RHCE系列之磁盘加密—-LUKS加密

原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://nolinux.blog.51cto.com/4824967/1436460

       LUKS (Linux Unified Key Setup)为 Linux 硬盘加密提供了一种标准,它不仅能通用于不同的 Linux 发行版本,还支持多用户/口令,并且由于它的加密密钥独立于口令,所以即使口令失密,我们也无需重新加密整个硬盘,只需要及时的改变口令即可重获安全!

       由于 LUKS 提供了一个标准的磁盘加密格式,使得它不仅兼容性高,而且还提供了多用户密码管理的安全机制。


      在我们的操作系统中,负责对磁盘做加密的工具为 Cryptsetup ,默认我们的系统已经安装了该工具。

      由于 Cryptsetup 是分区级别的加密,比文件系统级别工作在更底层的位置,是在经过加密的块设备上,创建文件系统,最后挂载使用。因此凡是使用 Cryptsetup 对分区进行加密之后,这个分区就不能再被直接挂载了。

      LUKS 也是一种基于 device mapper(dm) 机制的加密方案。如果要使用加密后的分区,就必须对加密后的分区做一个映射,映射到 /dev/mapper 这个目录下。映射完成之后,我们也只能挂载这个映射来进行使用,并且在做映射的时候还需要输入加密分区的加密密码。

       因此,我们通常把较为敏感的文件放在加密分区当中,从而增强文件的安全性。



这里简单介绍下  Crypsetup 工具的加密特点

1、加密后不能直接挂载

2、加密后硬盘丢失也不用担心数据被盗

3、加密后必须做映射才能挂载



下面就开始加密分区创建和使用的相关操作:


1、使用fdisk工具创建一个新的分区

使用 fdisk 分区的步骤(略)!

[root@nolinux ~]# 
dd if=/dev/urandom of=/dev/sda6   # 可选步骤

3、使用工具 Cryptsetup 对分区进行加密。在该步骤会出现警告信息,提示操作人员此步骤可能会损害/dev/sda6里面的数据。如果我们确定该分区或者磁盘是干净的,就大胆的敲入YES。注意一定是大写的YES!接着,输入两遍密码即可,此密码一定不能忘记!

[root@nolinux ~]# cryptsetup luksFormat /dev/sda6
WARNING!
========
This will overwrite data on /dev/sda6 irrevocably.
Are you sure? (Type uppercase yes): YES   # 请输入YES,表示确定
Enter LUKS passphrase:                    # 输入你加密的密码
Verify passphrase:                        # 再次输入你加密的密码

4、继续使用 Cryptsetup 对我们刚才的加密分区 /dev/sda6 做映射,映射文件将放到 /dev/mapper 目录中。此步映射必须做,不做将无法使用加密分区。另外,映射的时候,它还会提示你需要输入上一步加密的密钥。

[root@nolinux ~]# cryptsetup luksOpen /dev/sda6 nolinux  #回车后会提示你输入密码
Enter passphrase for /dev/sda6: 
[root@nolinux ~]# ll /dev/mapper/nolinux    #查看我们生成的映射设备文件
lrwxrwxrwx 1 root root 7 7月   9 21:06 /dev/mapper/nolinux -> ../dm-0

       做映射的过程就相当于打开加密分区的过程。因此,当我们做完映射之后,就表示已经将加密分区打开。此时,我们通过访问映射,对映射的设备文件做操作就等于对我们的加密分区做操作。


5、在解密的映射文件上创建文件系统(此处使用ext4文件系统)

[root@nolinux ~]# mkfs -t ext4 /dev/mapper/nolinux
mke2fs 1.41.12 (17-May-2010)
。。。  # 过程省略
This filesystem will be automatically checked every 27 mounts or
180 days, whichever comes first.  Use tune2fs -c or -i to override.

