Ubuntu中文论坛

发表于： **2023-09-26 17:37**

加密磁盘过程在要使用到的各种基本命令，备份一个。免去搜索出一些付费网页。
1.安装gpg
sudo apt install gpg

代码：全选

sudo apt install gpg

2.生成密钥对（永久有效）
gpg --full-generate-key

代码：全选

gpg --full-generate-key

按提示选方案通常默认就行个人喜欢4096位密码
（按顺序出现的是 1次是密码对 2次是密码位数 3次是有效时间 4次是确认。再接下去是名称，邮箱，注释，确认选项，保护密码等）
3.导出密钥 (分别是公钥，私钥，以防止换机器了没有密钥) ****代表密钥的名称
gpg -a -o ****.asc --export ****

代码：全选

gpg -a -o ****.asc --export ****

gpg -a -o ****_pri.asc --export-secret-key ****

代码：全选

gpg -a -o ****_pri.asc --export-secret-key ****

4.显示密钥对
gpg --list-keys

代码：全选

gpg --list-keys

5.删除密钥对 (有私钥的必须下面这条) ****代表密钥的名称
gpg --delete-secret-and-public-key ****

代码：全选

gpg --delete-secret-and-public-key ****

6.导入密钥 (自用机器所以公钥私钥都导入 _pri只是区别公私钥，可使用自己理解的代号)
gpg --import /*/*/****.asc

代码：全选

gpg --import /*/*/****.asc

gpg --import /*/*/****_pri.asc

代码：全选

gpg --import /*/*/****_pri.asc

7.加密文件（****代表各自文件名可以不一致）
gpg --encrypt --output ****.gpg --recipient [email protected] ****

代码：全选

gpg --encrypt --output ****.gpg --recipient [email protected] ****

8.解密文件（****代表各自文件名可以不一致）
gpg --decrypt --output **** ****.gpg

代码：全选

gpg --decrypt --output **** ****.gpg

9网上流传的转移密钥对方法（测试后，发现里面没有私钥的）
gpg --output key.gpg --export id

代码：全选

gpg --output key.gpg --export id

10.网上流传的导入密钥对方法（测试后，发现里面没有私钥的）
gpg --import key.gpg

代码：全选

gpg --import key.gpg

11.编辑注册新导入的密钥对（新导入的密钥不注册需多次输密码，麻烦）
gpg --edit-key id

代码：全选

gpg --edit-key id

id 先通过 gpg --list-keys查看当前系统所有的密钥对，找到导入的那个的对应ID （一长串码在UID 的上一行）
进编辑界面后输fpr 查密钥指纹码 (不懂网上的查指纹码做什么，指纹码就是ID啊，通过ID进入后还查这做什么，算了，看一看一致性就是了)
确认选择的密钥是所需的。使用 sign 参数注册之。

发表于： **2023-09-26 22:58**

全密保密方案。先安装系统时全盘加密。另外挂载的也加密再解密挂载。这样被破解的方式只有密码被盗与自己不小心开放给别人看。
Cryptsetup 安装使用。
1.安装cryptsetup
sudo apt-get install cryptsetup

代码：全选

sudo apt-get install cryptsetup

2.本次使用keyfile 来记录密码使用，故先生产密码文件
dd if=/dev/urandom bs=64 count=16|base64|tee ***.txt

代码：全选

dd if=/dev/urandom bs=64 count=16|base64|tee ***.txt

（也可用GPG生产密码文件）
gpg --gen-random --armor 1 12 生成随机字节序列（--gen-random），质量为 1（第一个参数），次数 12 （第二个参数）。 --armor 保证以 base64 编码输出

代码：全选

gpg --gen-random --armor 1 12

3.创建加密分区（密码文件，找个地方保存好使用GPG加密，要使用时解压到/tmp文件，保证被重启后别人看不到）
sudo cryptsetup --key-file=/tmp/****.txt luksFormat /dev/sd*

代码：全选

sudo cryptsetup --key-file=/tmp/****.txt  luksFormat /dev/sd*

4.打开加密分区(使用自定义磁盘名称方便记忆)
sudo cryptsetup --key-file=/tmp/****.txt luksOpen /dev/sd* crydisk*

代码：全选

sudo cryptsetup --key-file=/tmp/****.txt luksOpen /dev/sd* crydisk*

5.查看加密盘状态
cryptsetup status crydisk*

代码：全选

cryptsetup status crydisk*

6.格式化并挂载分区
sudo mkfs.ext4 /dev/mapper/crydisk*

代码：全选

sudo mkfs.ext4 /dev/mapper/crydisk*

sudo mount /dev/mapper/crydisk* /mnt/crydisk*

代码：全选

sudo mount /dev/mapper/crydisk* /mnt/crydisk*

7.关闭分区
sudo umount /mnt/crydisk*

代码：全选

sudo umount /mnt/crydisk*

sudo cryptsetup luksClose crydisk*

代码：全选

sudo cryptsetup luksClose crydisk*

8.指定加密方式(请自行参考测试)
sudo cryptsetup -y -v luksFormat /dev/sda1 -c aes-xts-plain64 -s 512 -h sha512

代码：全选

sudo cryptsetup -y -v luksFormat /dev/sda1 -c aes-xts-plain64 -s 512 -h sha512

9. 重新加密分区(更改加密方式文件，未测试，请自行参考测试)
sudo cryptsetup-reencrypt --cipher aes-xts-plain64 --key-size 512 --hash sha512 /dev/mapper/crydisk*

代码：全选

sudo cryptsetup-reencrypt --cipher aes-xts-plain64 --key-size 512 --hash sha512 /dev/mapper/crydisk*

10.查看密码位 key slot
cryptsetup luksDump /dev/sd*

代码：全选

cryptsetup luksDump /dev/sd*

11.增加密码位 key slot
cryptsetup --key-file=/tmp/****.txt luksAddKey /dev/sd* /tmp/****2.txt

代码：全选

cryptsetup --key-file=/tmp/****.txt luksAddKey /dev/sd* /tmp/****2.txt

12.删除密码位 key slot （先查看多少密码位，按顺序需求删除）
cryptsetup --key-file=/tmp/****.txt luksKillSlot /dev/sd* 1

代码：全选

cryptsetup --key-file=/tmp/****.txt luksKillSlot /dev/sd* 1

Ubuntu中文论坛

【自用】加密命令gpg-cryptsetup等使用方法，免得看MAN

【自用】加密命令gpg-cryptsetup等使用方法，免得看MAN

Re: 【自用】加密命令gpg-cryptsetup等使用方法，免得看MAN