LUKS(Linux Unified Key Setup)为Linux硬盘加密提供了一种标准,它不仅能通用于不同的Linux发行版本,还支持多用户/口令。因为它的加密密钥独立于口令,所以如果 口令失密,我们可以迅速改变口令而无需重新加密真个硬盘。通过提供一个标准的磁盘上的格式,它不仅方便之间分布的兼容性,而且还提供了多个用户密码的安全 管理。必须首先对加密的卷进行解密,才能挂载其中的文件系统。
1.设备加密
命令: cryptsetup luksFormat /dev/vdb5
Are you sure? (Type uppercase yes): YES(必须为大写)
Enter passphrase: 密码
Verify passphrase: 第二次输入密码
mount /dev/vdb5 /mnt/ 挂载时显示已经luks 加密
mount: unknown filesystem type 'crypto_LUKS'
2.解密 需要重新命名(虚拟设备)
cryptsetup open /dev/vdb5 westos 虚拟设备命名westos
查看虚拟设备 ll /dev/mapper
3.格式化 mkfs.xfs /dev/mapper/westos
4.挂载 mount /dev/mapper/westos /mnt/
便于观察实验效果,我们先在/mnt/下建立几个文件
卸载/mnt/
umount /mnt/
ls /mnt/
看到/mnt/下的文件已经看不见了
4.盖盖子 cryptsetup close westos
此时虚拟设备中已经没有刚才新建westos虚拟设备
5.解开盖子(每次解开盖子后主虚拟名不一样)
cryptsetup open /dev/vdb5 xie 此次命名为xie
之前在/mnt/底下建立的文件依旧存在
6.挂载 mount /dev/mapper/xie /mnt/
7.hexdump -C /mnt/file1 可看刚才文件为加密字符
截取: dd if=/dev/vdb1 of=/mnt/file1 bs=512 count=1
加密磁盘开机自动挂载
1.编辑配置文件
解密过程
/dev/mapper/disk /pub xfs defaults 0 0 但是/dev/mapper/disk 虚拟设备本不存在
设备 挂载点 文件系统 挂载参数 是否备份 是否检测
2.添加设备
vim /etc/crypttab
disk /dev/vdb5 /root/vdb5pass
设备/dev/vdb5通过密码 /root/vdb5pass 生成虚拟设备disk
3.设定密码文件 vim /root/vdb5pass
密码为:2018westos
4.关联设备与密2018westos码文件
cryptsetup luksAddKey /dev/vdb5 /root/vdb5pass
5.设定权限
chmod 600 /root/vdb5pass
6.reboot
7.效果:
#############删除加密########
1.vim /etc/fstab 删除挂载内容
2.vim /etc/crypttab 删除内容
3.卸载 umount /pub/
4.关闭加密
[root@localhost ~]# cryptsetup close disk
5.格式化
[root@localhost ~]# mkfs.xfs /dev/vdb6 -f
6.重新挂载 mount /dev/vdb6 /mnt/