介绍
人们需要加密分区的原因有很多。无论他们将隐私,安全性或机密性作为根源,在Linux系统上设置基本的加密分区都非常容易。使用LUKS时尤其如此,因为它的功能直接内置在内核中。
安装Cryptsetup
Debian /Ubuntu
在Debian和Ubuntu上,cryptsetup
实用程序可在存储库中轻松获得。对于Mint或它们的任何其他派生类也应如此。
$ sudo apt-get install cryptsetup
CentOS /Fedora
同样,所需的工具可以在CentOS和Fedora中轻松获得。这些发行版将它们分解为多个软件包,但仍可以使用yum
和dnf
分别。CentOS的
# yum install crypto-utils cryptsetup-luks cryptsetup-luks-devel cryptsetup-luks-libs
软呢帽
# dnf install crypto-utils cryptsetup cryptsetup-luks
OpenSUSE
OpenSUSE更像基于Debian的发行版,包括您需要的一切cryptsetup
。
# zypper in cryptsetup
Arch Linux
Arch在这里也恪守其“保持简单”的理念。
# pacman -S cryptsetup
Gentoo
Gentoo用户在安装使用LUKS所需的工具时应该主要关心的是他们的内核是否受支持。本指南将不覆盖这一部分,而只是请注意内核支持是一个因素。如果您的内核确实支持LUKS,则可以emerge
包装。
# emerge --ask cryptsetup
设置分区
警告: 以下内容将擦除正在使用的分区上的所有数据,并使该数据不可恢复。请谨慎操作。从这里开始,这都不是特定于发行版的。可以在任何发行版上很好地工作。提供的默认值实际上是相当不错的,但是可以很容易地对其进行自定义。如果您真的不愿意和他们一起玩,请不要担心。如果您知道自己想做什么,请放心。
基本选项如下:
--cypher: This determines the cryptographic cypher used on the partition. The default option is aes-xts-plain64
--key-size: The length of the key used. The default is 256
--hash: Chooses the hash algorithm used to derive the key. The default is sha256.
--time: The time used for passphrase processing. The default is 2000 milliseconds.
--use-random/--use-urandom: Determines the random number generator used. The default is --use-random.
因此,没有选项的基本命令如下所示。
# cryptsetup luksFormat /dev/sdb1
显然,您想要使用要加密的分区的路径。如果您确实想使用选项,则如下所示。
# cryptsetup -c aes-xts-plain64 --key-size 512 --hash sha512 --time 5000 --use-urandom /dev/sdb1
Cryptsetup
会要求输入密码。选择既安全又令人难忘的一种。如果忘记了,您的数据会迷路。这可能需要几秒钟才能完成,但是完成后,它将成功将您的分区转换为加密的LUKS卷。
接下来,您必须在设备映射器上打开该卷。这是提示您输入密码短语的阶段。您可以选择要在其下映射分区的名称。它到底是什么并不重要,所以只需选择易于记住和使用的东西即可。
# cryptsetup open /dev/sdb1 encrypted
映射驱动器后,必须为分区选择文件系统类型。创建该文件系统与在常规分区上创建文件系统相同。
# mkfs.ext4 /dev/mapper/encrypted
在常规分区和加密分区上创建文件系统之间的一个区别是,您将使用映射名称的路径而不是实际分区位置。等待文件系统被创建。然后,驱动器就可以使用了。
安装和卸载
手动安装和卸载加密分区几乎与普通分区相同。但是,在每个方向上都还需要执行一步。首先,要手动安装加密分区,请运行以下命令。
# cryptsetup --type luks open /dev/sdb1 encrypted
# mount -t ext4 /dev/mapper/encrypted /place/to/mount
卸载分区与普通分区相同,但是您也必须关闭映射的设备。
# umount /place/to/mount
# cryptsetup close encrypted
闭幕
还有很多,但是在谈论安全性和加密时,事情运行得很深入。本指南提供了加密和使用加密分区的基础,这是不容忽视的重要的第一步。在这个领域肯定会有更多的产品,因此,如果您有兴趣进一步研究,请务必回来看看。