Ubuntu全盘加密&开机自动解密配置

已于 2023-07-03 14:22:15 修改
阅读量1.8k 收藏 7
点赞数 2
文章标签: ubuntu linux 系统安全
于 2023-07-03 12:02:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41411704/article/details/131512180
版权

【背景】
对于托管的服务器,或者交付至客户手上的服务器,由于信息安全的重要性,需要对全硬盘进行加密配置。但是目前呢,基本上全网文档都是基于创建新的分区或者接入新的硬盘才做的luks加密。没有做到全覆盖。而且,做了ubuntu的安装界面加密,需要每次开启启动时手动输入密码也是极其不方便,且是不可能远程实现的。所以这边基于调研,做了个基于Ubuntu 20.04 安装时,选择全盘加密,并做了基于boot项的自动解密。分享给大家。
一、【安装】
1.1 U盘刻录Ubuntu 20.04 系统,在安装过程中,选择清除整个磁盘并安装Ubuntu,ADvance fetures-在Ubuntu新安装中使用LVM,勾选加密Ubuntu新安装以提高安全性。如图1所示。图1
1.2 设置磁盘加密密码,并选择覆盖空磁盘。
之后的步骤安装完成即可。
1.3 安装完成之后,启动机器,每次开机需要先输入硬盘密码。
在这里插入图片描述
1.4【验证加密的磁盘是否可以被其他系统挂载使用】
在这里插入图片描述
将其卸下,挂载在其他机器上,提示未知的文件系统类型“crypto_Luks”.
说明,整块磁盘加密成功。
二、【磁盘解密配置】
2.1 #查看磁盘类型

sudo lsblk

在这里插入图片描述
nvme0n1 259:0 0 1.8T 0 disk
├─nvme0n1p1 259:1 0 512M 0 part /boot/efi
├─nvme0n1p2 259:2 0 1.4G 0 part /boot
└─nvme0n1p3 259:3 0 1.8T 0 part
└─nvme0n1p3_crypt 253:0 0 1.8T 0 crypt
├─vgubuntu-root 253:1 0 1.8T 0 lvm /
└─vgubuntu-swap_1 253:2 0 976M 0 lvm [SWAP]
##nvme0n1 为整块磁盘
#nvme0n1p1 259:1 0 512M 0 part /boot/efi
#nvme0n1p2 259:2 0 1.4G 0 part /boot #boot启动项,可以将加密解密的keyfile 放在此 做系统引导解密
#nvme0n1p3 259:3 0 1.8T 0 part
#vgubuntu-root 253:1 0 1.8T 0 lvm / ## 为根目录,即加密路径
2.2 #加密方式,keyfile

sudo dd if=/dev/urandom of=/boot/keyfile bs=1024 count=4

sudo chmod 600 /boot/keyfile

#加密的磁盘:/dev/nvme0n1p3,按照提示输入之前配置的磁盘加密密码
##/boot 分区的磁盘:/dev/nvme0n1p2

sudo cryptsetup luksAddKey /dev/nvme0n1p3 /boot/keyfile

配置启动引导

sudo vim  /etc/crypttab

nvme0n1p3_crypt UUID=##uuid不要改,修改后面配置项 /dev/nvme0n1p2:/keyfile luks,keyscript=/lib/cryptsetup/scripts/passdev

