?? ?RHEL6 cryptsetup 磁盤分區加密實驗

? ? LUKS是為Linux硬盤加密標準。通過提供一個標準的磁盤上的格式，它不僅方便之間分布的兼容性，而且還提供了多個用戶密碼的安全管理。必須首先對加密的卷進行解密,才能掛載其中的文件系統。

系統加密：【工具：cryptsetup；常用參數：luksFormat、luksOpen、luksClose、luksAddKey】【涉及文件：/etc/crypttab；自己創建密碼文件】 注意：上述參數大小寫不能亂用 好了，來試試這個強大的工具吧～? 一、劃出一個分區進行測試（fdisk） --->這里以我的機子為例，因為我把空間全做成lvm了，所以分區就不一樣啦，我們取300M做實驗吧。 [root@desktop21 Desktop]# vgdisplay --- Volume group ---VG Name vol0System ID Format lvm2Metadata Areas 2Metadata Sequence No 27VG Access read/writeVG Status resizableMAX LV 0Cur LV 4Open LV 3Max PV 0Cur PV 2Act PV 2VG Size 55.22 GiBPE Size 32.00 MiBTotal PE 1767Alloc PE / Size 928 / 29.00 GiBFree PE / Size 839 / 26.22 GiB （還26G，夠了吧，我只需要300M做實驗）VG UUID ZAGsPK-tIBO-08bd-RoMp-fPeC-Ei5l-x3asx6[root@desktop21 Desktop]# lvcreate -L 300M -n testlv /dev/vol0 Rounding up size to full physical extent 320.00 MiBLogical volume "testlv" created --->ok，生成testlv分區，320M（跟PE有關） 二、分區加密（cryptsetup luksFormat，注意分區先不要格式化！） [root@desktop21 Desktop]# cryptsetup luksFormat /dev/vol0/testlv WARNING!========This will overwrite data on /dev/vol0/testlv irrevocably.Are you sure? (Type uppercase yes): YES （注意，只能是大寫字母）Enter LUKS passphrase: （輸入密碼）Verify passphrase: （確認密碼） 三、好了，密碼創建好了，我們解密了把它格式化一下吧，格式化了才能掛載呀。（不解密的話是不能對它進行操作的） 1、[root@desktop21 Desktop]# cryptsetup luksOpen /dev/vol0/testlv testlvEnter passphrase for /dev/vol0/testlv: （輸入密碼進行驗證！） --->注意，命令最后寫了一個映射的設備名“testlv”，來看看吧 [root@desktop21 Desktop]# ll /dev/mapper/testlv /dev/vol0/testlv lrwxrwxrwx. 1 root root 7 Aug 4 15:17 /dev/mapper/testlv -> ../dm-7lrwxrwxrwx. 1 root root 7 Aug 4 15:17 /dev/vol0/testlv -> ../dm-6 --->兩個其實是同一個的。命令中必須得加上映射的名稱，可以自己man一下cryptsetup 2、[root@desktop21 Desktop]# mkfs.ext4 /dev/mapper/testlv mke2fs 1.41.12 (17-May-2010)Filesystem label=OS type: LinuxBlock size=1024 (log=0)Fragment size=1024 (log=0)Stride=0 blocks, Stripe width=0 blocks81600 inodes, 325632 blocks16281 blocks (5.00%) reserved for the super userFirst data block=1Maximum filesystem blocks=6763315240 block groups8192 blocks per group, 8192 fragments per group2040 inodes per groupSuperblock backups stored on blocks: 8193, 24577, 40961, 57345, 73729, 204801, 221185Writing inode tables: done Creating journal (8192 blocks): doneWriting superblocks and filesystem accounting information: doneThis filesystem will be automatically checked every 37 mounts or180 days, whichever comes first. Use tune2fs -c or -i to override. --->ok，很快就格式化好了，那就新建一個目錄掛載吧！ 