LUKS简介
LUKS(Linux Unified Key Setup)为Linux硬盘加密提供了一种标准,它不仅能通用于不同的Linux发行版本,还支持多用户/口令。因为它的加密密钥独立于口令,所以如果口令失密,我们可以迅速改变口令而无需重新加密真个硬盘。通过提供一个标准的磁盘上的格式,它不仅方便之间分布的兼容性,而且还提供了多个用户密码的安全管理。必须首先对加密的卷进行解密,才能挂载其中的文件系统。
工具:cryptsetup(默认已经安装)
常用参数:luksFormat、luksOpen、luksClose、luksAddKey
使用cryptsetup对分区进行了加密后,这个分区就不再允许直接挂载。LUKS也是一种基于device mapper 机制的加密方案。如果要使用这个分区,必须对这个分区做一个映射,映射到/dev/mapper这个目录里去,我们只能挂载这个映射才能使用。然而做映射的时候是需要输入解密密码的。
Crypsetup工具加密的特点:
- 加密后不能直接挂载
- 加密后硬盘丢失也不用担心数据被盗
- 加密后必须做映射才能挂载
磁盘加密步骤
1.添加一个分区
同步分区表
2.cryptsetup luksFormat 分区名
给该分区加密,YES 需要大写,否则无效
输入加密密码
这时挂载该分区到mnt显示被拒绝,因为我们刚给改磁盘加密了
3.对磁盘进行解密,解密后会形成一个虚拟设备
在/dev/mapper中可查看到
格式化该虚拟设备
再次挂载即可
4.卸载后关闭,westos虚拟设备将不能再继续使用
此时状态为加密状态
加密设备开机自动挂载
1.配置/etc/fstab
文件
在文件中写入开机挂载的设备和挂载点
2.设置管理文件
密码指向/root/vdb1pass
文件名随意
3.编辑/root/vdb1pass
将密码写入
密码不能轻易让其他人看见,所以我们给他设置权限,只有自己可以读写
4.输入命令开启
5.重启后查看到挂载成功,虚拟设备名为我们设置的disk