保护个人数据安全，使用luks加密硬盘分区

create：2023-01-24 17:44:44

准备工作

新硬盘4T，无数据。在root用户或sudo状态下执行。

首先创建分区表，由于mbr最大支持只有2T，因此分区表创建为gpt格式。

然后创建一个临时的分区，供后续加密定位使用。格式随意，大小看个人需求。

加密步骤

以上述步骤执行后，执行fdisk -l查看待加密分区设备符号，我的是/dev/sdc1。

# 创建加密分区，注意YES必须是大写的
sudo cryptsetup luksFormat /dev/sdc1

WARNING: Device /dev/sdc1 already contains a 'ntfs' superblock signature.

WARNING!
========
This will overwrite data on /dev/sdc1 irrevocably.

Are you sure? (Type 'yes' in capital letters): YES
Enter passphrase for /dev/sdc1:
Verify passphrase: 

# 对加密分区进行解密，解密后的设备名可以自定义，这里用的是 dm-purple
sudo cryptsetup  luksOpen /dev/sdc1 dm-purple
# 对解密后的分区执行格式化，以便后续可以存入数据。
sudo mkfs.ext4 /dev/mapper/dm-purple -b 1024 -m 0 -L PURPL3
# -b为最小分配单元，单位是K，预计存储的小文件比较多，选择的小点能省些空间占用；
# -m是linux系统为超级管理员预留容量的百分比，如此大的数据盘没必要预留，选择的0；
# -L是分区的标签，类似windows里面的卷标。

挂载使用

# 解密
sudo cryptsetup  luksOpen /dev/sdc1 dm-purple
# 挂载
sudo mount /dev/mapper/dm-purple /mnt/PURPL3

卸载并加密

sudo umount /mnt/PURPL3
sudo cryptsetup luksClose dm-purple

注意事项

1.首次创建加密分区时涉及格式化操作，会删除数据，老硬盘建议先备份出来。

2.对解密分区格式化一次后，以后就不用执行格式化操作了。直接挂载即可。

3.牢记密码。即便是格式化后，想要恢复数据，也得知道密码才行。

写作计划

• 开机自动挂载加密分区
• 密码修改及TPM安全模块用法
• 使用hashcat暴力破解加密分区