這個是對分區進行加密,而并不是對文系統件進行加密。
不能對分區裡已有資料的分區進行加密,若對已存在資料的分區進行加密的話,資料就會丢失。是以,第一次分完區以後就要對分區進行加密,若裡面已有資料的話,那麼就要先把資料轉移出來,然後才能對分區進行加密。(一個分區不能在不連續的空間裡)
分完區後先不要格式化的,先對分區進行加密。
cryptsetupluksFormat /dev/sda5
這裡還有一個警告,說是你這樣做會覆寫sda5裡面的資料
(注意:這裡必須是大寫的YES才行。我這裡的密碼為:redhat)
在這之後還不能挂載使用,它會提示說這是一個無效的檔案系統,是以要映射成一個虛拟的裝置才能使用。
(注意區分大小寫,這裡是要把/dev/sda5打開,并映射名字成redhat1,将來我們要使用的就是這個虛拟的映射盤,當然挂載也是這個名字為redhat1:名字最好表帶數字的,會有問題,我這裡改成red了)
這裡變會多出一個多路徑裝置,當我們用的時候是用的這個裝置。
我們接着在繼續格式化我們的裝置:mkfs.ext4 /dev/mapper/red
這樣,我們的裝置就是挂載正常使用而不會報錯了。mount /dev/mapper/red /disk/
假若你不想用了,也不想被别人看見,那首先解除安裝掉它,然後再鎖上,這樣别人就不用使用它了。
umount /disk/
cryptsetupluksClose /dev/mapper/red
使用的時候再次打開它:cryptsetupluksOpen /dev/sda5 red 然後輸入你的密碼即可。
隻要不是開機自動挂載,那麼重新啟動後是可以正常開機的。
若設定開機自動挂載後(隻寫進fstab裡),會讓你輸入密碼進入系統,這時你可以ctrl+c便可以中斷進入已加密的分區了,隻進入不加密的分區。
開機自動挂載,但需要輸入密碼(鎖定以後cryptsetup luksClose /dev/mapper/red):
前面是映射的虛拟盤名字,後面是你的裝置
cat /etc/fstab
若要實作開機自動挂載,并且自己讓它輸入密碼進入系統也是可以的
接着:mkdir /crypt
ddif=/dev/urandom of=/crypt/file1 bs=4096 count=1 (從/dev/urandom檔案裡複制到/crypt/file1檔案中的4k左右的大小)
/crypt/file1檔案裡已全是亂碼檔案。
chmod 600/crypt/file1
cryptsetupluksAddKey /dev/sda5 /crypt/file1 (然後輸入密碼redhat原來我設定過的那個)
它把 luksAddKey (密鑰)加入到sda5的分區裡了,用密鑰當密碼來使用。
[root@desktop59 ~]# cat /etc/crypttab
redhat /dev/sda5 /crypt/file1
啟動的時候它就會讀取這個檔案,而不再輸入密碼了。
這麼做可以防止移動硬碟的話被别人拿走。在本機可以,但去别的機子上就不行了。
假若别人把你的公私鑰改過後,它就會進不去了,但沒有了非對稱公私鑰加密後,可以通過密碼的認證方式去驗證也是可以的。
本文轉自silence部落格51CTO部落格,原文連結http://blog.51cto.com/silencezone/1688677如需轉載請自行聯系原作者
a120518129