?? ?RHEL6 cryptsetup 磁盤分區(qū)加密實(shí)驗(yàn)

? ? LUKS是為L(zhǎng)inux硬盤加密標(biāo)準(zhǔn)。通過(guò)提供一個(gè)標(biāo)準(zhǔn)的磁盤上的格式，它不僅方便之間分布的兼容性，而且還提供了多個(gè)用戶密碼的安全管理。必須首先對(duì)加密的卷進(jìn)行解密,才能掛載其中的文件系統(tǒng)。

系統(tǒng)加密：【工具：cryptsetup；常用參數(shù)：luksFormat、luksOpen、luksClose、luksAddKey】【涉及文件：/etc/crypttab；自己創(chuàng)建密碼文件】 注意：上述參數(shù)大小寫不能亂用 好了，來(lái)試試這個(gè)強(qiáng)大的工具吧～? 一、劃出一個(gè)分區(qū)進(jìn)行測(cè)試（fdisk） --->這里以我的機(jī)子為例，因?yàn)槲野芽臻g全做成lvm了，所以分區(qū)就不一樣啦，我們?nèi)?00M做實(shí)驗(yàn)吧。 [root@desktop21 Desktop]# vgdisplay --- Volume group ---VG Name vol0System ID Format lvm2Metadata Areas 2Metadata Sequence No 27VG Access read/writeVG Status resizableMAX LV 0Cur LV 4Open LV 3Max PV 0Cur PV 2Act PV 2VG Size 55.22 GiBPE Size 32.00 MiBTotal PE 1767Alloc PE / Size 928 / 29.00 GiBFree PE / Size 839 / 26.22 GiB （還26G，夠了吧，我只需要300M做實(shí)驗(yàn)）VG UUID ZAGsPK-tIBO-08bd-RoMp-fPeC-Ei5l-x3asx6[root@desktop21 Desktop]# lvcreate -L 300M -n testlv /dev/vol0 Rounding up size to full physical extent 320.00 MiBLogical volume "testlv" created --->ok，生成testlv分區(qū)，320M（跟PE有關(guān)） 二、分區(qū)加密（cryptsetup luksFormat，注意分區(qū)先不要格式化！） [root@desktop21 Desktop]# cryptsetup luksFormat /dev/vol0/testlv WARNING!========This will overwrite data on /dev/vol0/testlv irrevocably.Are you sure? (Type uppercase yes): YES （注意，只能是大寫字母）Enter LUKS passphrase: （輸入密碼）Verify passphrase: （確認(rèn)密碼） 三、好了，密碼創(chuàng)建好了，我們解密了把它格式化一下吧，格式化了才能掛載呀。（不解密的話是不能對(duì)它進(jìn)行操作的） 1、[root@desktop21 Desktop]# cryptsetup luksOpen /dev/vol0/testlv testlvEnter passphrase for /dev/vol0/testlv: （輸入密碼進(jìn)行驗(yàn)證！） --->注意，命令最后寫了一個(gè)映射的設(shè)備名“testlv”，來(lái)看看吧 [root@desktop21 Desktop]# ll /dev/mapper/testlv /dev/vol0/testlv lrwxrwxrwx. 1 root root 7 Aug 4 15:17 /dev/mapper/testlv -> ../dm-7lrwxrwxrwx. 1 root root 7 Aug 4 15:17 /dev/vol0/testlv -> ../dm-6 --->兩個(gè)其實(shí)是同一個(gè)的。命令中必須得加上映射的名稱，可以自己man一下cryptsetup 2、[root@desktop21 Desktop]# mkfs.ext4 /dev/mapper/testlv mke2fs 1.41.12 (17-May-2010)Filesystem label=OS type: LinuxBlock size=1024 (log=0)Fragment size=1024 (log=0)Stride=0 blocks, Stripe width=0 blocks81600 inodes, 325632 blocks16281 blocks (5.00%) reserved for the super userFirst data block=1Maximum filesystem blocks=6763315240 block groups8192 blocks per group, 8192 fragments per group2040 inodes per groupSuperblock backups stored on blocks: 8193, 24577, 40961, 57345, 73729, 204801, 221185Writing inode tables: done Creating journal (8192 blocks): doneWriting superblocks and filesystem accounting information: doneThis filesystem will be automatically checked every 37 mounts or180 days, whichever comes first. Use tune2fs -c or -i to override. --->ok，很快就格式化好了，那就新建一個(gè)目錄掛載吧！ 