3、[root@desktop21 Desktop]# mkdir /testlv[root@desktop21 Desktop]# mount /dev/mapper/testlv /testlv/[root@desktop21 Desktop]# df -h /testlv/Filesystem Size Used Avail Use% Mounted on/dev/mapper/testlv 308M 11M 283M 4% /testlv--->想要開機自動掛載？寫道fstable里吧[root@desktop21 Desktop]# vim /etc/fstab （加上這一行）/dev/mapper/testlv /testlv ext4 defaults 0 0 【就這樣重啟是不會掛載上的，為什么？ 沒有寫入配置文件告訴系統我有加密分區。好，再繼續測試】 四、寫配置文件，讓系統知道 [root@desktop21 Desktop]# vim /etc/crypttab （加入這一行，具體分區自己改）testlv /dev/sda5 --->保存退出，重啟，怎么樣要求你輸入密碼了吧。亂敲幾個字符試試？不行，不能進去。好了，輸入正確的密碼進去吧。 --->密碼忘記了怎么辦呢？沒關系【ctrl+c】三次看看，^_^，不要求你輸入了，進入系統～ --->df看一下，沒掛載上吧？當然，你密碼都沒有輸入，分區怎么會讓你看到？ 【注意：當你將該分區掛載成要備份檢測時，即為1 2時，取消輸入會出現錯誤，提示讓你輸入管理員密碼進行維護，沒關系，將新加進的一行注釋掉再進去改吧】 五、系統檢測到了，但是鑰輸入密碼呀，必須得有人敲入密碼，有沒有一勞永逸的，每次自動從文見獲取我的密碼？（這樣數據就沒起到保護作用了哦，很不安全的，建議不要這樣）但還是來測試測試吧^_^ 1、新建密碼文件，路徑隨意啦，這里我新建了密碼文件 /root/passlv [root@desktop21 Desktop]# touch /root/passlv 2、修改配置文件，加入密碼文件路徑 [root@desktop21 Desktop]# vim /etc/crypttab （修改稱這樣，最后加入了密碼文件的路徑） testlv ? ? ? ? ?/dev/sda5 ? ? ? /root/passlv 3、執行命令，把密碼寫入到我的密碼文件吧，修改權限，保證所屬為root，且只有root可以讀寫 [root@desktop21 Desktop]# echo mypasswd >/root/passlv [root@desktop21 Desktop]# chown root /root/passlv [root@desktop21 Desktop]# chmod 600 /root/passlv [root@desktop21 Desktop]# cryptsetup luksAddKey /dev/vol0/testlv /root/passlv Enter any passphrase: （輸入之前密碼） --->注意這一步只能是對原分區進行密碼生成，而不是映射路徑 /dev/mapper/testlv,/etc/crypttab里邊也必須是原分區。 --->我們看一下密碼文件吧，對著嗎？ [root@desktop21 Desktop]# cat /root/passlv mypasswd --->ok，重啟，不再輸入密碼了，登錄成功，df看一下吧，有了沒？ 六、有問題了，密碼明文的，還保密什么呀？干脆清空吧 [root@desktop21 Desktop]# echo >/root/passlv[root@desktop21 Desktop]# cat /root/passlv --->沒問題，改了，再做一個命令吧 [root@desktop21 Desktop]# cryptsetup luksAddKey /dev/vol0/testlv /root/passlv Enter any passphrase: （還是輸入之前的密碼） --->看看密碼文件? [root@desktop21 Desktop]# cat /root/passlv --->還是為空？管它呢，重啟看看 --->竟然登錄上了，沒有輸入密碼？ --->呵呵，剩下的就自己測試吧，打字好累 【注意：為防止密碼泄漏，可以在密碼文件里寫入任何內容，不會影響的。但是只要更改一次密碼文件就必須執行一次命令cryptsetup luksAddKey，否則還是會出問題滴～】 好了，留下QQ345258361，我是作為筆記寫的，胡亂寫了一通，有問題的地方還請不吝指正哦。

轉載于:https://blog.51cto.com/linuxkeep/631156

總結

以上是生活随笔為你收集整理的RHEL6 cryptsetup 磁盘分区加密实验的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。