:
mount -t ext4 /dev/mapper/root /mnt
一旦完成,请卸载并关闭设备:
umount /mnt
cryptsetup接近根
最后但并非最不重要的是清除复制和缓存缓冲区:
sysctl --write vm.drop_caches=3
就是这样,简单直接的加密。 从现在开始,您只需要解锁,安装,传输数据,卸载并关闭设备。
如果你有几个小时的空闲和实验,可以随时阅读这些页面:
链路1 , 链路2 , 链路3 , 链路4 , 链路5 , 链路6 , 链路7
如果要进行全盘加密,请保护/启动分区。 一切都写在伟大的细节如何做到在上述链接。
发布编辑:事情变得更好,因为我刚刚了解到可以刻录LUKS加密的CD和DVD光盘。
而是使用驱动器分区,我们将通过dd和内核的随机数生成器/ dev / urandom创建一个文件,该文件将使用假熵来填充初始文件。
创建500MB文件,将在单个文件中用作文件系统。
dd if=/dev/urandom of=encrypted.volume bs=1MB count=500
只需使用dd替换此帖子(shred)中的第一个命令,然后键入其余的命令。
现在,您可以确保没有人会在LUKS加密中的整个文件系统的单个文件中过去您的数据,只需确保在将其刻录到光盘之前卸载和关闭encrypted.volume 。