6、挂载解密后的映射设备上的文件系统

[root@nolinux ~]# mkdir /nolinux   #创建挂载点
[root@nolinux ~]# mount /dev/mapper/nolinux /nolinux  #挂载加密分区

7、对挂载后的分区进行文件读写测试

[root@nolinux ~]# echo redhat > /nolinux/test
[root@nolinux ~]# cat /nolinux/test
redhat

以上就为一个 LUKS 加密分区的完整创建过程,加入你已经使用完毕,要将加密分区关闭时,要做什么操作呢?请看下面


1、卸载挂载点

[root@nolinux ~]# cryptsetup luksClose nolinux
[root@nolinux ~]# cryptsetup luksClose nolinux

注意:如果我们想要再次访问该加密分区,重复上面创建中的第4和第6步操作即可。


OK!上面就是介绍了一个加密分区的打开使用和关闭保护的过程。假如你经常使用,你需要在系统开机启动的时候就能自动挂载你的加密分区,此时该怎么办呢?

我们知道,经过 LUKS 加密的分区必须要做映射,并且做映射的时候需要输入密码。

LUKS 默认为我们提供了这样的解决方案,请看下面的操作:


永久挂载加密分区

1、使用 Cryptsetup 做加密分区映射

[root@nolinux ~]# cryptsetup luksOpen /dev/sda6 nolinux  #回车后会提示你输入密码
Enter passphrase for /dev/sda6: 
[root@nolinux ~]# ll /dev/mapper/nolinux    #查看我们生成的映射设备文件
lrwxrwxrwx 1 root root 7 7月   9 37:06 /dev/mapper/nolinux -> ../dm-0

2、在etc目录下有一个crypttab文件,该文件负责处理经过cryptsetup加密分区的映射以及对应的密码文件。因此我们需要向 /etc/crypttab 文件里添加一条条目。

[root@nolinux ~]# echo 'nolinux /dev/sda6 /root/passwd' >> /etc/crypttab # 映射关系以及密码文件的路径
[root@nolinux ~]# cat /etc/crypttab
nolinux /dev/sda6 /root/passwd

3、创建密码文件

   创建密码文件有2种方式,一种是直接把密码放到我们上面在/etc/crypttab文件中指定的密码文件中,另外一种是使用系统自带的随机数生成设备/dev/random 去生成一个4K的随机数文件。

[root@nolinux ~]# echo redhat > /root/passwd
或
[root@nolinux ~]# dd if=/dev/random of=/root/passwd bs=4096 count=1
记录了0+1 的读入
记录了0+1 的写出
128字节(128 B)已复制,0.000712986 秒,180 kB/秒

4、使用工具 Cryptsetup 为加密分区手动添加一次 LUKS 秘钥文件。注意,此步骤会提示你输入加密分区时的密码!

[root@nolinux ~]# cryptsetup luksAddKey /dev/sda6 /root/passwd   # 回车后会提示你输入密码
Enter any passphrase:

5、在/etc/fstab里面添加永久挂载条目

[root@nolinux ~]# echo '/dev/mapper/nolinux /nolinux  ext4 defaults,_netdev 0 0' >> /etc/fstab
[root@nolinux ~]# tail -1 /etc/fstab
/dev/mapper/nolinux /nolinux  ext4 defaults,_netdev 0 0

注意:此处使用挂载参数_netdev目的是为了防止该设备出现问题挂不上而导致整个系统起不来,使用了_netdev之后,即可该加密分区挂不上,也不会影响我们整个系统的启动。


6、执行挂载

[root@nolinux ~]# mount -a  # 由于挂载条目已经写入/etc/fstab,因此我们可以直接执行mount -a来进行挂载操作
[root@nolinux ~]# df -h|tail -1
/dev/mapper/nolinux   95M  5.6M   85M   7% /nolinux

当然,这里你也可以直接重启电脑来进行自动挂载的功能测试!


