ecryptfs透明加密

已于 2023-07-24 17:40:14 修改
阅读量615 收藏 2
点赞数
文章标签: linux
于 2023-07-21 11:23:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bme314/article/details/131847453
版权

构建思想

透明加密一直是安全领域比较热门的领域,了解了下linux内核自带的ecryptfs。首先作者为了实现透明加密,构造了一个ecryptfs的文件系统。这个文件系统并没有对, 磁盘文件的直接组织,而是依附在已有的文件系统上,通过构建的文件系统对已有的文件系统做了重新组织实现。

文件系统架构

在这里插入图片描述
正如常见的文件系统构成一样,ecrypt构建了自己的文件系统节点管理逻辑。
在这里插入图片描述
之后是磁盘管理和虚拟文件系统管理。这些都是依附与一个叫lowe_path的核心逻辑,就是未加密文件夹。通过对未加密文件夹重新组织,实现对未加密文件页缓存加密。

剩余的就是挂载节点的管理如下图:
在这里插入图片描述

文件系统构建起点

为了构造一个完整的加密文件系统,不可能自己实现inode dentry的管理,因为需要劫持底层ext4等文件的页缓存。那么就要依赖现有的文件inode管理。

研究struct file_system_type 的mount实现,可以观察到:
在这里插入图片描述
整个文件系统围绕 dev_name构造的lower_path lower_sb进行。这个节点就是真实文件系统的节点管理的核心,也就是加密前的文件系统。这样借助现有文件系统,可以更方便的虚拟处一个文件系统,但实际数据全部还是在真是的文件系统上。

在这里插入图片描述

文件节点创建

在这里插入图片描述

static struct inode *
ecryptfs_do_create(struct inode *directory_inode,
		   struct dentry *ecryptfs_dentry, umode_t mode)
{
	int rc;
	struct dentry *lower_dentry;
	struct dentry *lower_dir_dentry;
	struct inode *inode;

	lower_dentry = ecryptfs_dentry_to_lower(ecryptfs_dentry);
	lower_dir_dentry = lock_parent(lower_dentry);
	rc = vfs_create(d_inode(lower_dir_dentry), lower_dentry, mode, true);
	if (rc) {
		printk(KERN_ERR "%s: Failure to create dentry in lower fs; "
		       "rc = [%d]\n", __func__, rc);
		inode = ERR_PTR(rc);
		goto out_lock;
	}
	inode = __ecryptfs_get_inode(d_inode(lower_dentry),
				     directory_inode->i_sb);
	if (IS_ERR(inode)) {
		vfs_unlink(d_inode(lower_dir_dentry), lower_dentry, NULL);
		goto out_lock;
	}
	fsstack_copy_attr_times(directory_inode, d_inode(lower_dir_dentry));
	fsstack_copy_inode_size(directory_inode, d_inode(lower_dir_dentry));
out_lock:
	unlock_dir(lower_dir_dentry);
	return inode;
}

这里跟我猜测的一样,利用vfs_create触发了底层文件系统节点构造方法。
可以看到直接利用 d_instantiate_new(ecryptfs_dentry, ecryptfs_inode); 把底层文件系统的几点元数据关联到了ecryptfs文件系统。表现就是,挂载点可以看到被挂在点的全部数据。

static struct dentry *ecryptfs_lookup(struct inode *ecryptfs_dir_inode,
				      struct dentry *ecryptfs_dentry,
				      unsigned int flags)
{
	char *encrypted_and_encoded_name = NULL;
	struct ecryptfs_mount_crypt_stat *mount_crypt_stat;
	struct dentry *lower_dir_dentry, *lower_dentry;
	const char *name = ecryptfs_dentry->d_name.name;
	size_t len = ecryptfs_dentry->d_name.len;
	struct dentry *res;
	int rc = 0;

	lower_dir_dentry = ecryptfs_dentry_to_lower(ecryptfs_dentry->d_parent);

	mount_crypt_stat = &ecryptfs_superblock_to_private(
				ecryptfs_dentry->d_sb)->mount_crypt_stat;
	if (mount_crypt_stat->flags & ECRYPTFS_GLOBAL_ENCRYPT_FILENAMES) {
		rc = ecryptfs_encrypt_and_encode_filename(
			&encrypted_and_encoded_name, &len,
			mount_crypt_stat, name, len);
		if (rc) {
			printk(KERN_ERR "%s: Error attempting to encrypt and encode "
			       "filename; rc = [%d]\n", __func__, rc);
			return ERR_PTR(rc);
		}
		name = encrypted_and_encoded_name;
	}

	lower_dentry = lookup_one_len_unlocked(name, lower_dir_dentry, len);
	if (IS_ERR(lower_dentry)) {
		ecryptfs_printk(KERN_DEBUG, "%s: lookup_one_len() returned "
				"[%ld] on lower_dentry = [%s]\n", __func__,
				PTR_ERR(lower_dentry),
				name);
		res = ERR_CAST(lower_dentry);
	} else {
		res = ecryptfs_lookup_interpose(ecryptfs_dentry, lower_dentry);
	}
	kfree(encrypted_and_encoded_name);
	return res;
}