##加载内核生效

sudo update-initramfs -u

##重启测试

sudo reboot

三、【去除开机自动解密】

sudo vim  /etc/crypttab

nvme0n1p3_crypt UUID=${uuid不变] none luks,discard

##加载内核生效

sudo update-initramfs -u

##重启测试

sudo reboot
opreator.ke
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
de-LUKS:对Linux最流行的全盘加密工具实施邪恶的女仆攻击
05-16
德卢克斯 de-LUKS(发音为deluxe)是一种工具,用于对使用LUKS全磁盘加密保护Linux系统进行邪恶的女佣攻击(这是那里所有发行版的默认设置)。 de-LUKS在输入用户的解密密码后将对其进行拦截,并将添加一个新的后门密码,该密码可随后用于解密磁盘(在这种情况下,它将添加密码“ pwned”)。 这完全破坏了全磁盘加密,并且没有容易修复的方法。 攻击可以由对笔记本电脑具有物理访问权限的演员(例如进入您酒店房间的女仆)进行,也可以由对系统上的/ boot具有读/写访问权限的软件进行。 确认de-LUKS可在以下平台上工作: Ubuntu 16.04 重要说明:由于de-LUKS是用于安全评估的工具,因此我将0的精力放在隐藏它上。 但是请注意,如果有人真的愿意,他们可能会使该工具几乎无法检测到(只有在initramfs之前运行的软件或在引导前搜索经过修改的initramf
已解决:Ubuntu22.04全盘加密自动解密
doubleteng的博客
03-21 1162
Ubuntu22.04安装;Ubuntu全盘加密自动解密
Linux/Ubuntu/Debian中加密磁盘(U盘)
最新发布
I AM COMING BACK...
03-04 698
此过程适用于加密 USB 驱动器。如果你正在考虑加密 Linux 系统上的根分区或主分区,则可能需要执行其他步骤,建议你查阅你的发行版文档,以获取有关在安装过程中设置加密分区的指导。在访问文件之前,你需要打开LUKS加密的设备并将其映射到设备名称。加密设备解锁后,你可以将映射设备(解密视图)挂载到文件系统中的目录。关闭设备可确保设备被锁定,并且在不再次解锁的情况下无法再访问。替换为你的 USB 驱动器的适当标识符。替换为所需的安装点。
Ubuntu 23.10 支持基于 TPM 的全磁盘加密
Jdjdjjdjdjdje的博客
09-09 55
经典 Ubuntu 桌面系统上的 TPM 支持的全磁盘加密基于 Ubuntu Core 相同的架构,它共享许多设计和实现原则。Ubuntu 开发商 Canonical 公司表示,Ubuntu 23.10 添加实验性 TPM 支持的全磁盘加密,以补充他们多年来一直提供的全磁盘加密。最后,我们将使用统一内核映像,其中内核和 initramfs 将封装在一个包含执行内核的小存根的单个 PE 二进制文件中。从最初提供基于 eCryptfs 的主目录加密,然后补充了 Ubuntu 桌面和服务器的全磁盘加密
Ubuntu多硬盘luks全盘加密自动解锁(硬件变更后失效)的方法
Alisebeast的博客
01-14 3442
大家都知道,Linux现在用Luks全盘加密一直有一个痛点,就是每次开机都需要输入解密硬盘的密码,之后又要输入用户密码,非常的麻烦!本文正是为了解决这个问题诞生的!
如何在安装 Ubuntu 22.04 时加密全盘
美国主机评测
06-10 3990
本分步教程将指导您如何在Ubuntu 22.04上启用全盘加密,为此,我们将使用LVM(逻辑卷管理)和LUKS(用于加密目的)。
ubuntu文件加密方法
weixin_50511931的博客
09-02 3263
文件加密 openssl 密码方式加密 使用 openssl 加密一个文件 (data.zip 为原始文件,back.zip 为加密之后的文件) # openssl enc -e -aes256 -in data.zip -out back.zip 解释: enc 表示对文件进行对称加密解密, -e 表示对一个文件进行加密操作,-aes256 表示使用 aes256 算法进行加密,-in 表示需要被加密文件,-out 表示加密之后生成的新文件加密过程中会要求输入一个加密密码,重复输入两次即可完
LINUX磁盘加密之CRYPTO
武溪嵌人
03-01 1255
http://www.2cto.com/Article/201309/243900.html 近分析rc.sysinit启动脚本,正遇磁盘加密之部分,经一番细研,非三言二意可所得。故,捋整究探,分二段于下:挪步接踵设建为先,启动方法分析佐后。 使用crypto可以对多数类unix系统中的块设备进行底层数据加密,即在文件系统之下加密。对块设备加密完成后,再对该设备进行文件系统的格式化处理
如何在 Ubuntu加密硬盘
BalterNotz的博客
12-16 4010
https://linux.cn/article-8184-1.html     隐私保护、安全和加密是不可分开的,用户可以通过加密来提高安全和保护操作系统的隐私信息。本文将会介绍在 Ubuntu Linux 中对硬盘全盘加密的优缺点。此外,我们也介绍如何在系统级别上进行加密设置,并对一些目录进行加密加密是非常有用的,而且也没有你想象中那么复杂。综上所述,让我开始进行加密吧。 加密的优缺...
