员工指引
员工入职引导
IT基础服务
统一身份认证系统
员工上网
员工无线上网
无线网络常见问题
员工有线上网
访客上网
公司VPN
VPN使用说明
VPN常见故障
实现VPN流量分离(即同时访问内外网)
内网域名服务
公司服务器运维
堡垒机使用方法
远程桌面网关使用方法
SSH网关使用方法
SQL审核查询平台
在公司网络通过代理访问云健康系统
应用系统
云打印
公司邮箱
邮箱使用教程
邮箱使用常见问题
共享邮箱使用方法
归档原263邮箱
手机使用Outlook
云桌面
使用云桌面
云桌面使用常见问题
云桌面常见故障
macOS配置云桌面
手机平板使用云桌面
文件管理
文件管控平台使用教程
文档加密
知识库使用教程
信息安全
网络信息安全领导小组
公司信息安全制度
员工信息安全守则
信息安全技术
批量密码管理
磁盘加密
BitLocker加密
Linux加密磁盘
众阳云健康安全白皮书
本文档发布于【公司知识库】
-
+
游客
首页
Linux加密磁盘
> Linux 通过 cryptsetup 工具来操作 dm-crypt,dm-crypt 已经被整合到 Linux 内核中,大部分的主流发行版都已经内置了 cryptsetup 工具,如果你使用的系统没有自带,请安装。 查看cryptsetup版本号: `cryptsetup --version` 如果没有安装,就安装: - Debian/Ubuntu: `sudo apt update && sudo apt install cryptsetup` - CentOS `sudo yum install cryptsetup` ## 场景1:加密现有分区 查看磁盘和分区: `lsblk` 假设要加密的设备是 /dev/sdb1。 首先卸载分区:`umount /dev/sdb1` 因为 LUKS(Linux 硬盘加密标准)的加密头需要在分区的头部位置有 512 字节的大小,我们需要收缩文件系统的大小来给它腾出空间。 先检查文件系统:e2fsck -f /dev/sdb1 收缩文件系统:resize2fs -M /dev/sdb1(可能需要几分钟,取决于分区大小。) 加密分区: cryptsetup-reencrypt [参数1 参数2 ……] luksFormat --new --reduce-device-size 4096S /dev/sdx1 说明:因为要重新加密整个设备,如果你的分区比较大的话,加密时间会很长) 加密完成后,打开解密分区,并起个名子test1: cryptsetup open /dev/sdb1 test1 再次检查文件系统 加密以后就不要操作原来的分区了,要操作解密后映射出来的设备,这里是 /dev/mapper/ test1:e2fsck -f /dev/mapper/test1 恢复文件系统大小: resize2fs /dev/mapper/test1 完成 ## 场景2:将新分区设为加密分区 新分区为 /dev/sdb2 首先加密分区 cryptsetup luksFormat /dev/sdb2 会要求你输入密码,密码有复杂度要求,必须大于8位,不能是常见密码,否则无法设置成功。 打开解密文件,并为这个加密分区起个名字test1 cryptsetup open /dev/sdb2 test1 需要输入前面设置的密码 ls /dev/mapper/ #此时出现了test1,即为你的加密文件 然后格式化文件系统 mkfs.xfs /dev/mapper/test1 最后挂载 mount /dev/mapper/test1 /mnt ## 场景3:创建一个虚拟加密分区 通过创建一个大文件来作为加密分区使用,它的好处是灵活(本质上就是一个文件),可以很容易地复制到其他计算机上继续使用(当然需要密码)。 首先生成一个名为test1的 50GB 大小的文件容器: fallocate -l 50G test1 然后对文件容器加密: cryptsetup -c aes-xts-plain64 -s 512 -h sha512 -i 5000 luksFormat test1 它首先会提示设备内的数据将被覆盖,是否确定,输入 YES(大写),然后输入两次密码。 注:test1是前面创建的那个文件路径,这里因为test1就在当前目录,所以没有写路径 参数解释: - -c –cipher 加密算法 - -s –key-size 密钥大小 - -h –hash 哈希算法 - -i –iter-time 用来对抗暴力破解,值越大暴力破解越困难(在解密时也越耗时) 然后打开解密文件,需要为这个加密分区起个名字mytest1 cryptsetup open test1 mytest1 密码正确的话,你将在 /dev/mapper/ 目录下看到映射设备(mytes1)。 解密后就可以把容器当作普通分区来操作了: 格式化文件系统: mkfs.ext4 test1 挂载文件系统: mount /dev/mapper/mytest1 /mnt ## 加密磁盘的永久挂载 建立密码文件 vim /root/diskpass 内容为你的加密密码 然后添加可执行权限 chmod 600 /root/diskpass vim /etc/crypttab 内容如下: westos /dev/sdb2 /root/diskpass vim /etc/fastab 内容如下: /dev/mapper/test1 /mnt xfs defaults 0 0 重启 reboot ## 清除加密 现在不需要加密磁盘了,如何清除加密呢? 方法: 1. 删除前面步骤编写的内容 vim /etc/fstab vim /etc/crypttab 2. 删除密码文件 rm -fr /root/diskpass 3. 卸载文件系统 umount /mnt 4. 关闭解密文件 cryptsetup close westos 5. 格式化 mkfs.xfs /dev/vdb1 -f
张承卿
2023年6月27日 13:36
102
0 条评论
转发文档
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
分享
链接
类型
密码
更新密码
有效期
