RHEL6下磁盘加密——luks

文章由LinuxBoy分享于2019-03-27 05:03:21热评（92）

RHEL6下磁盘加密——luks

Linux下磁盘加密

LUKS(Linux Unified Key Setup)为Linux硬盘加密提供了一种标准，它不仅能通用于不同的Linux发行版本，还支持多用户/口令。因为它的加密密钥独立于口令，所以如果口令失密，我们可以迅速改变口令而无需重新加密真个硬盘。通过提供一个标准的磁盘上的格式，它不仅方便之间分布的兼容性，而且还提供了多个用户密码的安全管理。必须首先对加密的卷进行解密,才能挂载其中的文件系统。

工具：cryptsetup（默认已经安装）

常用参数：luksFormat、luksOpen、luksClose、luksAddKey

使用cryptsetup对分区进行了加密后，这个分区就不再允许直接挂载。LUKS也是一种基于device mapper 机制的加密方案。如果要使用这个分区，必须对这个分区做一个映射，映射到/dev/mapper这个目录里去，我们只能挂载这个映射才能使用。然而做映射的时候是需要输入解密密码的。

Crypsetup工具加密的特点：

? 加密后不能直接挂载

? 加密后硬盘丢失也不用担心数据被盗

? 加密后必须做映射才能挂载

实现步骤：

（一）准备环境：

1．确认cryptsetup软件是否安装：

[root@localhost ~]# rpm -qa |grep cryptsetup

cryptsetup-luks-libs-1.2.0-7.el6.i686

cryptsetup-luks-1.2.0-7.el6.i686

2．新建磁盘分区：

[root@localhost ~]# fdisk -cu /dev/sdb

Command (m for help): n #新建分区

Command action

e extended

p primary partition (1-4)

p #选择主分区

Partition number (1-4): 1 #分区号为1

First sector (2048-41943039, default 2048): #此处回车

Using default value 2048

Last sector, +sectors or +size{K,M,G} (2048-41943039, default 41943039): +5G #给定大小为5G

Command (m for help): w #保持存对硬盘的更改并退出

The partition table has been altered!

Calling ioctl() to re-read partition table.

Syncing disks.

[root@localhost ~]# partx -a /dev/sdb #让系统重新读取磁盘/dev/sdb的分区表

（二）加密分区：

步骤：

1. 使用创建好分区格式化为加密分区：

cryptsetup luksFormat /dev/sdb1

WARNING!

========

This will overwrite data on /dev/sdb1 irrevocably.

Are you sure? (Type uppercase yes): YES # 注意这里必须是大写的YES

Enter LUKS passphrase: #输入密码

Verify passphrase: #再次输入

Command successful.

2. 映射分区：

[root@localhost ~]# cryptsetup luksOpen /dev/sdb1 fage_crypt #把sdb1映射为fage_crypt

Enter passphrase for /dev/sdb1: #此处输入加密密码

[root@localhost ~]# ls /dev/mapper/fage_crypt #查看映射的磁盘

/dev/mapper/fage_crypt

[root@localhost ~]# cryptsetup status /dev/mapper/fage_crypt #查看加密分区的状态

/dev/mapper/fage_crypt is active.

type: LUKS1

cipher: aes-cbc-essiv:sha256

keysize: 256 bits

device: /dev/sdb1

offset: 4096 sectors

size: 10481664 sectors

mode: read/write

3. 格式化分区并挂载使用：

[root@localhost ~]# mkdir /fage_data #创建目录

[root@localhost ~]# mkfs.ext4 /dev/mapper/fage_crypt #格式为ext4的文件系统

[root@localhost ~]# mount /dev/mapper/fage_crypt /fage_data/ #将加密分区挂载到/fage_data目录下

[root@localhost ~]# cd /fage_data/

[root@localhost fage_data]# touch fage.file

[root@localhost fage_data]# ls

fage.file lost+found

4. 关闭映射分区：

[root@localhost ~]# umount /fage_data/ #卸载分区

[root@localhost ~]# ls /dev/mapper/fage_crypt

/dev/mapper/fage_crypt

[root@localhost ~]# cryptsetup luksClose fage_crypt #关闭加密分区

[root@localhost ~]# ls /dev/mapper/ #再次查看时已经没有fage_crypt设备了

control VolGroup-lv_root VolGroup-lv_swap

5、设置开机自动挂载

生成密钥文件，如果想开机时手动输入密码可以不生成

# touch /root/.fage_crypt #创建加密文件，安全起见该文件设为隐藏文件

[root@localhost ~]# cryptsetup luksAddKey /dev/sdb1 /root/.fage_crypt #为/dev/sdb1分区添加密钥文件.fage_crypt

Enter any passphrase: #输入该分区的加密密码，必须和创建时的一致

[root@localhost ~]# cat /root/.fage_crypt

[root@localhost ~]# file /root/.fage_crypt #验证

/root/.fage_crypt: empty

设置开机启动

[root@localhost ~]# vim /etc/crypttab #编辑”加密的块设备”表crypttab添加如下行

fage_crypt /dev/sdb1 /root/.fage_crypt

#####fage_crypt为映射名称，/dev/sdb1是加密设备设备，/root/.fage_crypt为密码文件，如果想开机手动输入密码，密码文件处空着即可

[root@localhost ~]# vim /etc/fstab #编辑添加加密分开机启动

/dev/mapper/fage_crypt /fage_crypt ext4 defaults 0 0

现在加密分区就完成了!!

推荐文章：

RHEL6下磁盘加密——luks