arm64 linux上实现文件级加密

最新推荐文章于 2024-04-11 09:53:22 发布
最新推荐文章于 2024-04-11 09:53:22 发布
阅读量3.6k 收藏 5
点赞数
分类专栏: 系统安全 文章标签: linux 安全 网络安全 iot 物联网
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andlee/article/details/126884548
版权

一、原理简介

linux内核支持实现文件级加解密系统,因此如果不考虑密钥的安全存储,只需要开启相关内核配置,并集成fscrypt用户空间工具,即可实现文件级加解密。

fscrypt通过hook文件系统的方式实现文件级加密,加解密逻辑直接嵌入文件操作过程。

二、用户空间工具

2.1. C语言简易版

fscryptctl是一个精简的fscrypt用户空间工具,适合用来实现实验性质的文件系统加解密系统,开放源代码地址为:https://github.com/google/fscryptctl。

2.2. go语言完整版

fscrypt go语言完整版包含了复杂的fscrypt工具和命令,适合在功能强大的PC中集成,开放源代码地址为:https://github.com/google/fscrypt。

三、内核配置

打开内核配置选项CONFIG_FS_ENCRYPTION:

CONFIG_FS_ENCRYPTION=y

四、编译方式

在Makefile中配置以arm64为目标平台的gcc和ld,如下所示:

CC := aarch64-linux-gnu-gcc
LD := aarch64-linux-gnu-ld

五、验证

5.1. 实现加密分区

1. 选择log分区为fscrypt作用分区,确认块设备编号

root@emulator:/userdata# mount | grep log
/dev/block/platform/by-name/log on /log type ext4 (rw,seclabel,noatime,discard)
root@emulator:/dev/block/platform/by-name# ls -l | grep log
lrwxrwxrwx    1 root     root            15 Jan  1 08:00 log -> /dev/mmcblk0p30

2. 将log分区文件系统设为可加密类型

root@emulator:/dev/block/platform/by-name# tune2fs -O encrypt /dev/mmcblk0p30
tune2fs 1.45.3 (14-Jul-2019)

3. 生成随机密钥

dd if=/dev/urandom of=/tmp/key bs=1 count=64
64+0 records in
64+0 records out

4. 为文件系统关联密钥

root@emulator:/userdata# ./fscryptctl add_key /log < /tmp/key
a290ce05e9566ad81acda348a2b906ab

5. 查看密钥状态

root@emulator:/userdata# ./fscryptctl key_status a290ce05e9566ad81acda348a2b906ab /log
Present (user_count=1, added_by_self)

6. 设置加密策略

./fscryptctl set_policy a290ce05e9566ad81acda348a2b906ab /log/enc

7. 查看加密策略

root@emulator:/userdata# ./fscryptctl get_policy /log/enc
Encryption policy for /log/enc:
        Policy version: 2
        Master key identifier: a290ce05e9566ad81acda348a2b906ab
        Contents encryption mode: AES-256-XTS
        Filenames encryption mode: AES-256-CTS
        Flags: PAD_32

8. 构造文件和目录

root@emulator:/userdata# echo This is the message! > /log/enc/message
root@emulator:/userdata# mkdir /log/enc/testdir
root@emulator:/userdata# cat /log/enc/message
This is the message!
root@emulator:/userdata# ls /log/enc
message  testdir

5.2. 测试加密效果

1. 删除密钥,测试文件的加密效果

# 删除密钥
root@emulator:/userdata# ./fscryptctl remove_key a290ce05e9566ad81acda348a2b906ab /log
warning: some files using this key are still in-use
 
# 查看密钥状态
root@emulator:/userdata# ./fscryptctl key_status a290ce05e9566ad81acda348a2b906ab /log
Incompletely removed

# 读取文件内容
root@emulator:/userdata# cat /log/enc/message
cat: can't open '/log/enc/message': Required key not available

# 查看目录内容
root@emulator:/userdata# ls /log/enc
message  testdir

# 创建新目录
root@emulator:/userdata# mkdir /log/enc/test
mkdir: can't create directory '/log/enc/test': Required key not available

