今天终于开通了自己的blog,也算是在师姐的启发之下吧,在这里对师姐感谢一下。
这是自己的第一篇blog,希望能够给大家带来帮助,而且也算是自己的一些工作的记录吧。
在Linux系统中,基于DEVICE MAPPER机制对设备进行管理,通过在物理设备和逻辑设备之间创建mapping,从而在系统中通过对逻辑设备的操作实现对物理设备的操作。device mapper机制主要包括三个部分:用户空间部分、内核部分和dm-setup。在本文中,将介绍如何使用cryptsetup对存储设备进行加密。
1 设置系统内核
1.1 查看系统是否有crypto加密模块
cat /proc/crypto //ook over crypt methods , eg. aes
如果模块不存在,使用如下命令进行安装:
sudo modprobe aes
1.2 安装dmsetup、cryptsetup
sudo apt-get install dmsetup cryptsetup
1.3 加载dm-crypt内核模块
首先查看dmsetup是否已经建立了映像
ls -l /dev/mapper/control //接下来加载dm-crypt内核模块
已经建立映像之后加载dm-crypt内核模块,使用如下命令:
sudo modprobe dm-crypt //dm-crypt加载后,device-mapper自动注册
成功加载之后,查看是否已经正确安装:
sudo dmsetup targets //如果一切顺利,目前你应该看到crypt的下列输出:
crypt v1.1.0
striped v1.0.2
linear v1.0.1
error v1.0.1
2 建立加密设备
为当便后期使用,直接使用物理设备进行安装测试。
2.1 首先使用cryptsetup来建立逻辑卷,并将其和块设备即物理设备捆绑:
sudo cryptsetup -y create myEncryptedFilesystem /dev/sdb4 //myEncryptedFilesystem 是新建的逻辑卷的名称,/dev/sdb4是将用作加密卷的块设备
/*
* 查看物理设备号可以使用如下命令进行查看:
* sudo fdisk -l
*/
为了确认逻辑卷是否已建立,能使用下列命令进行检查一下:
sudo dmsetup ls //只要该命令列出了逻辑卷,就说明已成功建立了逻辑卷
2.2 在创建完成的逻辑卷即虚拟设备上创建文件系统,进行文件存储
sudo mkfs.ext3 /dev/mapper/myEncryptedFilesystem //文件系统创建为ext3文件系统
文件系统创建成功后,需要在/mnt文件分区下建立装载点,然后才能将其挂载,创建文件夹命令如下:
sudo mkdir /mnt/myEncryptedFilesystem
文件夹创建完成,将其挂载到新建挂载点/mnt/myEncryptedFilesystem下:
sudo mount /dev/mapper/myEncryptedFilesystem /mnt/myEncryptedFilesystem
使用如下命令查看其装载后的情况,可以看到文件系统的名称和大小,以及可以使用的空间:
df -h /mnt/myEncryptedFilesystem
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/myEncryptedFilesystem 97M 2.1M 90M 2% /mnt/myEncryptedFilesystem
/*
* 仔细观察可以发现,此处的文件系统大小即为物理设备空间大小
* 加密文件系统建立并加载后,可以对其进行正常的文件读写存储,与普通文件系统在这方面没有差别
* 但是在该文件系统下存储的文件均为密文存储
*/
3 卸载加密设备
卸载加密设备,和普通设备卸载方法相同:
sudo umount /mnt/myEncryptedFilesystem
/*
*卸载之后,在dm-crypt中仍然还可以看到有一个虚拟设备,再次装载设备的时候不需要输入口令认证即可
*/
为了保证设备安全性,需要将设备以及逻辑卷全部删除:
sudo cryptsetup remove myEncryptedFilesystem
/*
* 完全卸载后,再次装载设备时,需要进行口令认证
*/
/*
*
* 完全卸载加密设备已经写入shell脚本umount_atuo.sh
* sudo ./umount_auto.sh
*
*/
#!/bin/sh
umount /mnt/myFilesystem
cryptsetup remove myEncryptedFilesystem4 重新装载
4.1 在卸载加密设备后,我们非常可能还需作为普通用户来装载他们。为了简化该工作,我们需要在/etc/fstab文件中添加下列内容:
/dev/mapper/myEncryptedFilesystem /mnt/myEncryptedFilesystem ext3 noauto,noatime 0 0
* /etc/fstab 包含了电脑上所有的存储设备及其文件系统的信息,是决定一个硬盘(分区)被怎样使用或者说将设备整合到整个系统中的唯一文件
* ******************** 内容解析 ******************************