页缓存操作

这里是加解密的核心,如何借助现有文件系统,实现加解密的逻辑都在这里,其实就是把原有文件系统的页加密。

static int ecryptfs_readpage(struct file *file, struct page *page)
{
	struct ecryptfs_crypt_stat *crypt_stat =
		&ecryptfs_inode_to_private(page->mapping->host)->crypt_stat;
	int rc = 0;

	if (!crypt_stat || !(crypt_stat->flags & ECRYPTFS_ENCRYPTED)) {
		rc = ecryptfs_read_lower_page_segment(page, page->index, 0,
						      PAGE_SIZE,
						      page->mapping->host);
	} else if (crypt_stat->flags & ECRYPTFS_VIEW_AS_ENCRYPTED) {

int ecryptfs_read_lower_page_segment(struct page *page_for_ecryptfs,
				     pgoff_t page_index,
				     size_t offset_in_page, size_t size,
				     struct inode *ecryptfs_inode)
{
	char *virt;
	loff_t offset;
	int rc;

	offset = ((((loff_t)page_index) << PAGE_SHIFT) + offset_in_page);
	virt = kmap(page_for_ecryptfs);
	rc = ecryptfs_read_lower(virt, offset, size, ecryptfs_inode);
	if (rc > 0)
		rc = 0;
	kunmap(page_for_ecryptfs);
	flush_dcache_page(page_for_ecryptfs);
	return rc;
}

int ecryptfs_read_lower(char *data, loff_t offset, size_t size,
			struct inode *ecryptfs_inode)
{
	struct file *lower_file;
	lower_file = ecryptfs_inode_to_private(ecryptfs_inode)->lower_file;
	if (!lower_file)
		return -EIO;
	return kernel_read(lower_file, data, size, &offset);
}

