linux 挂载加密分区,Linux 系统如何使用 LUKS 加密分区?

最新推荐文章于 2024-01-13 18:35:22 发布
最新推荐文章于 2024-01-13 18:35:22 发布
阅读量439 收藏 1
点赞数
文章标签: linux 挂载加密分区

对于一些敏感数据,最常见的方法就是对它进行加密,尤其是将这些服务存在公有云环境。以下为如何使用 LUKS 套件来加密我们私密信息。

安装 cryptsetup 软件包安装cryptsetupapt-get install cryptsetup

RHEL / CentOS / Oracle / Scientific Linux 系统请使用以下命令来安装cryptsetupyum install cryptsetup-luks配置 LUKS 分区cryptsetup -y -v luksFormat /dev/sdb

可以使用指定参数:cryptsetup luksFormat --type luks2 --cipher aes-xts-plain64 --key-size 512 /dev/sdb

输出样例:WARNING!

========

This will overwrite data on /dev/sdb irrevocably.

Are you sure? (Type uppercase yes): YES

Enter LUKS passphrase:

Verify passphrase:

Command successful.

提示 :输入的YES 为大写。

此命令初始化卷,并设置初始密钥或密码短语。请注意,密码短语不可恢复,因此不要忘记它。请键入以下命令创建映射:cryptsetup luksOpen /dev/sdb backup2

输出样例:Enter passphrase for /dev/sdb:

这里已经系统已经存在一个mapper设备# ls -l /dev/mapper/backup2

输出样例:lrwxrwxrwx 1 root root 7 Oct 19 19:37 /dev/mapper/backup2 -> ../dm-0

此时可以使用以下命令来查看mapper状态:# cryptsetup status backup2

输出样例:/dev/mapper/backup2 is active.

type: LUKS1

cipher: aes-cbc-essiv:sha256

keysize: 256 bits

device: /dev/sdb

offset: 4096 sectors

size: 419426304 sectors

mode: read/write

Command successful.

可以使用以下命令来导出 KUKS 头部信息# cryptsetup luksDump /dev/sdb

输出样例:LUKS header information for /dev/sdb

Version: 1

Cipher name: aes

Cipher mode: xts-plain64

Hash spec: sha256

Payload offset:4096

MK bits: 256

MK digest: 21 07 68 54 77 96 11 34 f2 ec 17 e9 85 8a 12 c3 1f 3e cf 5f

MK salt: 8c a6 3d 8c e9 de 16 fb 07 fd 8e d3 72 d7 db 94

7e e0 75 f9 e0 23 24 df 50 26 fb 92 f8 b5 dd 70

MK iterations: 222000

UUID: 4dd563a9-5bff-4fea-b51d-b4124f7185d1

Key Slot 0: ENABLED

Iterations: 2245613

Salt: 05 a8 b4 a2 54 f7 c6 ee 52 db 60 b6 12 7f 2f 53

3f 5d 2d 62 fb 5a b1 c3 52 da d5 5f 7b 2d 38 32

Key material offset:8

AF stripes: 4000

Key Slot 1: DISABLED

Key Slot 2: DISABLED

Key Slot 3: DISABLED

Key Slot 4: DISABLED

Key Slot 5: DISABLED

Key Slot 6: DISABLED

Key Slot 7: DISABLED

3. 格式化LUKS分区

使用以下命令来清空分区上的数据(可选)# dd if=/dev/zero of=/dev/mapper/backup2

以上命令可能会消耗大量时间,且看不到进度,可以使用以下命令:# pv -tpreb /dev/zero | dd of=/dev/mapper/backup2 bs=128M

或者# dd if=/dev/zero of=/dev/mapper/backup2 status=progress

完成后,可以对分区进行格式化了并进行挂载# mkfs.ext4 /dev/mapper/backup2

# mkdir /backup2

# mount /dev/mapper/backup2 /backup2

QA

如何对数据进行安全卸载?# umount /backup2

# cryptsetup luksClose backup2

如何对数据分区进行挂载?# cryptsetup luksOpen /dev/sdb backup2

# mount /dev/mapper/backup2 /backup2

# df -H

# mount

如何修复 LUKS 分区?# umount /backup2

# fsck -vy /dev/mapper/backup2

# mount /dev/mapper/backup2 /backu2

如何对加密分区更改加密密码?# cryptsetup luksDump /dev/sdb

# cryptsetup luksAddKey /dev/sdb

输出样例:Enter any passphrase:

Enter new passphrase for key slot:

Verify passphrase:

移动旧密码# cryptsetup luksRemoveKey /dev/sdb

如何使用本地文件块来进行加密?

分配10GB文件fallocate -l 10G /root/encrypted-container

创建10GB文件容器的另一种方法是使用以下命令:truncate -s 10G /root/encrypted-container

此命令的优点是文件以占用文件系统上的0个字节开始,并根据需要增长。

如何对LUKS标头进行备份和还原?