* 文件中共有如下参数 : <file system><dir><type><options><dump><pass>
* <file system> : 即设备的名称
* <dir> : 设备装载的路径
* <type> : 设备的文件系统类型
* <options> :能使所挂载的设备在开机时自动加载、使中文显示不出现乱码、限制对挂载分区读写权限等多种功能,具体参数如下:
* noatime 关闭atime特性,提高性能,这是一个很老的特性,放心关闭,还能减少loadcycle
* defaults 使用默认设置。等于rw,suid,dev,exec,auto,nouser,async,具体含义看下面的解释
* auto 在启动或在终端中输入mount -a时自动挂载
* noauto 设备(分区)只能手动挂载 The file system can be mounted only explicitly
* IO编码设置 :
* iocharset= 在=号后面加入你的本地编码,在这个设备(分区)中做文件IO的时候就会自动做编码的格式转换。
* 中文乱码的解决 :
* nls= 在=号后面加入你的本地编码,你的中文就不会出现乱码
* 可执行 :
* exec 是一个默认设置项,它使在那个分区中的可执行的二进制文件能够执行。
* noexec 二进制文件不允许执行
* I/O同步 :
* sync 所有的I/O将以同步方式进行
* async 所有的I/O将以非同步方式进行
* 用户挂载权限 :
* user 允许任何用户挂载设备。 Implies noexec,nosuid,nodev unless overridden.
* nouser 只允许root用户挂载。这是默认设置。
* <dump> :是dump utility用来决定是否做备份的.允许的数字是0和1。如果是0,dump就会忽略这个文件系统,如果是1,dump就会作一个备份。
* <pass> :fsck会检查这个头目下的数字来决定检查文件系统的顺序.允许的数字是0, 1, 和2.0将不会被fsck utility检查。root文件系统应该拥有最高的优先权, 1 ,而所有其它的文件系统,如果你想让它被check的话,应该写成2
* 在和老师交流以及自己测试之后,发现了/etc/fstab的用途,简单来说,就是通过在/etc/fstab文件中添加一条命令,可以简化加载输入。如在/etc/fstab文件中加入/dev/mapper/myEncryptedFilesystem /mnt/myEncryptedFilesystem 之后,可以直接使用<span style="color:#ff6666;">sudo mount /dev/mapper/myEncryptedFilesystem</span>命令在加载设备,然后/dev/mapper/myEncryptedFilesystem就会按照/etc/fstab文件中添加的命令一样,挂载到/mnt/myEncryptedFilesystem 挂载点目录下。如果没有加入这条命令,那么需要使用<span style="color:#ff6666;">sudo mount /dev/mapper/myEncryptedFilesystem /mnt/myEncryptedFilesystem</span>命令才能将设备挂载。4.2 装载设备
在测试中使用shell脚本进行创建设备和装载设备
/*
* remount.sh脚本实现重载设备功能
* sudo ./remount.sh
*/
#!/bin/sh
cryptsetup create myEncryptedFilesystem /dev/sdb4
mount /dev/mapper/myEncryptedFilesystem /mnt/myFilesystem
5 总结
crptsetup是一款能够将设备进行加密的软件,使用时需要先创建本地的逻辑卷即逻辑设比,并通过dmsetup将逻辑设备和物理设备进行mapping,从而将对逻辑设备的操作映射到物理设备。在进行文件存储时,需要先对逻辑设备创建文件系统,并在/mnt文件分区下建立挂载点,将其mount到该挂载点之后,才能对其进行正常操作。一次操作结束之后,需要将设备完全卸载,保证下次装载的安全。
当再一次对物理设备重新装载使用时,只需要重新建立逻辑卷并和物理设备绑定即可,此时需要输入口令进行确认,只有正确输入口令才能够正常挂载,否则无法成功挂载。此外,重新装载不许要重新创建文件系统,否则会将原有数据全部删除。
物理设备(U盘)在加密映射之后,只能通过建立逻辑设备并进行绑定才能够读写,直接连接PC(WIN 、LINUX)只能识别无法操作。但在WIN下可以将其格式化,且无法恢复数据。
当在其他PC上对设备进行读写操作时,也需要建立逻辑设备并对其绑定才能够正常操作。
参考地址:
[1]http://blog.sina.com.cn/s/blog_600e39a801011mo7.html
[2]http://ckc620.blog.51cto.com/631254/394238
欢迎大家查看交流,下一篇将介绍CRYPTSETUP加密存储设备之二(Android篇)
版权声明:本文为博主原创文章,未经博主允许不得转载。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
