Linux系統中有很多的磁盤設備,通常我們希望對它們進行加密,這樣會更加的安全。LUKS(linux統一密鑰設置)是標准的設備加密格式。LUKS可以對分區或者卷進行加密。尤其要注意的是:必須首先對加密的卷進行解密,才能掛載其中的文件系統。
下面我們來舉個例子看看什麼是LUKS。
RHCE認證之RHEL6打印服務、ISCSI存儲、磁盤加密LUKS和grub引導 http://www.linuxidc.com/Linux/2013-11/92269.htm
Linux下的磁盤加密LUKS http://www.linuxidc.com/Linux/2013-04/82569.htm
RHEL6下磁盤加密——LUKS http://www.linuxidc.com/Linux/2013-01/77881.htm
RHCE_RHEL6_135_U6.1_分區加密LUKS http://www.linuxidc.com/Linux/2012-11/74165.htm
Linux使用LUKS對分區加密 http://www.linuxidc.com/Linux/2013-11/93285.htm
1.前期准備
支持LUKS的命令是cryptsetup(默認已經安裝),如果我們想要看到它所支持的命令,鍵入命令:
注意觀察這幾個命令,它們在接下來的操作中將會經常用到:
為了做這個實驗,我們重新生成一個設備,生成設備的步驟如下:
2.初識LUKS
cryptsetup其實是一種設備的映射關系,我們用它來把一個設備映射成另外一個設備,然後對這個新的設備進行操作,並進行加密,這樣就不會使我們的原設備直接被使用,從而達到一種安全的效果。使用cryptsetup對分區進行了加密後,這個分區就不再允許直接掛載。LUKS也是一種基於device mapper 機制的加密方案。如果要使用這個分區,必須對這個分區做一個映射,映射到/dev/mapper這個目錄裡去,我們只能掛載這個映射才能使用。然而做映射的時候是需要輸入解密密碼的。具體的操作如下。
(1)首先對分區進行初始化
注意:這裡要大寫YES!! 然後輸入該設備的密碼
(2)映射分區,打開LUKS
這個步驟是把原設備轉換成/dev/mapper下的設備,賦予了它新的名字,這個過程需要輸入剛才設置的密碼。而且操作完以後我們可以看到/dev/mapper這個目錄裡邊確實多了一個disk。
(3)我們確實有了一個設備,但是記住這個設備是不能被直接使用的,必須要對它進行格式化。
(4)完成之後我們對disk進行掛載,掛載是成功的。
(5)之前的實驗我們似乎並沒有看到LUKS安全到哪裡了,只是把原來的設備變了一個名字使用,接著我們關閉映射,然後把原來的設備/dev/vda7掛載上去看看有什麼提示:
顯然是掛不上的,因為我們已經把它映射到另外一個設備disk了,這樣就極大加強了設備的安全性,接著開啟luks:
剛才我們已經掛載了映射設備disk,但是卻是手動的,我們想要永久的掛載,那麼就必須要寫入配置文件/etc/fstab中了,但是我們的掛載在開機時是需要輸入密碼的,顯然每次都讓人去輸入是不合乎常理的,所以也要新建一個文件來存入luks的開啟密碼,並且指定該文件為密鑰文件,首先演示沒有進行這些操作時的情況,開機時是要輸入密碼的,正確的話設備會被掛載,錯誤的話最多設備不會被掛載,系統依然能夠啟動:
更多詳情見請繼續閱讀下一頁的精彩內容: http://www.linuxidc.com/Linux/2014-07/104441p2.htm