2. 提取块设备重新挂载,测试加密效果

# 提取log分区
root@emulator:/userdata# dd if=/dev/mmcblk0p36 of=/ota/logdev
8388608+0 records in
8388608+0 records out

# ubuntu上重新挂载
dev@dev-bluesky:~/sambashare$ sudo mount logdev log
[sudo] password for dev:
dev@dev-bluesky:~/sambashare$ cd log
dev@dev-bluesky:~/sambashare/log$ cd enc

# 文件名、目录名均为密文状态
dev@dev-bluesky:~/sambashare/log/enc$ ls
qTheaAXRLsb6DbHDVfXjgFj64qvDXbBehm6d9DQjFNb1DYQdtfUG0B  wqQqMnICWHOGFmyU1jnUkYWvNQgh2xp98yKUBmdu1D,mRECmxlMqAD

# 无法查看文件内容
dev@dev-bluesky:~/sambashare/log/enc$ cat qTheaAXRLsb6DbHDVfXjgFj64qvDXbBehm6d9DQjFNb1DYQdtfUG0B
cat: qTheaAXRLsb6DbHDVfXjgFj64qvDXbBehm6d9DQjFNb1DYQdtfUG0B: Required key not available
dev@dev-lixiang:~/sambashare/log/enc$ ls wqQqMnICWHOGFmyU1jnUkYWvNQgh2xp98yKUBmdu1D,mRECmxlMqAD

