Ubuntu 19.04 磁盘加密

最新推荐文章于 2024-04-24 18:06:09 发布
最新推荐文章于 2024-04-24 18:06:09 发布
阅读量4.6k 收藏 6
点赞数 1
分类专栏: Linux
原文链接:https://medium.com/@chrishantha/encrypting-disks-on-ubuntu-19-04-b50bfc65182a
版权

多年来一直是Ubuntu的粉丝。 我通常将Ubuntu安装更新到最新的可用发行版,以便使用开源世界必须提供的最新和最出色的应用程序和功能。 例如,最新的Ubuntu 19.04具有GNOME 3.32,Linux Kernel 5.0和性能改进!

我也总是进行全新的Ubuntu安装(当然要确保安装是最新的),并且将数据保存在单独的分区中,以避免在安装过程中删除整个磁盘。 我还双重启动Windows 10(是的,我也是Windows的粉丝。但是,我的主要开发环境在Ubuntu上)。 因此,我总是将Ubuntu安装到一个单独的分区,并将主目录安装在另一个分区中。

加密数据

如今,隐私和安全至关重要,加密数据对于您的隐私和安全至关重要。 加密数据有很多利弊,这是一个不同的话题。 最重要的一点是,只要您的加密密钥(密码)是安全的,并且只有您有权访问数据,您的数据才是安全的。

当我们考虑欧盟通用数据保护条例(GDPR)时,对数据进行加密也非常重要。 公司对计算机上的数据进行加密,以减少数据泄露的可能性。

在Ubuntu中,有几种加密数据的方法。

  1. 使用eCryptfs(Linux的企业加密文件系统)来加密您的主目录。
  2. 使用fscrypt(用于管理Linux文件系统加密的高级工具)
  3. 使用LUKS(Linux统一密钥设置)加密磁盘

自Ubuntu 18.04 LTS发行以来,Ubuntu安装不再为您提供在安装过程中使用eCryptfs加密主文件夹的功能。 相反,它提供了对整个硬盘进行加密的功能。 但是,仅当您选择擦除磁盘并安装Ubuntu时,才启用加密Ubuntu安装的选项。

在Ubuntu安装之后,您仍然可以通过安装ecryptfs-utils软件包来使用eCryptfs。 但是,我不想使用ecryptfs-utils软件包,因为在将它称为有问题的和维护不足的软件包后,它已在Ubuntu安装中删除了! 您可以参考错误注释以获取更多详细信息,但建议的替代方法是在文件系统中使用LUKS或fscrypt支持(例如ext4)使用全盘加密,以对每个目录进行加密。

即使有备份,我也不想删除我的Ubuntu分区以使用LUKS启用磁盘加密。 因此,我首先尝试了fscrypt工具。

Linux Kernel 5.0中突出显示的功能之一是对Adiantum文件系统加密的本机支持。 由于Adiantum是由Google专为运行Android Go的低功耗移动设备设计和创建的,因此,我希望将fscrypt与Adiantum一起使用不会带来太多性能开销。

从源代码构建fscrypt后,我设法使fscrypt与Adiantum加密一起使用。 尚未从官方Ubuntu存储库中的fscrypt包获得Adiantum支持。 设置fscrypt很简单,但是我遇到了几个问题。 有时,解锁后我什至无法读取自己的文件。 尝试访问文件时,我得到的只是“不允许操作”。 由于fscrypt对我来说不够稳定,因此我想尝试使用LUKS进行全盘加密。

如前所述,如果您选择擦除磁盘并安装Ubuntu,则可以使用LUKS启用全盘加密。 但这不是我的选择,因为我双重启动Windows。

在Ubuntu Wiki中,有非常详细的说明来手动加密整个系统。 这是一本全面的指南; 但是,由于一些原因,我没有遵循它。 一个主要原因是,在其中一个步骤中,它要求您从Dropbox下载脚本并执行。 您知道永远不要从Web运行不受信任的脚本。 无论如何,我下载了它并检查了它的工作方式。 尽管我没有执行它,但这是一个编写良好的脚本。 事实证明,实际加密分区的步骤非常简单。

