因為保密需要,一般系統中會在文件和磁盤中進行加密,但是文件的加密比較容易破解,不安全。所以在特殊需要下,會對磁盤進行加密,磁盤加密后在磁盤損壞的同時,其中的數據也會損壞,接下來將會介紹磁盤加密的一些內容。
新建立一個磁盤分區,輸入"cryptsetup luksFormat /dev/vdb1"對磁盤分區/dev/vdb1進行加密,輸入大寫的"YES"后,輸入兩次密碼,即可完成磁盤加密。
完成加密后如何掛載呢?如下圖所示,如果將vdb1分區直接掛載,將無法掛載。輸入"cryptsetup open /dev/vdb1 we"是將加密的磁盤分區vdb1打開為we,名字可以自行設置,出現"/dev/mapper/we"分區,然后格式化這個分區,就可以進行掛載了。
例如下圖,掛載在/mnt后,在其中建立10個文件file{1..10},取消掛載后在/mnt下看不到這10個文件,輸入命令"cryptsetup close we"后,可以關閉vdb1分區,這時候we分區不存在了,也就無法再進行掛載了。
將vdb1分區重新打開成其他名稱的分區,如下圖所示,掛載后會出現上述的10個文件。
如果需要開機時自動掛載,需要先在"/root"目錄下建立一個記錄密碼的文件,例如建立"/root/lukswe",文件名稱可自行設定,在其中輸入加密分區vdb1的密碼,為了安全,建議給其設置"600"權限。然后輸入命令"cryptsetup luksAddKey /dev/vdb1 /root/lukswe"將密碼存放文件與加密磁盤關聯。在"/etc/crypttab"文件中寫入解密配置文件,例如寫入"we /dev/vdb1 /root/lukswe",we表示vdb1磁盤打開后的名稱。最后需要在"/etc/fstab"寫入開機自動掛載配置,寫入"/dev/mapper/we /mnt xfs defaults 0 0",完成后重啟即可檢測是否自動掛載。
需要取消磁盤加密時,需要格式化這個磁盤,如果在之前設置過開機自動掛載,則需要先刪除密碼記錄文件,再刪除"/etc/crypttab"和"/etc/fstab"中的配置,取消掛載后,關閉加密磁盤,最后再格式化就可以刪除這個加密磁盤了。
