檔案系統的加密

這個是對分區進行加密，而并不是對文系統件進行加密。

不能對分區裡已有資料的分區進行加密，若對已存在資料的分區進行加密的話，資料就會丢失。是以，第一次分完區以後就要對分區進行加密，若裡面已有資料的話，那麼就要先把資料轉移出來，然後才能對分區進行加密。（一個分區不能在不連續的空間裡）

分完區後先不要格式化的，先對分區進行加密。

cryptsetupluksFormat /dev/sda5

這裡還有一個警告，說是你這樣做會覆寫sda5裡面的資料

（注意：這裡必須是大寫的YES才行。我這裡的密碼為：redhat）

在這之後還不能挂載使用，它會提示說這是一個無效的檔案系統，是以要映射成一個虛拟的裝置才能使用。

（注意區分大小寫，這裡是要把/dev/sda5打開，并映射名字成redhat1，将來我們要使用的就是這個虛拟的映射盤，當然挂載也是這個名字為redhat1：名字最好表帶數字的，會有問題，我這裡改成red了）

這裡變會多出一個多路徑裝置，當我們用的時候是用的這個裝置。

我們接着在繼續格式化我們的裝置：mkfs.ext4 /dev/mapper/red

這樣，我們的裝置就是挂載正常使用而不會報錯了。mount /dev/mapper/red /disk/

假若你不想用了，也不想被别人看見，那首先解除安裝掉它，然後再鎖上，這樣别人就不用使用它了。

umount /disk/

cryptsetupluksClose /dev/mapper/red

使用的時候再次打開它：cryptsetupluksOpen /dev/sda5 red 然後輸入你的密碼即可。

隻要不是開機自動挂載，那麼重新啟動後是可以正常開機的。

若設定開機自動挂載後（隻寫進fstab裡），會讓你輸入密碼進入系統，這時你可以ctrl+c便可以中斷進入已加密的分區了，隻進入不加密的分區。

開機自動挂載，但需要輸入密碼（鎖定以後cryptsetup luksClose /dev/mapper/red）：

 前面是映射的虛拟盤名字，後面是你的裝置

cat /etc/fstab

若要實作開機自動挂載，并且自己讓它輸入密碼進入系統也是可以的

接着：mkdir /crypt

ddif=/dev/urandom of=/crypt/file1 bs=4096 count=1 （從/dev/urandom檔案裡複制到/crypt/file1檔案中的4k左右的大小）

/crypt/file1檔案裡已全是亂碼檔案。

chmod 600/crypt/file1

cryptsetupluksAddKey /dev/sda5 /crypt/file1 （然後輸入密碼redhat原來我設定過的那個）

它把 luksAddKey （密鑰）加入到sda5的分區裡了，用密鑰當密碼來使用。

[root@desktop59 ~]# cat /etc/crypttab

redhat /dev/sda5 /crypt/file1

啟動的時候它就會讀取這個檔案，而不再輸入密碼了。

這麼做可以防止移動硬碟的話被别人拿走。在本機可以，但去别的機子上就不行了。

假若别人把你的公私鑰改過後，它就會進不去了，但沒有了非對稱公私鑰加密後，可以通過密碼的認證方式去驗證也是可以的。

本文轉自silence部落格51CTO部落格，原文連結http://blog.51cto.com/silencezone/1688677如需轉載請自行聯系原作者

a120518129