最终借助前期关联的源文件struct file,读取文件。

inquisiter
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
ecryptfs手册
02-24
ecryptfs手册. 这是Linux下文件加密系统的说明。
Linux内核安全技术——磁盘加密技术概述和eCryptfs详解
内核工匠
06-09 1260
一、概述加密是最常见的数据安全保护技术,在数据生命周期各阶段均有应用。从应用场景和技术实现上,按加密对象、用户是否感知、加密算法等维度,有多种分类及对应方案,并在主流操作系统如Windows、Linux、Android中有广泛应用。本文是Linux内核安全技术系列第二篇,主要介绍磁盘加密技术及主流实现方案。首先介绍磁盘加密技术背景,包括应用场景、威胁模型、技术路线分类等;其次介绍磁盘加密的两种实现...
Linux加密文件系统eCryptfs介绍
内核工匠
11-19 4801
eCryptfs 是在 Linux 内核 2.6.19 版本中,由IBM公司的Halcrow,Thompson等人引入的一个功能强大的企业级加密文件系统,它支持文件名和文件内容的加密。一、...
Debian11.5使用eCryptfs构建安全加密存储应用
lggirls的博客
04-12 782
0.选择密码生成方式,输入密码/随机密码 1.首先会要求输入密码;所以说,使用 mount -t ecryptfs ,实际上是建立了加密数据和可操作数据间的通道,我们在可操作数据中进行读写,ecryptfs自动进行加解密过程。当我们umount 后,实际上是关闭了通道,进留下了加密后的数据存储在真实的硬盘上。2.4.再次打开通道,重复之前的操作即可,注意密码和选择要和第一次保持一致,否则就相当于对加密后的数据再次进行了一次加密。中写入信息,就相当于ecryptc自动进行了加密操作,并将加密数据存储在了。
加密文件系统eCryptfs安装与使用
weixin_34198762的博客
12-22 1711
实验目的 掌握eCryptfs的执行过程和设计原理 实验环境 VMware Workstation Pro Ubuntu 16.04 简介 参考链接 eCryptfs 是在 Linux 内核 2.6.19 版本中引入的一个功能强大的企业级加密文件系统,堆叠在其它文件系统之上(如 Ext2, Ext3, ReiserFS, JFS 等),为应用程序提供透明、动态、高效和安全的加密功能。 eCry...
Linux文件加密系统-eCryptfs
杯酒和雪的博客
10-14 1875
eCryptfs eCryptFS(Enterprise Cryptographic Filesystem)可翻译为企业级文件加密系统,是Linux系统中的文件加密系统,能够对文件或目录进行加密,且加密级别高,安全性强于一般软件。 安装eCryptfs sudo apt-get install ecryptfs-utils 加密目录 创建一个加密目录 mkdir -p /disk2/.Pr...
企业级加密文件系统 eCryptfs 详解
weixin_33834075的博客
11-30 605
企业级加密文件系统 eCryptfs 详解 林 昊翔 ([email protected]), Linux 内核爱好者 林昊翔,计算机科学硕士,毕业于清华大学计算机系,Linux 内核爱好者 秦 君 ([email protected]), 软件工程师, IBM 秦君,现在 IBM 中国软件开发实验室 Lotus 开发中心工作,目前从事 Lo...
eCryptfs,文件系统级加密,在登出时自动为文件加密。通过挂载文件解密和卸载文件加密的方式保护文件
ck784101777的博客
03-02 5679
一、文件目录加密与磁盘加密 1.文件目录加密 我们主要有两种加密文件和目录的方法。一种是文件系统级别的加密,在这种加密中,你可以选择性地加密某些文件或者目录(如,/home/alice)。然而,文件系统级别的加密也有一些缺点。例如,许多现代应用程序会缓存(部分)文件你硬盘中未加密的部分中,比如交换分区、/tmp和/var文件夹,而这会导致隐私泄漏。 加密方式: EncFS:尝试加密的最简单...
linux安全-ecryptfs
爱折腾的牛的记录本
05-14 4373
sudo apt-get install ecryptfs-utils2 创建登录密码和挂载密码ecryptfs-setup-privatemkdir /root/tPrivatemount -t ecryptfs /root/tPrivate /root/tPrivatemount -t ecryptfs /root/tPrivate /root/tPrivatehttps://blog.csd...
ecryptfs加密
Ven_J的博客
07-03 750
首先安装 ecryptfs-utils。(sudo apt-get install ecryptfs-utils) 载入ecryptfs模块。(sudo modprobe ecryptfs) 挂载ecryptfs文件系统 sudo mount -t ecryptfs real-path ecryptfs-mount-path 建议real-path和ecryptfs
linux透明加密核心资料
06-15
linux 透明加密。包括文件重定向,虚拟文件系统。核心资料,不容错过。
linux透明加解密
12-25
linux 加解密实现 Ubuntu16.04 64位实现 轻松安装 欢迎交流
面向虚拟化平台的透明加密系统设计与实现 (2010年)
04-26
针对虚拟化平台下数据防泄漏系统的要求,本文结合可信平台模块(trusted platform module,TPM)的密钥管理优势,提出了一种基于ecrytpfs文件系统的透明加密系统设计与实现方法。该文件保护系统MeCryptfs(modified-...
eCryptfs-开源
05-02
移至http://launchpad.net/ecryptfs
基于eCryptfs的多用户加密文件系统设计和实现1
08-03
摘要:加密文件系统eCryptfs能有效防止存储介质在丢失或失窃情况下导致的信息泄露隐患。它的不足在于 :不支持多用户环境下的联机数据保护 ,即一个用户一旦成功
Linux 学习之路 -- 进程篇 -- 进程控制
2302_79538079的博客
04-24 1151
进程控制的简单介绍
Linux|Awk 变量、数字表达式和赋值运算符
冷冻工厂
04-25 588
同样,数字 22 被赋予了变量 port_no,还可以把一个变量的值赋给另一个变量,就像最后一个例子中,将变量 computer_name 的值赋给了变量 server。例如,假设有一个名为 names.txt 的文件,该文件列出了一个应用程序的用户的名单,包括他们的名、姓和性别。要理解在 Awk 中数值表达式的运用,来看下面的例子,这个例子中用到了一个名为 domains.txt 的文件,这个文件列出了 Tecmint 所持有的所有域名。接下来,将探讨 Awk 的最后一个特性——赋值运算符。
Linux:浏览器访问网站的基本流程(优先级从先到后)
最新发布
fox_kang的博客
04-28 648
浏览器访问网站的基本流程(优先级从先到后) 首先查找浏览器是否存在该网站的访问缓存 其次查找本机的域名解析服务器 windows:C:\Windows\System32\drivers\etc\hosts Linux:/etc/hosts 使用外部的域名解析服务器解析(例如:114.114.114.114) 第一步:浏览器使用域名访问www.bilibili.com.网站 第二步:首先去访问根域名解析服务器查询,根服务器返回.com域名解析服务器地址==(这里的根域名解析服务器不会直接给出域名对应的
linux 文件透明加密 步骤
03-21
对于 Linux 文件透明加密,可以使用 eCryptfs 工具来实现。以下是步骤: 1. 安装 eCryptfs 工具:sudo apt-get install ecryptfs-utils 2. 创建一个加密目录:sudo mkdir /home/user/encrypted 3. 使用 eCryptfs 工具将该目录加密:sudo mount -t ecryptfs /home/user/encrypted /home/user/encrypted 4. 输入加密密码并确认 5. 将需要加密的文件或目录复制到加密目录中 6. 卸载加密目录:sudo umount /home/user/encrypted 7. 再次使用 eCryptfs 工具将加密目录挂载:sudo mount -t ecryptfs /home/user/encrypted /home/user/encrypted 8. 输入加密密码并确认 9. 访问加密目录中的文件或目录,它们现在应该是加密的。 注意:在使用 eCryptfs 工具时,请务必备份您的加密密码,因为如果您忘记了密码,您将无法访问加密的文件或目录。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值