Linux——分区方式修改及磁盘加密（LUKS）

一、分区方式修改

mbr——>gpt

1. 查看分区标签
   
2. 将原来的分区全部删除掉（因为在修改分区标签时也会询问是否摧毁原磁盘数据）
3. 开始修改设备分区方式标签：parted　 /dev/vdb
   

• 查看标签修改成功（现在是gpt）
  
  GPT：“全局唯一标识磁盘分区表”，对分区数量没有限制，GPT可管理硬盘大小达到了18EB，GPT 最多可划分128个区，每块远大于2TB，而MBR有最大4个分区表的限制，因而GPT更满足企业的分区

二、磁盘加密保护

（1） 概念简介：

1. LUKS（Linux统一密钥设置）
   是标准的设备加密格式
   LUKS 可以对分区或卷进行加密
2. 加密原因 ：因为保密需要，一般系统中会在文件和磁盘中进行加密，但是文件的加密比较容易破解，不安全。所以在特殊需要下，会对磁盘进行加密，磁盘加密后在磁盘损坏的同时，其中的数据也会损坏
3. 工具：cryptsetup
4. 加密的特点：

• 使用cryptsetup对分区进行了加密后，这个分区就不再允许直接挂载，必须首先对加密的卷进行解密才能挂载。
• 其中的文件系统LUKS也是一种基于device mapper 机制的加密方案。
• 如果要使用这个分区，必须对这个分区做一个映射，映射到/dev/mapper这个目录里去，我们只能挂载这个映射才能使用。然而做映射的时候是需要输入解密密码的。
  （2）创建加密磁盘
  做此实验前可以用fdisk /dev/vdb创建一个分区
• 对设备/dev/vdb1进行加密，并且设置密码，输入两次
  
  注意：此处要输入大写YES，否则无效
• 直接挂载设备不成功，设备已被加密
• 对设备进行解密，解密形成一个虚拟设备westos（打开盖子）
• 可以在/dev/mapper/下，查看虚拟设备的生成
  
• 格式化解密后的虚拟设备
  
• 此时挂载成功
  
• 卸载设备
  
• 关闭盖子（westos就不存在了，生命结束）
  
  
• 可以看到再次挂载时显示westos虚拟设备不存在
  
• 此时盖子关闭，显示上锁
• 打开盖子，重新创建一个虚拟设备hui
  
• 测试
  
  挂载虚拟设备hui之后，可以看到/mnt创建的东西
  
  综上：磁盘加密，就像把设备放在一个有盖子的容器中，命令cryptsetup open /dev/vdb1 westos 就是打开盖子，将设备拿出来，进行一系列操作后，再用命令cryptsetup close westos 将设备放回容器中并盖上盖子。这样，可以提高安全性能

（3）加密设备开机自动挂载

1. 配置/etc/fstab 设置开机自动挂载
   
   
2. 设置设备解密后的管理文件
   
   
3. 给加密字符存放位置添加密码
   
   
4. 修改密码权限600，只有自己可以读写
   
5. 加密分区，并导入存放密码文件
   
6. 测试：重启后自动挂载成功
   

（4）加密的清除

1. 删除/etc/fstab的配置记录
   
   
2. 删除/etc/crypttab的配置记录
   
3. 卸载
   
4. 关闭盖子
   
5. 格式化（-f强制格式化）
6. 测试：普通挂载成功