通过遵循另一本在Ubuntu上加密分区的指南,我也发现很容易理解这些步骤。

使用LUKS进行磁盘加密

在本节中,我将说明如何使用LUKS加密分区以及如何在加密分区上安装Ubuntu 19.04。

请注意,我已经有了GUID分区表(GPT),这使事情变得非常容易。

什么是LUKS?
Linux统一密钥设置(LUKS)是Linux硬盘加密的标准。 LUKS还支持对多个用户密码的安全管理。

准备分区
安装Ubuntu 19.04时,我决定创建3个分区。

  1. 引导分区以挂载 /boot
  2. 根分区挂载 /
  3. 数据分区挂载 /home

之前,我将/ boot和/挂载到单个分区。 使用加密的/ boot目录会使事情变得更复杂,因此我决定不加密/ boot目录。

注意:在考虑加密磁盘之前,请确保备份数据。

使用“Try Ubuntu”选项启动Ubuntu 19.04实时映像。
在安装Ubuntu之前,需要对分区进行加密。 因此,我首先从Ubuntu 19.04 live image引导了PC,然后选择“ Try Ubuntu”选项。

创建分区

我使用GParted应用程序删除了现有的根分区和数据分区,该应用程序已安装在Ubuntu 19.04实时映像上。
在这里插入图片描述

如前所述,我创建了3个分区。
对于启动分区,我给了500MiB

在这里插入图片描述

我为将安装操作系统的根分区提供了51200MiB(50GiB)。 您实际上不需要为根分区提供大量空间。 以我的经验,50GiB绰绰有余,尤其是当您在根分区中有交换文件并在根分区上安装所有软件时。
在这里插入图片描述

我将剩余空间分配给了数据分区。
在这里插入图片描述

创建3个分区后,更改在GParted中显示为挂起操作。

我单击了GParted上的复选标记图标应用修改。

在这里插入图片描述

修改完成:
在这里插入图片描述

一旦所有操作成功完成,我就开始使用终端对新分区/ dev / sda7(rootfs)和/ dev / sda8(data)进行加密。

在这里插入图片描述

加密根分区和数据分区

我使用cryptsetup命令使用LUKS加密分区。
首先,使用cryptsetup命令初始化LUKS分区。 初始化LUKS分区后,将打开该分区并提供密码。

sudo cryptsetup luksFormat --hash=sha512 --key-size=512 /dev/sda7 
sudo cryptsetup luksOpen /dev/sda7 rootfs

sudo cryptsetup luksFormat --hash=sha512 --key-size=512 /dev/sda8
sudo cryptsetup luksOpen /dev/sda8 home

现在,LUKS分区可在/dev/mapper/下作为LVM逻辑卷使用

注意:建议覆盖LUKS分区以擦除现有内容。 这一步需要很长时间! 为此做好准备。

sudo dd if=/dev/zero of=/dev/mapper/rootfs bs=16M status=progress
sudo dd if=/dev/zero of=/dev/mapper/home bs=16M status=progress

创建逻辑卷以安装Ubuntu并创建主目录
现在,我们需要在LUKS卷之上创建逻辑卷,以在根分区上安装Ubuntu并在数据分区中创建主目录。
我使用以下命令创建逻辑卷。

sudo pvcreate /dev/mapper/rootfs
sudo vgcreate vgroot /dev/mapper/rootfs
sudo lvcreate -n lvroot -l 100%FREE vgroot
sudo pvcreate /dev/mapper/home
sudo vgcreate vghome /dev/mapper/home
sudo lvcreate -n lvhome -l 100%FREE vghome

在这里插入图片描述

以下屏幕截图显示了LUKS分区如何在“磁盘”应用程序中显示。
在这里插入图片描述

创建逻辑卷后,我从桌面上的快捷方式图标开始了Ubuntu安装。
在这里插入图片描述

以下向导显示我具有Windows Boot Manager。
在这里,如果您选择“擦除磁盘并安装Ubuntu”,则可以直接加密Ubuntu安装。

我选择了“Something Else”,因为我已经加密了分区。
在这里插入图片描述

选择执行“Something Else”后,出现以下屏幕。
在这里,我确保将主磁盘选择为“用于安装引导加载程序的设备”
在这里插入图片描述

我选择/dev/sda6作为启动分区,并选择/boot作为安装点。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
接下来,我选择创建的逻辑卷来装入 /
在这里插入图片描述

我指定使用Ext4日记文件系统格式化根分区。
在这里插入图片描述

类似地,我选择了我创建的用于挂载/home的逻辑卷,并指定使用ext4对其进行格式化。
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

确认将更改写入磁盘后,安装继续。
您会看到,加密Home目录的选项在Ubuntu安装中不再可用。

在这里插入图片描述
在这里插入图片描述
安装完成后,我单击“继续测试”进行必要的更改以在启动时加载加密分区。
在这里插入图片描述
我使用以下命令记录了加密分区的UUID。

sudo blkid </dev/DEV_ROOTFS>
sudo blkid </dev/DEV_HOME>

在这里插入图片描述
接下来,我在/mnt上安装了已安装的Ubuntu OS,并使用chroot命令将根目录更改为/mnt

sudo mount /dev/mapper/vgroot-lvroot /mnt
sudo mount </dev/DEV_BOOT> /mnt/boot
sudo mount /dev/mapper/vghome-lvhome /mnt/home
sudo mount --bind /dev /mnt/dev
sudo chroot /mnt
mount -t proc proc /proc
mount -t sysfs sys /sys
mount -t devpts devpts /dev/pts