车联网安全杂货铺
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux中的fs文件夹,linux上使用eCryptFS加密文件夹的方法
weixin_42507411的博客
04-29 385
从前有一个摄影师,他不懂加密重要文件,也不懂修电脑,结果你懂的。以下就介绍下linux加密方法及eCryptFS加密的类型我们基本上有两种不同的方法可以对文件和目录进行加密。一种方法是,文件系统加密,只有某些文件或目录(比如/home/alice)选择性地加密。在我看来,这是一种理想的入门方法。你没必要重新安装一切来启用或测试加密。不过,文件系统加密存在一些缺点。比如说,许多现代的应用程序...
64位arm-Linux环境中sqlite3库文件
11-26
SQLite3库文件是用于在Linux ARM平台上支持SQLite功能的关键组件,允许开发者在他们的程序中执行SQL查询、管理数据存储以及实现数据库操作。 SQLite3的主要特性包括: 1. **跨平台性**:SQLite3可以在多种操作系统...
linux文件加密方法总结
桂安俊@KylinOS
08-26 7446
linux文件加密方法总结 为了安全考虑,通常会对一些重要文件进行加密备份或加密保存,下面对linux下的文件加密方法做一简单总结: 方法一:gzexe加密 这种加密方式不是非常保险的方法,但是能够满足一般的加密用途,可以隐蔽脚本中的密码等信息。 它是使用系统自带的gzexe程序,它不但加密,同时压缩文件。示例如下: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
fscrypt:用于管理 Linux 文件系统加密的 Go 工具
07-24
文件加密 fscrypt是管理的高工具。 fscrypt管理元数据、密钥生成、密钥包装、PAM 集成,并提供用于创建和修改加密目录的统一接口。 有关直接设置策略的小型低工具,请参阅 。 请注意, fscrypt的内核部分(已集成到 ext4 等文件系统中)有时也称为“fscrypt”。 为避免混淆,本文档将内核部分称为“Linux 文件系统加密”。 要使用fscrypt ,您必须具有启用加密文件系统和支持从该文件系统读取/写入的内核。 目前, 、 和支持 Linux 文件系统加密。 Ext4开始支持 Linux 文件系统加密,F2FS,而 UBIFS。 其他文件系统将来可能会添加对本机加密的支持。 文件系统可能还需要将某些内核配置选项设置为使用本机加密。 请参阅。 目录 其他加密解决方案 特征 构建和安装 运行时依赖 配置文件 设置登录保护器 保护您的登录密码 启用 PAM
龙蜥白皮书精选:基于 SM4 算法的文件加密fscrypt)实践
weixin_60347558的博客
03-31 1815
即便数据已经离线存储,仍然不能保证该存储介质不会丢失,如果丢失可能是灾难性的事件。本文将介绍如何使用国密算法加密文件系统中的文件。欢迎大家阅读
探索Google的`fscrypt`: 强力加密你的文件系统
gitblog_00069的博客
04-11 448
探索Google的fscrypt: 强力加密你的文件系统 项目地址:https://gitcode.com/google/fscrypt 在当今数字化时代,数据安全至关重要。而Google开源的fscrypt项目提供了一种简单而强大的工具,用于加密Linux文件系统中的文件和目录,保护敏感信息不被未授权访问。本文将深入探讨fscrypt的原理、功能以及如何利用它来增强你的数据安全性。 项目简介 f...
fscryptctl:用于Linux文件系统加密的小型C工具
05-22
fscryptctl fscryptctl是一个用C编写的低工具,用于处理原始密钥并管理策略,特别是ext4,f2fs和UBIFS文件系统支持的“ fscrypt”内核接口。 fscryptctl主要用于不能使用功能齐全的嵌入式系统,或者用于测试或试验用于Linux文件系统加密的内核接口。 fscryptctl不处理密钥生成,拉伸,密钥包装,或PAM整合。 大多数用户应该改用fscrypt工具,该工具支持这些功能,并且通常更易于使用。 由于fscryptctl是供高用户使用的,因此在使用fscryptctl之前,您应该阅读。 目录 建造和安装 要构建fscryptctl ,请运行make 。 唯一的构建依赖项是GNU Make和C编译器(仅需要C99)。 要安装fscryptctl ,请运行sudo make install 。 有关编译和安装选项,请参见Makefile 。
统信UOS+1060+arm64+nginx安装包
10-23
这个压缩包包含的是Nginx的安装文件和必要的依赖库,确保在统信UOS的ARM64平台上能够顺利运行。在进行安装时,需要注意以下步骤: 1. **准备环境**:首先确认你的统信UOS系统是arm64架构,并且已经更新到最新版本,...
mariadb-10.5.11-linux-aarch64 适配ARM
11-12
总的来说,“mariadb-10.5.11-linux-aarch64”是为ARM64 Linux系统设计的高性能、安全且兼容MySQL 8的数据库解决方案,适用于各种应用场景,从轻量服务器到大规模数据中心。在部署和使用过程中,理解并充分利用...
rsync-static:为x86,ARM和ARM64编译的静态RSync二进制文件。 对于在Android上运行非常有用。 每天建造
02-04
本压缩包提供的`rsync-static`是针对不同架构(x86, ARM, ARM64)编译的版本,确保它们能在Android设备上运行。Android系统基于Linux内核,但默认并不包含所有Linux命令行工具,因此静态编译的`rsync`尤其有价值。 ...
Go-fscrypt-用于管理Linux文件系统加密的Go工具
08-14
