為了數據的安全,我們有時候需要對分區進行加密,linux有一款對分區加密的工具luks,下面用虛擬機實驗一下:
1、新建分區,我這裡是/dev/sdb6
2、設置密碼:
# cryptsetup luksFormat /dev/sdb6
WARNING!
========
This will overwrite data on /dev/sdb6 irrevocably.
Are you sure? (Type uppercase yes): YES ---------一定要大寫
Enter LUKS passphrase:
Verify passphrase
這個時候我們的分區已經被加密,我們要使用必須先解密
這裡通過luksOpen來進行解密 後面‘pass’可以寫隨意的名字,然後會將加密卷/dev/vda5解鎖為/dev/mapper/pass,之後,我們用的都是/dev/mapper/pass了,而不是/dev/vda5
3、解鎖:
# cryptsetup luksOpen /dev/sdb6 pass
Enter passphrase for /dev/sdb6:
# ll /dev/mapper/pass
lrwxrwxrwx. 1 root root 7 11月 28 15:05 /dev/mapper/pass -> ../dm-2
4、然後對解密的卷進行格式化:
# mkfs.ext4 /dev/mapper/pass
5、接下來把分區掛載到我們的文件系統上:
# mkdir /mnt/secret
# mount /dev/mapper/pass /mnt/secret/
用df命令查看下:
# df -TH
文件系統 類型 容量 已用 可用 已用%% 掛載點
/dev/sda7 ext4 47G 6.4G 38G 15% /
tmpfs tmpfs 994M 246k 994M 1% /dev/shm
/dev/sda1 ext4 102M 32M 65M 33% /boot
/dev/sda3 ext4 16G 792M 14G 6% /home
/dev/sda2 ext4 31G 1.3G 29G 5% /usr/local
/dev/sda5 ext4 11G 1.2G 8.7G 12% /var
/dev/sr0 iso9660 3.8G 3.8G 0 100% /media/CentOS_6.3_Final
/dev/mapper/pass
ext4 1.1G 19M 964M 2% /mnt/secret
# echo test >/mnt/secret/a.txt
6、當我們用完我們的加密分區後,就可以卸載它然後再鎖住,這樣數據就又會保護起來
我們要先卸載我們掛上去的分區,然後再鎖住,如果不能鎖住,可以嘗試下先把掛載目錄刪了
# cryptsetup luksClose pass
Device pass is busy.
[root@ns1 ~]# umount /mnt/secret/
[root@ns1 ~]# cryptsetup luksClose pass
]# ll /dev/mapper/pass
ls: 無法訪問/dev/mapper/pass: 沒有那個文件或目錄
如果下次先再用,就重復luksOpen,再掛載就可以了
7、至此基本上可以滿足要求了,如果想要讓它開機掛載可以寫到/etc/fstab中(實際情況不常見):
/dev/mapper/pass /mnt/secret ext4 defaults 0 0
編輯/etc/crypttab
vi /etc/crypttab
pass /dev/sdb6 ------ 這樣子開機會要求輸入密碼
8、如果開機不想輸入密碼,可以先將密碼寫在密碼文件中,如:
]# echo -n "123" > /root/pass
#vi /etc/crypttab
pass /dev/sdb6 /root/pass
# chown root /roo/pass
# chmod 600 /root/pass
# cryptsetup luksAddKey /dev/sdb6 /root/pass
要求輸入密碼
完成