补充,对于 LUKS 加密的磁盘状态,我们在加密分区打开的状态下(即建立映射的情况下),我们可以使用如下命令来进行查看

[root@nolinux ~]# cryptsetup status /dev/mapper/nolinux 
/dev/mapper/nolinux is active and is in use.
  type:  LUKS1
  cipher:  aes-cbc-essiv:sha256
  keysize: 256 bits
  device:  /dev/sda6
  offset:  4096 sectors
  size:    200704 sectors
  mode:    read/write

  以上就是LUKS加密的相关内容,希望对大家有所帮助

转自:http://nolinux.blog.51cto.com/4824967/1436460

原创文章,作者:s19930811,如若转载,请注明出处:http://www.178linux.com/1962

(0)
上一篇 2016-08-15 12:12
下一篇 2016-08-15 12:12

相关推荐

  • 马哥教育网络班20期+第七周博客作业

    1、创建一个10G分区,并格式为ext4文件系统     (1) 要求其block大小为2048,预留空间百分比为2,卷标为MYDATA,默认挂载属性包含acl fdisk /dev/sdbnp1110Gw[root@llww3317 ~]# mke2fs -t ext…

    Linux干货 2016-08-02
  • bash特性及bash脚本编程初步

    终端,附着在终端的接口程序: GUI:KDE, GNome, Xfce CLI:/etc/shells bash zsh fish   bash的特性: 命令行展开:~, {} 命令别名:alias, unalias 命令历史:history 文件名通配:glob 快捷键:Ctrl+a, e, u, k, l 命令补全:$PATH 路径补全: &n…

    Linux干货 2016-11-21
  • N28-第二周作业

    1、Linux上的文件管理类命令都有哪些,其常用的使用方法及其相关示例演示。
    2、bash的工作特性之命令执行状态返回值和命令行展开所涉及的内容及其示例演示。
    3、请使用命令行展开功能来完成以下练习:
    (1)、创建/tmp目录下的:a_c, a_d, b_c, b_d
    (2)、创建/tmp/mylinux目录下的:
    mylinux/
    ├── bin
    ├── boot
    │   └── grub
    ├── dev
    ├── etc
    │   ├── rc.d
    │   │   └── init.d
    │   └── sysconfig
    │   └── network-scripts
    ├── lib
    │   └── modules
    ├── lib64
    ├── proc
    ├── sbin
    ├── sys
    ├── tmp
    ├── usr
    │   └── local
    │   ├── bin
    │   └── sbin
    └── var
    ├── lock
    ├── log
    └── run
    4、文件的元数据信息有哪些,分别表示什么含义,如何查看?如何修改文件的时间戳信息。
    5、如何定义一个命令的别名,如何在命令中引用另一个命令的执行结果?
    6、显示/var目录下所有以l开头,以一个小写字母结尾,且中间至少出现一位数字(可以有其它字符)的文件或目录。
    7、显示/etc目录下,以任意一个数字开头,且以非数字结尾的文件或目录。
    8、显示/etc目录下,以非字母开头,后面跟了一个字母以及其它任意长度任意字符的文件或目录。
    9、在/tmp目录下创建以tfile开头,后跟当前日期和时间的文件,文件名形如:tfile-2016-05-27-09-32-22。
    10、复制/etc目录下所有以p开头,以非数字结尾的文件或目录到/tmp/mytest1目录中。
    11、复制/etc目录下所有以.d结尾的文件或目录至/tmp/mytest2目录中。
    12、复制/etc/目录下所有以l或m或n开头,以.conf结尾的文件至/tmp/mytest3目录中。

    Linux干货 2017-12-11
  • 马哥教育网络班第21期+第一周课程作业

    一、 描述计算机的组成及其功能     计算机主机包括:运算器,控制器,存储器,输入设备,输出设备 1、运算器:功能是对程序规定的控制信息进行解释,根据其要求进行控制,调度程序、数据、地址,协调计算机各部分工作及内存与外设的访问等。 2、控制器:运算器的功能是对数据进行各种算术运算和逻辑运算,即对从控制器取来…

    Linux干货 2016-07-12
  • N22-第九周作业

    1、写一个脚本,判断当前系统上所有用户的shell是否为可登录shell(即用户的shell不是/sbin/nologin);分别这两类用户的个数;通过字符串比较来实现; #!/bin/bash # declare -i log_user declare -i notlog_user while read&n…

    Linux干货 2016-10-24
  • find和grep命令练习

                                    find和grep命令练习 1、显示当前系统上root,fedora,或user1用户的默认shell; ~]# cat /etc/pa…

    Linux干货 2016-10-23