该工具管理元数据,密钥生成,密钥包装,PAM集成,并提供用于创建和修改加密目录的统一界面。
Go工具,用于管理Linux文件系统加密-Golang开发
05-26
fscrypt fscrypt是用于管理Linux文件系统加密的高工具。 该工具管理元数据,密钥生成,密钥包装,PAM集成,并提供用于创建和修改fscrypt的统一界面fscrypt是用于管理Linux文件系统加密的高工具。 fscrypt管理元数据,密钥生成,密钥包装,PAM集成,并提供用于创建和修改加密目录的统一界面。 有关直接设置策略的小型低工具,请参阅fscryptctl。 请注意,fscrypt的内核部分(已集成到诸如ext4的文件系统中)有时也称为“ fscrypt”。 为避免混淆,本文档介绍了
oss_sdk已交叉编译arm-linux平台
10-15
这些组件的交叉编译版本意味着它们都被调整为在ARM Linux环境下运行,能够与OSS服务进行有效通信,实现上传、下载、列举、管理对象等功能。开发者可以利用这个SDK在他们的嵌入式系统上编写应用程序,无缝地集成阿里...
【转】Linux内核安全技术(三):Android系统安全技术---FBE密钥框架和技术详解
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
06-10 1168
用户数据加密是移动设备的重要功能,是使用对称加密算法对Android设备上的所有用户数据进行编码的过程,防止用户数据被未经授权的用户或应用程序访问。本文是Android系统安全技术系列第二篇,主要介绍基于文件加密技术。首先介绍Android保护用户隐私数据的技术方案,包括全盘加密FDE、文件加密FBE元数据加密ME。其次介绍基于文件加密FBE的密钥管理,涉及HAL、Linux Kernel、TEE和Hardware。
ubifs以支持 fscrypt
whuzm08的专栏
01-17 2122
The Linux kernel configuration item CONFIG_UBIFS_FS_ENCRYPTION: prompt: UBIFS Encryption type: bool depends on: CONFIG_UBIFS_FS_XATTR &amp;&amp; CONFIG_BLOCK defined in fs/ubifs/Kconfig found in ...
vfs四大对象之inode、dentry、super_block——基于linux4.18
m0_47524163的博客
08-04 1024
系统调用open和creat调用create方法来创建普通文件,系统调用link调用link方法来创建硬链接,系统调用symlink调用symlink方法来创建符号链接,系统调用mkdir调用mkdir方法来创建目录,系统调用mknod调用mknod方法来创建字符设备文件、块设备文件、命名管道和套接字。(1)软链接,也称为符号链接,这种文件的数据是另一个文件的路径。(2)目录:目录是一种特殊的文件,这种文件的数据是由目录项组成的,每个目录项存储一个子目录或文件的名称以及对应的索引节点号。
ARM linux下基于busybox的根文件系统如何保存用户密码
yanlutian的博客
10-08 916
环境: 内核集成了基于busybox的initramfs。 交代: 每次上电后,通过serial和telnet进入系统时,都不需要密码验证,每次设置完用户密码后,重新上电又不见。 正文: 后来了解到跟用户、密码、分组相关的三个文件passwd、shadow和group;但是当前系统/etc/目录下的这三个文件是busybox工具生成的位于initramfs中的那3个文件,掉电后数据丢失,不具备保存...
修改嵌入式 ARM Linux 内核映像中的文件系统
个人笔记
12-21 2277
本文将演示如何在 32位 ARM zImage 中替换 piggy 中的文件系统,我们以 openWRT 的某个版本固件为例进行讲解。
Android系统安全技术---FBE密钥框架和技术详解
嵌入式学习规划
09-03 683
本文首先介绍了用户隐私数据保护方案,包括全盘加密FDE、文件加密FBE和元数据加密ME。其次本着以点带面的原则,以密钥管理为主线详细梳理了VOLD子系统、Linux Kernel和TEEOS的密钥处理流程,最后对内联加密引擎ICE进行了介绍。
arm64 linux 编译安装sqlite
最新发布
06-13
ARM64 Linux(也称为AArch64)是64位架构的Linux版本,适用于ARMv8架构的设备,比如许多移动设备和服务器。要在ARM64 Linux上编译安装SQLite,SQLite是一个嵌入式数据库系统,首先你需要确保你的系统已经具备必要的开发工具和依赖项。以下是基本步骤: 1. 更新系统包列表并安装必要的工具: ``` sudo apt-get update sudo apt-get install build-essential git libsqlite3-dev ``` 如果你使用的是Snap或Flatpak,可能需要相应的包管理器。 2. 下载SQLite源码: ```bash git clone https://github.com/sqlite/sqlite.git cd sqlite ``` 3. 配置编译选项,例如启用ARM64支持: ```sh ./configure --host`选项指定目标架构。 4. 开始编译: ```sh make ``` 这可能需要一些时间,取决于你的硬件性能和源码库的大小。 5. 安装SQLite库和头文件: ```sh sudo make install ``` 安装完成后,SQLite应该在你的系统路径中可用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

车联网安全杂货铺

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值