在这里插入图片描述
接下来,我在chroot环境中创建了一个名为/etc/crypttab的文件。

sudo nano /etc/crypttab

我在/etc/crypttab中添加了以下几行(从先前从blkid命令获得的值替换<UUID_ROOTFS>和<UUID_HOME>)

# <target name> <source device> <key file> <options>
rootfs UUID=<UUID_ROOTFS> none luks,discard
home UUID=<UUID_HOME> none luks,discard

在这里插入图片描述

最后,我使用以下命令更新Linux内核以在启动时加载加密的分区。

update-initramfs -k all -c

在这里插入图片描述

重新启动后,Ubuntu提示输入密码,以在启动时解锁磁盘。
在这里插入图片描述

而已! 现在,我已经加密了根分区和主分区!

结论

在这个故事中,我通过提供逐步说明(包括屏幕截图)解释了加密数据的重要性以及如何对选定分区进行LUKS全盘加密。

在我看来,LUKS是目前在Ubuntu上加密数据的最佳且稳定的方法。

aboutmn
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux 7 realm,系统运维|Samba 系列(十五):用 SSSD 和 Realm 集成 Ubuntu 到 Samba4 AD DC...
weixin_33512578的博客
05-16 884
本教程将告诉你如何将 Ubuntu 桌面版机器加入到带有 SSSD 和 Realm 服务的 Samba4 活动目录域中,以在活动目录中认证用户。要求:第 1 步:初始配置1、在把 Ubuntu 加入活动目录前确保主机名被正确设置了。使用hostnamectl命令设置机器名字或者手动编辑/etc/hostname文件。$ sudo hostnamectl set-hostname your...
VMware12安装Ubuntu19.04桌面版(安装教程)
09-29
主要介绍了VMware12安装Ubuntu19.04桌面版(安装教程),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Ubuntu19.04安装指南-附件资源
03-02
Ubuntu19.04安装指南-附件资源
探索Google的`fscrypt`: 强力加密你的文件系统
gitblog_00069的博客
04-11 367
探索Google的fscrypt: 强力加密你的文件系统 项目地址:https://gitcode.com/google/fscrypt 在当今数字化时代,数据安全至关重要。而Google开源的fscrypt项目提供了一种简单而强大的工具,用于加密Linux文件系统中的文件和目录,保护敏感信息不被未授权访问。本文将深入探讨fscrypt的原理、功能以及如何利用它来增强你的数据安全性。 项目简介 f...
ubuntu19.04安装教程(图文步骤)
09-14
主要介绍了ubuntu19.04安装教程,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Ubuntu全盘加密&开机自动解密配置
qq_41411704的博客
07-03 1951
而且,做了ubuntu的安装界面加密,需要每次开启启动时手动输入密码也是极其不方便,且是不可能远程实现的。所以这边基于调研,做了个基于Ubuntu 20.04 安装时,选择全盘加密,并做了基于boot项的自动解密。1.1 U盘刻录Ubuntu 20.04 系统,在安装过程中,选择清除整个磁盘并安装Ubuntu,ADvance fetures-在Ubuntu新安装中使用LVM,勾选加密Ubuntu新安装以提高安全性。#加密磁盘:/dev/nvme0n1p3,按照提示输入之前配置的磁盘加密密码
ubuntu硬盘i设置密码
Masha
04-26 925
1,重新启动,按F12进入bios系统 2.选择BIOS set up 3.然后选择 Security 4.选择Internate Hb
如何在安装 Ubuntu 22.04 时加密全盘
美国主机评测
06-10 4074
本分步教程将指导您如何在Ubuntu 22.04上启用全盘加密,为此,我们将使用LVM(逻辑卷管理)和LUKS(用于加密目的)。
Ubuntu多硬盘luks全盘加密自动解锁(硬件变更后失效)的方法
Alisebeast的博客
01-14 3572
大家都知道,Linux现在用Luks全盘加密一直有一个痛点,就是每次开机都需要输入解密硬盘的密码,之后又要输入用户密码,非常的麻烦!本文正是为了解决这个问题诞生的!
如何在 Ubuntu加密硬盘
BalterNotz的博客
12-16 4015
https://linux.cn/article-8184-1.html     隐私保护、安全和加密是不可分开的,用户可以通过加密来提高安全和保护操作系统的隐私信息。本文将会介绍在 Ubuntu Linux 中对硬盘全盘加密的优缺点。此外,我们也介绍如何在系统级别上进行加密设置,并对一些目录进行加密加密是非常有用的,而且也没有你想象中那么复杂。综上所述,让我开始进行加密吧。 加密的优缺...