Ubuntu 19.04 磁盘加密
aboutmn的博客
08-25 4617
安装时加密 注意事项: “Encrypt the new Ubuntu installation for security”和“Use LVM With new Ubuntu installation” 必须同时选中 当选择“Something Else 时,无法使用加密. 效果: 分区加密 分区: U盘加密
ubuntu文件加密_安装Ubuntu后如何加密您的主文件
culinxia2707的博客
09-17 3652
ubuntu文件加密Ubuntu offers to encrypt your home folder during installation. If you decline the encryption and change your mind later, you don’t have to reinstall Ubuntu. You can activate the encryption ...
Ubuntu设置开机自动挂载所有格式硬盘分区
09-16
原来那么简单,安装下面的东东,运行,设置,搞定!
Ubuntu_JDK&Hdoop安装配置.txt
04-12
Ubuntu_JDK&Hdoop安装配置.txt
ubuntu中编写shell脚本开机自动启动(推荐)
09-14
主要介绍了ubuntu中编写shell脚本开机自动启动,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
ubuntu 16.04LTS 开机启动自动更换壁纸的实现方法
09-15
下面小编就为大家分享一篇ubuntu 16.04LTS 开机启动自动更换壁纸的实现方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Ubuntu上 LUKS的使用以及开启自动加密
jmhIcoding
09-04 5723
LUKS(Linux Unified Key Setup)为Linux硬盘分区加密提供了一种标准,它不仅能通用于不同的Linux发行版本,还支持多用户/口令。 Crypsetup工具加密的特点: 加密后不能直接挂载 加密后硬盘丢失也不用担心数据被盗 加密后必须做映射才能挂载 本教程简单介绍,如何在ubuntu 虚拟机使用这玩意。 首先,LUKS的加密是基于分区的。 其次,首次建立加密分区的时候...
Ubuntu的密码存储及加密方式
qq_33458986的博客
08-22 4061
ubuntu14.04中密码的哈希值储存在/etc/shadow文件内,我们需要root权限来打开它,就可以看到相应的哈希值如下: lcf:$1$Yq.iskt1$2OvqA6GFAJveW0hIuxAT21:18124:0:99999:7::: 前半部分的$1$Yq.iskt1$是盐值,从官方文档中我们可以知道用户密码经过了glibc中的crypt算法的处理,那么盐值有什么作用呢?我们知道对...
centos7.9磁盘全盘加密&开机自动解密
qq_41411704的博客
07-03 975
boot启动项, 解密原理一致。2.1#加密方式:将密码写入boot引导文件keyfile。#修改 启动内核 grub ,用boot分区引导解密。此步骤,直接在安装时,选择数据加密即可,设置密码。#加密的磁盘:/dev/nvme0n1p3。#nvme0n1p2 boot启动项。#测试keyflie 解密是否ok。#nvme0n1p3 为加密磁盘。#根据提示,输入硬盘加密密码。#查看磁盘的各分区的磁盘类型。二、【磁盘解密配置】##重新引导grub。三、【去除磁盘解密】##重新引导grub。
ubuntu文件加密
风行天下
08-07 1846
               当Ubuntu Linux使用加密文件系统后,数据的安全能得到很好的保护。在这种情况下,即使把我们的机器送给黑客,只要他们没有密钥,黑客看到的数据只会是一堆乱码,毫无利用价值可言。     本文将详细介绍利用dm-crypt来创建加密文件系统的方法。与其它创建加密文件系统的方法相比,dm-crypt系统有着无可比拟的优越性:它的速度更快,易用性更强。除此之外,它的适...
ubuntu1804开机自动连接wifi配置
05-26
要在Ubuntu 18.04上启用自动连接WiFi,可以按照以下步骤进行配置: 1. 打开“系统设置”菜单,选择“网络”选项。 2. 选择已经连接的WiFi网络,然后点击“齿轮”图标。 3. 在弹出的菜单中,勾选“自动连接”选项。 4. 如果您需要连接其他WiFi网络,请单击“+”图标,然后输入网络名称和密码。 5. 启用自动连接后,您的Ubuntu 18.04将在启动时自动连接到已保存的WiFi网络。 注意:在Ubuntu 18.04上,如果您已经使用了网络管理器(NetworkManager),则默认情况下已启用自动连接功能。因此,如果您遇到连接问题,请确保您的网络管理器正在运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值