**警告:**请仔细遵循这些步骤。

由于LUKS标头非常重要而丢失它意味着丢失整个容器,请将其备份:cryptsetup luksHeaderBackup /dev/sdX --header-backup-file sdX-luks-header

测试意外覆盖LUKS标头的场景:dd conv=notrunc if=/dev/zero of=/dev/sdX bs=128 count=1

尝试打开容器现在将返回错误:cryptsetup luksOpen /dev/sdX sdX-luks

恢复有效标头:cryptsetup luksHeaderRestore /dev/sdX --header-backup-file sdX-luks-header

再次打开容器:cryptsetup luksOpen /dev/sdX sdX-luks

关于LUKS密钥

LUKS提供了八个密钥槽,每个槽都可用于存储可用于访问和解密数据的密码。添加和删除这些密码的基本命令。

要更改密码:cryptsetup luksChangeKey /dev/sdX

要设置可以解锁容器的其他密码:cryptsetup luksAddKey /dev/sdX

要从密钥槽中删除密码:cryptsetup luksRemoveKey /dev/sdX

要查看正在使用的密钥槽:cryptsetup luksDump /dev/sdX

透明流动虚无
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
LUKS 磁盘加密规范 版本号V1.2.3
04-02
在实际使用中,LUKS1提供了命令行工具`cryptsetup`,用户可以通过该工具方便地创建、管理LUKS加密分区,如设置密码、添加或删除密钥槽、挂载和卸载加密卷。 总之,LUKS1是Linux环境中磁盘加密的主流标准,通过提供...
Linux下的磁盘加密LUKS
weixin_33699914的博客
04-11 655
LUKS(Linux Unified Key Setup)为Linux硬盘分区加密提供了一种标准,它不仅能通用于不同的Linux发行版本,还支持多用户/口令。因为它的加密密钥独立于口令,所以如果口令失密,我们可以迅速改变口令而无需重新加密真个硬盘。通过提供一个标准的磁盘上的格式,它不仅方便之间分布的兼容性,而且还提供了多个用户密码的安全管理。必须首先对加密的卷进行解密,才能挂载其中的文件系统。 ...
linux luks分区加密,Linux分区加密LUKS
weixin_42131728的博客
05-02 654
Linux内核自带的磁盘分区加密,与Android的dm-crypt同样方便。编程随想曾经介绍过LUKS和VeraCrypt,博主把两者都测试了一下,写下LUKS使用方法。创建假设要在/dev/sda2上进行创建,创建过程会格式化该分区。验证密码的方式常用有两种:密码和key-file使用密码创建sudo cryptsetup luksFormat /dev/sda2创建过程输入大写YES确认格...
dm-crypt 加密
深空深蓝的博客
06-18 4628
块设备加密1 Device Mapper(DM)是Linux 2.6全面引入的块设备新构架,通过DM可以灵活地管理系统中所有的真实或虚拟的块设备。DM以块设备的形式注册到Linux内核中,凡是挂载(或者说“映射”)于DM结构下的块设备,不管他们是如何组织,如何通讯,在Linux看来都是一个完整的DM块设备。因此DM让不同组织形式的块设备或者块设备集群在Linux内核面前有一个完整统一的DM表示。...
存储设备的管理
qq_41661056的博客
01-25 375
存储设备的管理
UOS cryptsetup详细使用方法
最新发布
u013934107的博客
01-13 700
格式化磁盘或分区LUKS格式。这一步将清除所有现有数据,并设置一个新的加密密钥(密码)。在加密卷上创建文件系统。您可以使用任何常见的文件系统类型,如ext4。解锁加密卷并映射到一个设备文件,这样就可以访问加密的数据了。备份LUKS卷的头信息,这对于防止数据丢失至关重要。查看关于LUKS卷的信息,例如密钥插槽和配置。当不再需要时,卸载并关闭加密卷。是要加密的磁盘或分区的路径。从LUKS卷中删除一个密码。将加密挂载到一个挂载点。向LUKS卷添加新的密码。恢复LUKS卷的头信息。
Linux中安全加密文件.pdf
09-06
Linux系统还支持加密挂载选项,如在挂载文件系统时指定`-o encrypt`参数,这在使用网络文件系统(如NFS)时特别有用,可以保护远程共享的数据安全。 除了文件本身的加密Linux用户还可以利用如GPG的密钥管理和...
RHCE_U3 分区加密luks
12-01
2. **挂载加密分区**:完成加密后,需要创建一个文件系统挂载分区。可以使用以下命令创建文件系统挂载: ``` mkfs.ext4 /dev/mapper/sda1_crypt mount /dev/mapper/sda1_crypt /mnt/encrypted ``` 3. **...
Linux磁盘加密技术应用
07-28
实现LUKS加密的主要工具是`cryptsetup`命令,它是Linux系统中用于管理加密块设备的标准工具。常用的功能包括: - `luksFormat`: 用于格式化分区并设置加密。 - `luksOpen`: 打开加密分区,使其可用。 - `luksClose`...
