当前位置: 首页>>技术教程>>正文


使用LUKS加密Linux分区的基本指南

, ,

介绍

人们需要加密分区的原因有很多。无论他们将隐私,安全性或机密性作为根源,在Linux系统上设置基本的加密分区都非常容易。使用LUKS时尤其如此,因为它的功能直接内置在内核中。

安装Cryptsetup

Debian /Ubuntu

在Debian和Ubuntu上,cryptsetup实用程序可在存储库中轻松获得。对于Mint或它们的任何其他派生类也应如此。


$ sudo apt-get install cryptsetup

CentOS /Fedora

同样,所需的工具可以在CentOS和Fedora中轻松获得。这些发行版将它们分解为多个软件包,但仍可以使用yumdnf分别。CentOS的


# yum install crypto-utils cryptsetup-luks cryptsetup-luks-devel cryptsetup-luks-libs

软呢帽


# dnf install crypto-utils cryptsetup cryptsetup-luks



OpenSUSE

OpenSUSE更像基于Debian的发行版,包括您需要的一切cryptsetup


# zypper in cryptsetup

Arch Linux

Arch在这里也恪守其“保持简单”的理念。


# pacman -S cryptsetup

Gentoo

Gentoo用户在安装使用LUKS所需的工具时应该主要关心的是他们的内核是否受支持。本指南将不覆盖这一部分,而只是请注意内核支持是一个因素。如果您的内核确实支持LUKS,则可以emerge包装。


# emerge --ask cryptsetup

设置分区

警告: 以下内容将擦除正在使用的分区上的所有数据,并使该数据不可恢复。请谨慎操作。从这里开始,这都不是特定于发行版的。可以在任何发行版上很好地工作。提供的默认值实际上是相当不错的,但是可以很容易地对其进行自定义。如果您真的不愿意和他们一起玩,请不要担心。如果您知道自己想做什么,请放心。

基本选项如下:


--cypher:  This determines the cryptographic cypher used on the partition.  The default option is aes-xts-plain64

--key-size: The length of the key used.  The default is 256

--hash: Chooses the hash algorithm used to derive the key.  The default is sha256.

--time: The time used for passphrase processing.  The default is 2000 milliseconds.

--use-random/--use-urandom: Determines the random number generator used.  The default is --use-random.


因此,没有选项的基本命令如下所示。

# cryptsetup luksFormat /dev/sdb1

显然,您想要使用要加密的分区的路径。如果您确实想使用选项,则如下所示。

# cryptsetup -c aes-xts-plain64 --key-size 512 --hash sha512 --time 5000 --use-urandom /dev/sdb1

Cryptsetup会要求输入密码。选择既安全又令人难忘的一种。如果忘记了,您的数据会迷路。这可能需要几秒钟才能完成,但是完成后,它将成功将您的分区转换为加密的LUKS卷。

接下来,您必须在设备映射器上打开该卷。这是提示您输入密码短语的阶段。您可以选择要在其下映射分区的名称。它到底是什么并不重要,所以只需选择易于记住和使用的东西即可。

# cryptsetup open /dev/sdb1 encrypted

映射驱动器后,必须为分区选择文件系统类型。创建该文件系统与在常规分区上创建文件系统相同。

# mkfs.ext4 /dev/mapper/encrypted

在常规分区和加密分区上创建文件系统之间的一个区别是,您将使用映射名称的路径而不是实际分区位置。等待文件系统被创建。然后,驱动器就可以使用了。

安装和卸载

手动安装和卸载加密分区几乎与普通分区相同。但是,在每个方向上都还需要执行一步。首先,要手动安装加密分区,请运行以下命令。


# cryptsetup --type luks open /dev/sdb1 encrypted
# mount -t ext4 /dev/mapper/encrypted /place/to/mount

卸载分区与普通分区相同,但是您也必须关闭映射的设备。


# umount /place/to/mount
# cryptsetup close encrypted

闭幕

还有很多,但是在谈论安全性和加密时,事情运行得很深入。本指南提供了加密和使用加密分区的基础,这是不容忽视的重要的第一步。在这个领域肯定会有更多的产品,因此,如果您有兴趣进一步研究,请务必回来看看。

参考资料

本文由Ubuntu问答整理, 博文地址: https://ubuntuqa.com/article/8257.html,未经允许,请勿转载。