LUKS(Linux Unified Key Setup)为Linux硬盘分区加密提供了一种标准,它不仅能通用于不同的Linux发行版本,还支持多用户/口令。因为它的加密密钥独立于口令,所以如果口令失密,我们可以迅速改变口令而无需重新加密真个硬盘。通过提供一个标准的磁盘上的格式,它不仅方便之间分布的兼容性,而且还提供了多个用户密码的安全管理。必须首先对加密的卷进行解密,才能挂载其中的文件系统。

工具:cryptsetup(默认已经安装)

常用参数:luksFormat、luksOpen、luksClose、luksAddKey

使用cryptsetup对分区进行了加密后,这个分区就不再允许直接挂载。LUKS也是一种基于device mapper 机制的加密方案。如果要使用这个分区,必须对这个分区做一个映射,映射到/dev/mapper这个目录里去,我们只能挂载这个映射才能使用。然而做映射的时候是需要输入解密密码的。

注:要解除加密需要备份分区内的文件再重新格式化LUKS分区

Crypsetup工具加密的特点:

Ø加密后不能直接挂载

Ø加密后硬盘丢失也不用担心数据被盗

Ø加密后必须做映射才能挂载

 
  1. 格式化LUKS分区 
  2. [root@rhel6 ~]# cryptsetup luksFormat /dev/vda8                     //将分区进行LUKS格式(变成LUKS分区)
  3. WARNING!
  4. ========
  5. This will overwrite data on /dev/vda8 irrevocably.
  6. Are you sure? (Type uppercase yes): YES                      //输入大写的YES
  7. Enter LUKS passphrase:                                   //输入两次密码
  8. Verify passphrase:
  9. 映射分区 
  10. [root@rhel6 ~]# cryptsetup luksOpen /dev/vda8 luks_test             //打开LUKS分区,将在/dev/mapper/目录中生成一个luks_test的文件
  11. Enter passphrase for /dev/vda8:                                   //必须输入luks密码才能打开LUKS分区
  12. 格式化、挂载、使用分区 
  13. [root@rhel6 ~]# mkfs.ext4 /dev/mapper/luks_test
  14. [root@rhel6 ~]# mount /dev/mapper/luks_test /luks/
  15. 关闭映射,先卸载后关闭 
  16. [root@rhel6 ~]# umount /luks/
  17. [root@rhel6 ~]# cryptsetup luksClose luks_test                      //关闭LUKS分区
  18. [root@rhel6 ~]# mount /dev/vda8 /luks/                           //无法直接挂载/dev/vda8分区
  19. mount: unknown filesystem type 'crypto_LUKS'
  20. 实现开机自动挂载LUKS分区: 
  21. [root@rhel6 ~]# dd if=/dev/urandom of=keyfile bs=1k count=4
  22. 4+0 records in
  23. 4+0 records out
  24. 4096 bytes (4.1 kB) copied, 0.00206882 s, 2.0 MB/s
  25. [root@rhel6 ~]# cryptsetup luksAddKey /dev/vda8 keyfile
  26. Enter any passphrase:
  27. [root@rhel6 ~]# vi /etc/crypttab
  28. name    /dev/vda8       /root/keyfile   luks
  29. [root@rhel6 ~]# vi /etc/fstab
  30. /dev/mapper/name        /luks                   ext4    _netdev         0 0
  31. 添加/移除/修改LUKS密码 
  32. [root@rhel6 ~]# cryptsetup luksAddKey /dev/vda8
  33. Enter any passphrase:
  34. Enter new passphrase for key slot:
  35. Verify passphrase:
  36. [root@rhel6 ~]# cryptsetup luksRemoveKey /dev/vda8
  37. Enter LUKS passphrase to be deleted:
  38. [root@rhel6 ~]# cryptsetup luksAddKey /dev/vda8 keyfile
  39. Enter any passphrase:

这里只是移除密码,并不是取消加密,如果想把磁盘取消加密的话,只能重新格式化,重新分区,否则是无法挂在的

这里是我删除了key之后的,想再次映射,结果就报错了

[root@testCentOS6 mapper]# cryptsetup luksOpen /dev/sdb  ceshi_2
Enter passphrase for /dev/sdb: 
No key available with this passphrase.
Enter passphrase for /dev/sdb:

转自:http://blog.51cto.com/vnimos/1175883

【Linux】使用cryptsetup加密磁盘 策略为LUKS的更多相关文章

  1. 用luks方式对磁盘进行加密以及加密磁盘的自动挂载

    1.关于luks加密 LUKS(Linux Unified Key Setup)为Linux硬盘分区加密提供了一种标准,它不仅能通用于不同的 Linux发行版本,还支持多用户/口令.因为它的加密密钥独 ...

  2. dm-crypt加密磁盘

    dm-cry加密方式密码与文件 与其它创建加密文件系统的方法相比,dm-crypt系统有着无可比拟的优越性:它的速度更快,易用性更强.除此之外,它的适用面也很广,能够运行在各种块设备上,即使这些设备使 ...

