我们主要有两种加密文件和目录的方法。一种是文件系统级别的加密,在这种加密中,你可以选择性地加密某些文件或者目录(如,/home/alice)。对我而言,这是个十分不错的方法,你不需要为了启用或者测试加密而把所有一切重新安装一遍。然而,文件系统级别的加密也有一些缺点。例如,许多现代应用程序会缓存(部分)文件你硬盘中未加密的部分中,比如交换分区、/tmp和/var文件夹,而这会导致隐私泄漏。
另外一种方式,就是所谓的全盘加密,这意味着整个磁盘都会被加密(可能除了主引导记录外)。全盘加密工作在物理磁盘级别,写入到磁盘的每个比特都会被加密,而从磁盘中读取的任何东西都会在运行中解密。这会阻止任何潜在的对未加密数据的未经授权的访问,并且确保整个文件系统中的所有东西都被加密,包括交换分区或任何临时缓存数据。
文件系统级别加密
- EncFS:尝试加密的最简单方式之一。EncFS工作在基于FUSE的伪文件系统上,所以你只需要创建一个加密文件夹并将它挂载到某个文件夹就可以工作了。
- eCryptFS:一个POSIX兼容的加密文件系统,eCryptFS工作方式和EncFS相同,所以你必须挂载它。
磁盘级别加密
- Loop-AES:最古老的磁盘加密方法。它真的很快,并且适用于旧系统(如,2.0内核分支)。
- DMCrypt:最常见的磁盘加密方案,支持现代Linux内核。
- CipherShed:已停止的TrueCrypt磁盘加密程序的一个开源分支。
(1)磁盘加密
fdisk /dev/vdb ###创建设备
cryptsetup luksFormat /dev/vdb1 ###安装加密层
cryptsetup open /dev/vdb1 ###打开加密层
mkfs.xfs /dev/mapper/westos ###格式化解密后的设备
mount /dev/mapper/westos /mnt ——-格式化后才能挂载
umount /mnt —(通过设备名卸载或者通过挂载点卸载)
cryptsetup close westos
(2)加密磁盘永久加密挂载
vim /etc/crypttab
解密后的设备管理文件 设备 加密字符存放文件
Redhat /dev/vdb1 /root/password
vim /root/password
…………..
chmod 600 /root/password
cryptsetup luksAddKey /dev/vdb1 /root/password
vim /etc/fstab
/dev/mapper/redhat /mnt xfs defaults 0 0reboot
(3)加密清除
清除 /etc/fstab 和/etc/crypttab 的内容
rm -fr /root/password
umount /mnt
cryptsetup close redhat
mkfs.xfs /dev/vdb1
741
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