3、[root@desktop21 Desktop]# mkdir /testlv[root@desktop21 Desktop]# mount /dev/mapper/testlv /testlv/[root@desktop21 Desktop]# df -h /testlv/Filesystem Size Used Avail Use% Mounted on/dev/mapper/testlv 308M 11M 283M 4% /testlv--->想要開機(jī)自動(dòng)掛載？寫道fstable里吧[root@desktop21 Desktop]# vim /etc/fstab （加上這一行）/dev/mapper/testlv /testlv ext4 defaults 0 0 【就這樣重啟是不會(huì)掛載上的，為什么？ 沒(méi)有寫入配置文件告訴系統(tǒng)我有加密分區(qū)。好，再繼續(xù)測(cè)試】 四、寫配置文件，讓系統(tǒng)知道 [root@desktop21 Desktop]# vim /etc/crypttab （加入這一行，具體分區(qū)自己改）testlv /dev/sda5 --->保存退出，重啟，怎么樣要求你輸入密碼了吧。亂敲幾個(gè)字符試試？不行，不能進(jìn)去。好了，輸入正確的密碼進(jìn)去吧。 --->密碼忘記了怎么辦呢？沒(méi)關(guān)系【ctrl+c】三次看看，^_^，不要求你輸入了，進(jìn)入系統(tǒng)～ --->df看一下，沒(méi)掛載上吧？當(dāng)然，你密碼都沒(méi)有輸入，分區(qū)怎么會(huì)讓你看到？ 【注意：當(dāng)你將該分區(qū)掛載成要備份檢測(cè)時(shí)，即為1 2時(shí)，取消輸入會(huì)出現(xiàn)錯(cuò)誤，提示讓你輸入管理員密碼進(jìn)行維護(hù)，沒(méi)關(guān)系，將新加進(jìn)的一行注釋掉再進(jìn)去改吧】 五、系統(tǒng)檢測(cè)到了，但是鑰輸入密碼呀，必須得有人敲入密碼，有沒(méi)有一勞永逸的，每次自動(dòng)從文見獲取我的密碼？（這樣數(shù)據(jù)就沒(méi)起到保護(hù)作用了哦，很不安全的，建議不要這樣）但還是來(lái)測(cè)試測(cè)試吧^_^ 1、新建密碼文件，路徑隨意啦，這里我新建了密碼文件 /root/passlv [root@desktop21 Desktop]# touch /root/passlv 2、修改配置文件，加入密碼文件路徑 [root@desktop21 Desktop]# vim /etc/crypttab （修改稱這樣，最后加入了密碼文件的路徑） testlv ? ? ? ? ?/dev/sda5 ? ? ? /root/passlv 3、執(zhí)行命令，把密碼寫入到我的密碼文件吧，修改權(quán)限，保證所屬為root，且只有root可以讀寫 [root@desktop21 Desktop]# echo mypasswd >/root/passlv [root@desktop21 Desktop]# chown root /root/passlv [root@desktop21 Desktop]# chmod 600 /root/passlv [root@desktop21 Desktop]# cryptsetup luksAddKey /dev/vol0/testlv /root/passlv Enter any passphrase: （輸入之前密碼） --->注意這一步只能是對(duì)原分區(qū)進(jìn)行密碼生成，而不是映射路徑 /dev/mapper/testlv,/etc/crypttab里邊也必須是原分區(qū)。 --->我們看一下密碼文件吧，對(duì)著嗎？ [root@desktop21 Desktop]# cat /root/passlv mypasswd --->ok，重啟，不再輸入密碼了，登錄成功，df看一下吧，有了沒(méi)？ 六、有問(wèn)題了，密碼明文的，還保密什么呀？干脆清空吧 [root@desktop21 Desktop]# echo >/root/passlv[root@desktop21 Desktop]# cat /root/passlv --->沒(méi)問(wèn)題，改了，再做一個(gè)命令吧 [root@desktop21 Desktop]# cryptsetup luksAddKey /dev/vol0/testlv /root/passlv Enter any passphrase: （還是輸入之前的密碼） --->看看密碼文件? [root@desktop21 Desktop]# cat /root/passlv --->還是為空？管它呢，重啟看看 --->竟然登錄上了，沒(méi)有輸入密碼？ --->呵呵，剩下的就自己測(cè)試吧，打字好累 【注意：為防止密碼泄漏，可以在密碼文件里寫入任何內(nèi)容，不會(huì)影響的。但是只要更改一次密碼文件就必須執(zhí)行一次命令cryptsetup luksAddKey，否則還是會(huì)出問(wèn)題滴～】 好了，留下QQ345258361，我是作為筆記寫的，胡亂寫了一通，有問(wèn)題的地方還請(qǐng)不吝指正哦。

轉(zhuǎn)載于:https://blog.51cto.com/linuxkeep/631156

總結(jié)

以上是生活随笔為你收集整理的RHEL6 cryptsetup 磁盘分区加密实验的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。