磁盘加密工具cryptsetup
super2feng博乐世界
12-19 5011
想打我磁盘的主意!? 嘿嘿,门都么有 ←o→
linux luks自动加密挂载磁盘
莫忘、初心
07-10 3591
如果要使用这个分区,必须对这个分区做一个映射,映射到/dev/mapper这个目录里去,我们只能挂载这个映射才能使用。然而做映射的时候是需要输入解密密码的。Linux 统一密钥设置(Linux Unified Key Setup)(LUKS)是一个很好的工具,也是 Linux 磁盘加密的通用标准。cryptsetup是linux下的一个分区加密工具,它通过调用内核中的"dm-crypt"来实现磁盘加密的功能。我们这里使用默认值,执行的过程中,命令会警告你将会清除磁盘上的所有数据,并要求你输入两次密码。
dm-crypt——多功能 Linux 磁盘加密工具
geotiger的博客
06-07 3012
dm-crypt——多功能 Linux 磁盘加密工具★“dm-crypt/cryptsetup”是啥玩意儿?在某些技术文章中,“dm-crypt”和“cryptsetup”经常被混用或并用。或者说,这两者常常被用来指代同一个东西。如果要细说的话,“dm-crypt”是 Linux 内核提供的一个磁盘加密功能,而“cryptsetup”是一个命令行的前端(通过它来操作“dm-crypt”)。...
创建加密分区或者文件
这是一个c++热爱者的博客哟
12-28 1430
现在,你已经在 GParted Live 环境中,可以使用 GParted 工具来管理你的磁盘分区,包括创建、调整大小、删除、格式化等操作。如果显示的输出大部分是不可读的字符和非打印字符,那么这通常表明文件已经被成功加密,并且在没有解密的情况下无法直接访问其原始内容。总的来说,关闭开机自动挂载后重启系统,会导致系统不再自动处理加密卷的解锁和挂载,你需要手动进行这些操作来访问加密卷上的数据。在系统启动过程中,如果一个加密卷没有设置为自动解锁和挂载,那么它会保持锁定状态,直到你使用正确的密码或密钥通过。
conf文件如何加密linux,使用luks进行全硬盘加密的方法
weixin_42165018的博客
04-28 465
本文介绍如何使用LUKS(Linux Unified Key Setup)在启用UEFI的系统上安装Arch Linux并进行全硬盘加密。简介LUKS是一种磁盘加密规范,可帮助你在一个捆绑包中实现文件加密,磁盘加密和数据加密LUKS可以帮助保护你的驱动器免受盗窃等攻击,但是一旦解锁,它就无法保护你的数据免遭访问,它可以与其他加密软件一起使用,以实现数据安全性。设置磁盘分区我的分区方案将/dev/...
使用cryptsetup LUKS方式给磁盘加密
简单IoT
04-18 3727
在本文中,我将说明如何在基于Linux的计算机或笔记本电脑上使用cryptsetup来给磁盘加解密。考虑到你要准备一个物理分区用来加密后,该分区上原有的数据会被破坏掉。我们会用cryptsetup 创建 LUKS 的虚拟加密盘(逻辑卷):所谓的“虚拟加密盘”,就是说这个盘并不是对应物理分区,而是对应一个虚拟分区(逻辑卷)。这个虚拟分区,说白了就是一个大文件。虚拟分区有多大,这个文件就有多大。“虚拟...
linux luks 修改密码,如何使用Luks加密一块linux磁盘
weixin_35615475的博客
05-01 379
如果我们有一块磁盘上的信息非常重要,怕让别人给你把磁盘“抽走”了,我们可以加密这块磁盘,即使别人得到这块磁盘,也需要密码才能打开这块磁盘才能查看里边的内容。这样的话能够为我们的数据增加一层保护这个时候我们就用到了Luks首先,我们要有一块磁盘,我做实验用的逻辑磁盘,创建了一个逻辑磁盘第一步,加密Defaultcryptsetup luksFormat /dev/vg1/lv11cryptsetup...
LUKS 磁盘加密
u012077593的博客
08-20 1366
前言 LUKS使用步骤 开机自动识别加密磁盘 根分区自动识别 忘记密码怎么办? 前言 LUKSLinux Unified Key Setup)是 Linux 硬盘加密的标准。通过提供标准的磁盘格式,它不仅可以促进发行版之间的兼容性,还可以提供对多个用户密码的安全管理。 与现有解决方案相比,LUKS 将所有必要的设置信息存储在分区信息首部中,使用户能够无缝传...
linux密码如何加密密码忘了怎么办,linux 忘记ROOT密码怎么办,以及grub加密
weixin_33193177的博客
05-01 137
使用Linux忘记ROOT密码怎么办?在物理主机面前重启主机进入单用户模式,修改密码。一、进入单用户模式,1、重启机器,在下图界面按任意键 2、在下图界面按e(本案对GRUB加密,需要按P后输入密码) 3、如下图界面,移动光标至第二个选项,按e 4、如下图,在末尾输入1或s或single ,回车后会回到上图,按b引导即进入单用户模式。 二、修改root密码,直接passwd后输入新密码。 三、为g...
linux创建加密分区
04-11
要在linux中创建加密分区,可以使用LUKSLinux Unified Key Setup)加密系统。您可以使用命令行工具cryptsetup来创建加密分区。首先,需要创建一个容器文件或者硬盘分区,将其格式化为LUKS加密格式,然后使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值