linux系統中有很多的磁碟裝置,通常我們希望對它們進行加密,這樣會更加的安全。luks(linux統一金鑰設定)是標準的裝置加密格式。luks可以對分割槽或者卷進行加密。尤其要注意的是:必須首先對加密的卷進行解密,才能掛載其中的檔案系統。
下面我們來舉個栗子看看什麼是luks。
1.前期準備
支援luks的命令是cryptsetup(預設已經安裝),如果我們想要看到它所支援的命令,鍵入命令:
注意觀察這幾個命令,它們在接下來的操作中將會經常用到:
為了做這個實驗,我們重新生成乙個裝置,生成裝置的步驟如下:
2.初識luks
(1)首先對分割槽進行初始化
注意:這裡要大寫yes!! 然後輸入該裝置的密碼
(2)對映分割槽,開啟luks
(3)我們確實有了乙個裝置,但是記住這個裝置是不能被直接使用的,必須要對它進行格式化。
(4)完成之後我們對disk進行掛載,掛載是成功的。
顯然是掛不上的,因為我們已經把它對映到另外乙個裝置disk了,這樣就極大加強了裝置的安全性,接著開啟luks:
剛才我們已經掛載了對映裝置disk,但是卻是手動的,我們想要永久的掛載,那麼就必須要寫入配置檔案/etc/fstab中了,但是我們的掛載在開機時是需要輸入密碼的,顯然每次都讓人去輸入是不合乎常理的,所以也要新建乙個檔案來存入luks的開啟密碼,並且指定該檔案為金鑰檔案,首先演示沒有進行這些操作時的情況,開機時是要輸入密碼的,正確的話裝置會被掛載,錯誤的話最多裝置不會被掛載,系統依然能夠啟動:
但這樣很麻煩,我們進入永久掛載方法。
1.寫入配置檔案/etc/fstab
2.寫入luks的配置檔案/etc/crypttab
3.我們設定/root/password為金鑰檔案,但是這個檔案是不存在的,要建立它而且要設定一些許可權問題。
這個是disk的luks密碼:
改變許可權:
4.最後一步,我們要把這個檔案增添到這個luks中,讓它能夠自動識別。
這樣我們就實現了對映裝置disk的開機後自動掛載了,但是這個在redhat6.0是官方的已知bug,每次開機時要重新輸入密碼。其他的版本沒有問題,如果操作失敗的化請確定你的selinux是否關閉。好了大家可以去嘗試一下。哦,如果你測試完後不想裝置繼續加密,關掉luks的情況下,把原來的裝置/dev/vda7重新進行格式化就可以使用了。
這個帖子就講到這裡,關於裝置的安全還有很多方面需要考慮,以後再繼續討論。
linux磁碟加密
centos系統使用 cryptsetup 加密磁碟 首先檢視是否有rpm q cryptsetup luks,出現下圖說明有 cryptsetup 工具沒出現就使用yum y install cryptsetup luks 安裝服務 fdisk l檢視要加密的磁碟的名稱,這裡以 dev vdb 為...
Linux磁碟管理 磁碟加密
磁碟加密 硬碟 sda 硬碟安裝了作業系統 gpt mbr 需要占用硬碟的前512個位元組 446位元組是主引導資訊 64個位元組分割槽表 2位元組儲存 結尾資訊 最多4個主分割槽 特殊的分割槽擴充套件分割槽 可以分割槽出多個 邏輯分割槽 gpt 支援的主分割槽數量 自己定義 2t 建立分割槽 關閉...
linux雜談之加密 二 shell加密
一 簡介 目的 使用 shc 對 linuxshell 指令碼加密.shc是乙個專業的加密shell指令碼的工具,它的作用是把shell指令碼轉換為乙個可執行的二進位制檔案,這個辦法很好的解決了指令碼中 含有ip 密碼等不希望公開的問題。shc是乙個指令碼編譯工具,使用 rc4加密演算法 將shel...