ubuntu文件夹加密_安装Ubuntu后如何加密您的主文件夹
culinxia2707的博客
09-17 3680
ubuntu文件夹加密Ubuntu offers to encrypt your home folder during installation. If you decline the encryption and change your mind later, you don’t have to reinstall Ubuntu. You can activate the encryption ...
安装VmWare15.5并在vm上安装ubuntu19.04系统
01-09
第一步:安装vmware15.5 官网直链下载 ...安装完vmware(如果是linux版本的到官网 ...第二步:下载Ubuntu19.04镜像文件=====》官方链接点击就可以直接下载https://ubuntu.com/download/desktop/thank-you
ssd 安装linux 教程,在Ubuntu中操作SSD固态驱动器的安装步骤和优化技巧
weixin_31995343的博客
05-05 1532
毫无疑问,SSD硬盘对我们计算机的重要性。好的SSD硬盘驱动器可以帮助我们节省大量计算机空间。一些朋友在网络上提问。需要在Ubuntu系统中安装使用SSD固态驱动器。优化时,我不知道如何设置。关于这个问题,今天硅基智慧将与您分享有关在Ubuntu中操作SSD固态驱动器的安装步骤和优化技术的详细说明。具体方法和详细步骤如下:1.下载UbuntuCD映像2.用u盘安装这时,计算机没有可用的CD-ROM...
ubuntu挂载硬盘后添加读写权限
mathematican的博客
07-28 2409
sudo chmod 777 /home/yourname/newdisk
ubuntu系统安全和防护-区分固态硬盘和机械硬盘
xkjscm的博客
11-10 4561
lsblk -d -o name,rota 对于其返回值,看rota值来判断,如果rota为1,则意味旋转,则为机械盘,若rota为0则意味着发该盘为固态。
加密安全-openssh服务
最新发布
qq_37867279的博客
04-24 994
当手动输入yes后,109会获取到106的公钥文件:公钥位置在106节点的/etc/ssh/下,会有多个.pub结尾的公钥文件,109链接的时候会随机一个公钥文件。109节点的获取106的公钥会记录在/root/.ssh/known_hosts中。
Linux下 cryptsetup 加密磁盘的基本使用
J_KF_MySQL的博客
01-19 2189
Linux下 cryptsetup 加密磁盘的基本使用 安装 # Centos yum install cryptsetup -y # Ubuntu apt install cryptsetup -y 直接加密整块磁盘,注意这时候磁盘还不存在任何东西,初始化状态 使用 `fdisk -l` 查看第二块硬盘,这里识别为 `/dev/sdb` # 创建 pv ,如果 sdb 已经有分区,则删掉分区,fdisk /dev/sdb --> p [显示分区表] --> d [输入分区编号] # 创
玩转Ubuntu Linux之加密文件系统篇
Fybon的专栏
10-14 5034
本文将详细介绍利用dm-crypt来创建加密文件系统的方法。与其它创建加密文件系统的方法相比,dm-crypt系统有着无可比拟的优越性:它的速度更快,易用性更强。除此之外,它的适用面也很广,能够运行在各种块设备上,即使这些设备使用了RAID和 LVM也毫无障碍。dm-crypt系统之所以具有这些优点,主要得益于该技术是建立在2.6版本内核的device-mapper特性之上的。device-map
linux加密系统分区,在Ubuntu Linux中加密分区技术(cryptsetup)
weixin_35803480的博客
05-05 691
?在Ubuntu Linux中加密分区技术(cryptsetup)Debian,Ubuntu,还有Fedora都可以用cryptsetup-luks了。你不需要修改内核或者其他任何东西;你只要安装就行了。Debian和Ubuntu 系列上:# aptitude安装cryptsetup在Fedora上:#yum安装cryptsetup-luks让系统做好准备不幸的是,cryptsetup不能给你系统...
ubuntu19.04安装cuda10.2
09-08
要在Ubuntu 19.04上安装CUDA 10.2,你可以按照以下步骤进行操作: 1. 首先,确保你的Ubuntu 19.04系统已经更新到最新版本,并安装了必要的依赖项。 2. 前往NVIDIA官方网站下载CUDA 10.2的安装文件。你可以使用以下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值