1.LUSK加密
LUSK(linux Unified Key Setup)
luks相当于对磁盘上了一把锁(将磁盘比作箱子,则luks就是箱子的盖子)
,要打开磁盘就要有相应的钥匙,
使用“钥匙”打开后,
就可以进行操作了。
2.对server的磁盘进行加密
1.可以看到当前主机中设备/dev/vdb有2个分区:
fdisk /dev/vdb
2.选择对分区/dev/vdb1进行加密:
对/dev/vdb1进行加密操作:cryptsetup luksFormat /dev/vdb1
询问是否确定时输入大写YES,小写不认,(这是红帽系统bug)
文件系统(xfs)>加密层(盖子)(luck)>设备
打开盖子时必须改变名字(要输加密时的密码)
可以看到,当加密操作完成后,
已上锁的磁盘不能直接挂载,
若要对磁盘进行挂载,
需要解锁
3.使用加密磁盘
1.打开加密磁盘
cryptsetup open /dev/vdb1 westos
/dev/vdb是真实的经过加密的设备
/dev/mapper/westos westos是加密后的真实设备映射的虚拟设备
打开后,
在/dev/mapper中可以看到虚拟设备westos:
2.给磁盘添加文件系统(格式化磁盘):
3.挂载设备:
这时就可以正常的使用此设备进行读写:
此时,在此设备上新建文件如图:
4.加密磁盘开机自动挂载
首先,我们建立/pub目录用来永久挂载加密磁盘:
1.开机自动挂载:
2.设置虚拟设备与真实设备的映射
已经知道,在打开加密磁盘时,
需要指定相应的虚拟设备,在上面的编辑中,指定了设备与挂载点,
vim /etc/fstab
/dev/mapper/westos /pub xfs defaults 0 0
设备 挂载点 文件类型 默认挂载方式 是否备份 是否检查
但是指定的设备是系统中当前并不存在的虚拟设备,
因此,还需要建立虚拟设备与真实设备的映射,
也就是打开加密磁盘:
vim /etc/crypttab
westos /dev/vdb1 /root/vdb1passwd
虚拟设备 真实设备 校验文件
真实设备通过此校验文件成功后建立此虚拟设备
3.建立校验文件
在上面,指定/root/vdb1passwd为校验文件,
但是此文件中系统并不存在,因此需要自己建立此文件,
并在此文件中写入磁盘的密码:
4.为加密的设备添加密码校验文件
在上面建立了校验文件,但此时,
此文件与设备听不存在联系,
因此还需让这两者建立联系:
cryptsetup luksAddKey /dev/vdb1 /root/vdb1passwd
指定此加密设备的校验文件为/root/vdb1passwd
完成这些操作后,加密磁盘就可以开机自动挂载,
用df可以看到当前/dev/mapper/westos并没有挂载到/pub上:
reboot后,df可以看到设备自动挂载:
并且设备中还存在建立的文件huige{1…5}:
5.删除加密设备:(删除对设备做的所有更改)
1.删除自动挂载文件中的内容:
2.删除/etc/crypttab中的内容:
3.删除校验文件:
4.卸载设备:
5.关闭设备:
关掉对westos的加密服务 cryptsetup close westos
6.格式化设备:
mkfs.xfs /dev/vdb1 格式化该磁盘
mkfs.xfs /dev/vdb1 -f 格式化不掉时强制格式化
此时该设备就变为一个普通的设备,
不再需要进行打开锁的操作操作
7.测试
mount /dev/vdb1 /mnt/
df 查看即可
可直接对设备进行挂载:
关闭后,可以看到,/dev/mapper中,虚拟设备westos消失,
在下次打开加密设备时,由我们指定新的虚拟设备
5.再将设备重新打开、挂载,发现我们存储在设备中的文件依然存在
这里就不演示了