  3. Linux Shell之监测磁盘空间

    Linux Shell之监测磁盘空间 系统管理员的另一个重要任务就是监测系统磁盘的使用情况.不管运行的是简单Linux台式机还是大型的Linux服务器,我们都要知道还有多少空间可以留给应用程序.事实上 ...

  4. kvm上的Linux虚拟机使用virtio磁盘

    kvm上的Linux虚拟机使用virtio磁盘 系统:centos6.6  64位 网上的文章比较少,怎麽将Linux虚拟机的磁盘改为使用virtio磁盘 因为centos6或以上系统已经包含了vir ...

  5. Linux学习之路—磁盘分区

    1.各硬件设备在Linux中的文件名 在Linux系统中,每个设备都被当做一个文件来对待,同时在Linux系统中,几乎所有的硬件设备文件都在/dev这个目录中. 设备 设备在Linux内的文件名 ID ...

  6. Linux基础1之磁盘与分区

    Linux上面设备皆文件,目前需要知道的,比如U盘和SARA硬盘的在Linux上面的文件名,/dev/sd[a-p].与IDE接口不同的是,SATA/USB接口的磁盘没有一定的顺序,这里就根据Linu ...

  7. linux使用FIO测试磁盘的iops 【转载】

     linux使用FIO测试磁盘的iops 2013-09-23 10:59:21 分类: LINUX FIO是测试IOPS的非常好的工具,用来对硬件进行压力测试和验证,支持13种不同的I/O引擎,包括 ...

  8. linux性能优化cpu 磁盘IO MEM

    系统优化是一项复杂.繁琐.长期的工作,优化前需要监测.采集.测试.评估,优化后也需要测试.采集.评估.监测,而且是一个长期和持续的过程,不 是说现在优化了,测试了,以后就可以一劳永逸了,也不是说书本上 ...

  9. Linux系统格式化新磁盘并挂载分区

    Linux系统格式化新磁盘并挂载分区 在虚拟机的设置界面中,我们可以选择添加硬盘 添加好硬盘后,我们输入命令fdisk -l 看到有一个未经分区的硬盘 Fdisk命令编辑这个硬盘 输入n创建分区,p选 ...

随机推荐

  1. C++异常之七 标准库里的异常类

    标准库里的异常类 C++标准提供了一组标准异常类,这些类以基类 Exception 开始,标准程序库抛出的所有异常,都派生于该基类,这些类构成如图所示的异常类的派生继承关系,该基类提供一个成员函数 w ...

  2. 自定义Django认证系统的技术方案

    Django已经提供了开箱即用的认证系统,但是可能并不满足我们的个性化需求.自定义认证系统需要知道哪些地方可以扩展,哪些地方可以替换.本文就来介绍自定义Django认证系统的相关技术细节. 自定义认证 ...

  3. Spring Boot 的2020最后一击:2.4.1、2.3.7、2.2.12 发布

    近日,Spring Boot官方发布了本年度最后一次版本更新,主要针对目前维护的三个版本: 2.4.x:第一个bug修复版本 2.4.1 2.3.x:常规维护版本 2.3.7 2.2.x:常规维护版本 ...

  4. 标注工具labelimg和labelme

    矩形标注工具:labelimg 多边形标准工具:labelme 前者官网发布了可执行文件,后者只有python源码,如果需要编译windows exe,可以这样: pip install labelm ...

  5. 2020.12.16 模拟赛x+1

    A. 接力比赛 跑两遍背包,再进行一些玄学的剪枝 代码 #include<cstdio> #include<algorithm> #define rg register inl ...

  6. 面试 11-02.ES6

    11-02.ES6 #Class和普通构造函数有何区别 我们经常会用ES6中的Class来代替JS中的构造函数做开发. Class 在语法上更加贴合面向对象的写法 Class 实现继承更加易读.易理解 ...

  7. Open_basedir绕过

    Open_basedir绕过 一.基础知识 open_basedir是php.ini中的一个配置选项,它可将用户访问文件的活动范围限制在指定的区域, 假设open_basedir=/home/wwwr ...

  8. vue封装API接口

    第一步: 首先引入axios 然后创建两个文件夹api和http http.js 里面的 1 import axios from 'axios';//引入axios 2 3 //环境的切换 开发环境( ...

  9. Redisearch实现的全文检索功能服务

    "检索"是很多产品中无法绕开的一个功能模块,当数据量小的时候可以使用模糊查询等操作凑合一下,但是当面临海量数据和高并发的时候,业界常用 elasticsearch 和 lucene ...

  10. Asp.net Core使用Quartz.net

    1.介绍:Quartz.Net主要是用来做一些周期性的工作,或者定时工作.比如每天凌晨2点执行某个方法或者调用某个接口. Quartz项目地址:https://github.com/quartz-sc ...