我按照这个帖子操作,
cryptsetup是linux下得一个分区加密工具,是在经过加密的块设备上再创建文件系统,然后再进行挂载使用,可以达到最底层的加密。
首先进行对硬盘进行分区
fdisk /dev/sdb
fdisk
fdisk –l
下面开始对分区进行加密
cryptsetup luksFormat /dev/sdb1 设置为加密分区
出现要输入yes的地方一定要输入YES
cryptsetup luksOpen /dev/sdb1 disk1 将分区映射成disk1,则这个设置就在/dev/mapper中
mkfs.ext4 /dev/mapper/disk1 格式化加密分区
mount /dev/mapper/disk1 /mnt/luks/ 挂载加密分区
df 查看分区挂载情况
umount /dev/mapper/disk1 卸载分区
cryptsetup luksClose /dev/mapper/disk1 关闭加密分区
vi /etc/crypttab 分区加密的配置文件
disk1 /dev/sdb1 /root/key(如果这里写none的话,当系统启动时在读取分区时候,会一直停在那,等待输入密码)
echo -n "123" > /root/key 生成密码文件
chmod 700 /root/key 修改权限
cryptsetup luksAddKey /dev/sdb1 /root/key 添加口令到/dev/sdb1中
cat /etc/crypttab
disk1 /dev/sdb1 /root/key
vi /etc/fstab 自动挂载文件
/dev/mapper/disk1 /mnt/luks ext4 defaults 0 0
mount –a 重新挂载/etc/fstab里的内容,如果报错的话就需要重启系统
发现,重新开机后,无法自动挂载, 开机后进入
cd /dev/mapper
ls
没有disk1了,请问,如何实现开机自动挂载加密区?
自动挂载加密分区
-
okzokz123
- 帖子: 114
- 注册时间: 2008-12-29 17:19
Re: 自动挂载加密分区
加密再自动挂载其实是脱了裤子放屁,加密了还自动挂载干啥呢?只能达到无开机密码时加密盘不被其他系统引导使用其中数据的目的,设备已经luksOpen就绪,只要能登陆系统,加密盘就失去了意义,卡住 luksOpen 才能算把住加密关。
-
okzokz123
- 帖子: 114
- 注册时间: 2008-12-29 17:19
Re: 自动挂载加密分区
*** 注销你的帐户,用 root 来操作。DEB系列必须用LVM来做,目前Arch可以用基本磁盘做。
# modprobe dm_crypt //设定模块
# lsmod | grep dm_crypt //查看模块是否运行
# cp -arfp /home /path/备份home //先备份主目录,后面操作有风险所以最好放在本地磁盘以外的地方!
# cryptsetup --verbose --verify-passphrase -c aes-cbc-plain luksFormat /dev/vg0/lv1 //创建用于加密主目录的加密分区
# cryptsetup luksOpen /dev/vg0/lv1 mydisk //启用该加密分区
# dd if=/dev/urandom of=/dev/mapper/mydisk //填充随机数据,让人不能估计当中藏有多少数据,你可以跳过这一步,但花时间来做它能增强加密的功效。
# ps uxa | grep dd //用 watch 及 kill 来显示 dd 的进度,如无需要可以略过
# watch -n 20 kill -USR1 PID
# mkfs.ext4 -j -O dir_index /dev/mapper/mydisk //格式化该分区
# tune2fs -l /dev/mapper/mydisk //看看是否正确
# echo "密码" > /root/crypasswd //据说这样避免/n的问题
# cryptsetup luksAddKey /dev/vg0/lv1 /root/crypasswd //设置几个密码
# mount /dev/mapper/mydisk /mountpiont //挂载crpyt-luks-disk到挂载点
# cp -arfp /path/备份home/* /moutpiont //向挂载点倒回/home里面的用户配置文件;~/.gvfs需用该~/用户操作
# crypsetup luksClose mydisk //关闭加密分区
# nano /etc/crypttab //启用 cry-luks 自挂载,不设置key路径或设为 none,让系统开机询问加密分区密码才能挂载
mydisk /dev/vg0-lv1 none luks
swap /dev/swap /dev/urandom swap,cipher=aes-cbc-essiv:sha256 //需要加密 swap 时才用,指定加密系统在开机时采用 AES 的 SHA 256 位元加密法。每次开机所产生的新密钥将会在系统中一直生效。关机的时候,这条密钥不再有效,因此 /swap 便受到保护。
# nano /etc/fstab //修改系统挂载文件,需要注意的是有的系统有可能会用 UUID 来表示挂载的luks磁盘,所以有必要先(或许要重启一次用 blkid /dev/mapper/mydisk 才能确定)确定 crypt-luks 磁盘的表示后才改写fstab,然后才可以使用。
/dev/mapper/mydisk /home ext4 defaults 1 2 //也用 UUID 来表示
/dev/mapper/swap none swap defaults 0 0 //加密 swap 时的 fstab 配置
*** # lvextend -L+512M /dev/vg0/lv1 //需要用加密的磁盘来扩展而不是一般的 LVM 路径
# resize2fs /dev/mapper/mydisk //用加密的路径调整文件系统大小
# modprobe dm_crypt //设定模块
# lsmod | grep dm_crypt //查看模块是否运行
# cp -arfp /home /path/备份home //先备份主目录,后面操作有风险所以最好放在本地磁盘以外的地方!
# cryptsetup --verbose --verify-passphrase -c aes-cbc-plain luksFormat /dev/vg0/lv1 //创建用于加密主目录的加密分区
# cryptsetup luksOpen /dev/vg0/lv1 mydisk //启用该加密分区
# dd if=/dev/urandom of=/dev/mapper/mydisk //填充随机数据,让人不能估计当中藏有多少数据,你可以跳过这一步,但花时间来做它能增强加密的功效。
# ps uxa | grep dd //用 watch 及 kill 来显示 dd 的进度,如无需要可以略过
# watch -n 20 kill -USR1 PID
# mkfs.ext4 -j -O dir_index /dev/mapper/mydisk //格式化该分区
# tune2fs -l /dev/mapper/mydisk //看看是否正确
# echo "密码" > /root/crypasswd //据说这样避免/n的问题
# cryptsetup luksAddKey /dev/vg0/lv1 /root/crypasswd //设置几个密码
# mount /dev/mapper/mydisk /mountpiont //挂载crpyt-luks-disk到挂载点
# cp -arfp /path/备份home/* /moutpiont //向挂载点倒回/home里面的用户配置文件;~/.gvfs需用该~/用户操作
# crypsetup luksClose mydisk //关闭加密分区
# nano /etc/crypttab //启用 cry-luks 自挂载,不设置key路径或设为 none,让系统开机询问加密分区密码才能挂载
mydisk /dev/vg0-lv1 none luks
swap /dev/swap /dev/urandom swap,cipher=aes-cbc-essiv:sha256 //需要加密 swap 时才用,指定加密系统在开机时采用 AES 的 SHA 256 位元加密法。每次开机所产生的新密钥将会在系统中一直生效。关机的时候,这条密钥不再有效,因此 /swap 便受到保护。
# nano /etc/fstab //修改系统挂载文件,需要注意的是有的系统有可能会用 UUID 来表示挂载的luks磁盘,所以有必要先(或许要重启一次用 blkid /dev/mapper/mydisk 才能确定)确定 crypt-luks 磁盘的表示后才改写fstab,然后才可以使用。
/dev/mapper/mydisk /home ext4 defaults 1 2 //也用 UUID 来表示
/dev/mapper/swap none swap defaults 0 0 //加密 swap 时的 fstab 配置
*** # lvextend -L+512M /dev/vg0/lv1 //需要用加密的磁盘来扩展而不是一般的 LVM 路径
# resize2fs /dev/mapper/mydisk //用加密的路径调整文件系统大小
-
millenniumdark
- 论坛版主
- 帖子: 4159
- 注册时间: 2005-07-02 14:41
- 系统: Ubuntu 14.04 (Kylin)
- 联系:
Re: 自动挂载加密分区
我就是加密自动挂载啊,主要是怕万一电脑被人偷了……okzokz123 写了:加密再自动挂载其实是脱了裤子放屁,加密了还自动挂载干啥呢?只能达到无开机密码时加密盘不被其他系统引导使用其中数据的目的,设备已经luksOpen就绪,只要能登陆系统,加密盘就失去了意义,卡住 luksOpen 才能算把住加密关。