安裝VeraCrypt
(一)、下載下傳安裝包并解壓
VeraCrypt最新版本為1.19,單擊此處進入項目首頁
在下載下傳頁面找到Linux安裝包,如圖:
這裡寫圖檔描述
使用wget指令下載下傳安裝包:
cd /usr/local/src
wget https://launchpad.net/veracrypt/trunk//+download/veracrypt--setup.tar.bz2
解壓檔案:
tar -jxvf veracrypt--setup.tar.bz2
解壓後有四個檔案:
這裡寫圖檔描述
(二)、安裝
因為我安裝的CentOS是64位的,并且沒有安裝GUI,是以安裝veracrypt-1.19-setup-console-x64
1、選擇安裝模式
安裝程式彈出提示:問你是安裝veracrypt(選項1)還是将安裝包解壓到/tmp目錄下,這裡選擇“1”,并回車:
VeraCrypt Setup
____________________
Installation options:
) Install veracrypt_1_console_amd64.tar.gz
) Extract package file veracrypt_1_console_amd64.tar.gz and place it to /tmp
To select, enter or :
2、檢視并接受使用者許可
接下來彈出提示,讓你輸入回車檢視使用者許可:
Before you can use, extract, or install VeraCrypt, you must accept the
terms of the VeraCrypt License.
Press Enter to display the license terms...
單擊回車後就可以看到使用者許可的全文,如果不想看完,可以按q退出; 這時程式會問你是否接受許可,輸入yes.
Uninstalling VeraCrypt:
-----------------------
To uninstall VeraCrypt, please run 'veracrypt-uninstall.sh'.
Installing package...
usr/
usr/share/
usr/share/veracrypt/
usr/share/veracrypt/doc/
usr/share/veracrypt/doc/License.txt
usr/share/veracrypt/doc/VeraCrypt User Guide.pdf
usr/share/pixmaps/
usr/share/pixmaps/veracrypt.xpm
usr/share/applications/
usr/share/applications/veracrypt.desktop
usr/bin/
usr/bin/veracrypt
usr/bin/veracrypt-uninstall.sh
Press Enter to exit...
此時,輸入回車就完成安裝。
3、驗證安裝
輸入如下指令:
[root@localhost src]# veracrypt --version
VeraCrypt
如果此時程式出現如下錯誤提示
[[email protected] src]# veracrypt -version
veracrypt: error while loading shared libraries: libfuse.so: cannot open shared object file: No such file or directory
則需要安裝fuse-libs
三、建立整個加密硬碟
現在使用fdisk -l指令就可以看到我們之前添加的那塊8GB的虛拟硬碟:
Disk /dev/sdb: MB, bytes
heads, sectors/track, cylinders
Units = cylinders of * = bytes
Sector size (logical/physical): bytes / bytes
I/O size (minimum/optimal): bytes / bytes
Disk identifier:
目前還沒有進行分區操作。
其實我們也沒有必要對待加密的整個磁盤進行分區操作,除非我們隻是想加磁盤的一部分進行加密操作的話,那麼可以先對磁盤進行分區,然後使用veracrypt針對某一分區進行加密。
(一)建立加密硬碟
建立加密硬碟使用veracrypt -t -c
-t的意思是使用檔案向導建立加密盤,-c的意思是create建立加密盤
1、啟動加密盤建立向導
[[email protected] src]# veracrypt -t -c
Volume type:
) Normal
) Hidden
Select []:
這裡面是建立普通加密盤,還是隐藏加密盤。這裡選擇第1項,建立普通加密盤
2、輸入待加密磁盤的路徑
向導會提示你輸入加密的磁盤路徑,由于我們這裡是加密整塊硬碟,然後隻輸入裝置名,不用輸入分區名:
Enter volume path: /dev/sdb
3、選擇加密算法
接下來,向導會提示你選擇加密算法和雜湊演算法,這裡我們選擇AES SHA-512:
Encryption Algorithm:
) AES
) Serpent
) Twofish
) Camellia
) Kuznyechik
) AES(Twofish)
) AES(Twofish(Serpent))
) Serpent(AES)
) Serpent(Twofish(AES))
) Twofish(Serpent)
Select []:
Hash algorithm:
) SHA-
) Whirlpool
) SHA-
) Streebog
Select []:
4、選擇加密後的檔案系統格式
由于我們将加密磁盤用于Linux系統的,是以選擇Linux Ext4
Filesystem:
) None
) FAT
) Linux Ext2
) Linux Ext3
) Linux Ext4
) NTFS
) exFAT
Select []:
5、輸入密碼
Enter password:
WARNING: Short passwords are easy to crack using brute force techniques!
We recommend choosing a password consisting of 20 or more characters. Are you sure you want to use a short password? (y=Yes/n=No) [No]: yes
Re-enter password:
由于我這裡用于示範的密碼太短,系統提示我目前密碼很容易被暴力破解,建議使用20個字元以上的密碼,是否還要使用目前密碼。這裡輸入yes
接着系統會讓你再次輸入一次密碼:Re-enter password:
6、輸入PIM
接下來系統會讓你輸入PIM。
Enter PIM
這個PIM是什麼?我上網查了一下,就是Personal Iterations Multiplier”的縮寫。通俗地說就是:你可以自定義“加密盤的頭部密鑰生成時的疊代次數”。這個“疊代次數”越大,計算頭部密鑰的時間就越長,是以挂載加密盤的過程就越慢;表面上看,這是一個缺點。但其好處在于:如果某個攻擊者想要采用暴力破解的方式對“頭部”進行窮舉解密,每次一次嘗試也同樣需要花很長時間(同樣要疊代 N 次)。是以,當 N 足夠大,暴力破解就變得不可行。
如果你設定的密碼過于簡短,那麼 VeraCrypt 會強制讓你輸入一個比較大的 PIM 數值(大于 485, 但是要小于2147468)。
如果你建立加密盤的時候,指定了 PIM 數值,那麼在挂載的時候,需要輸入【相同的】PIM 數值。 如果輸入的數值與建立時指定的 PIM 數值不一緻,則挂載失敗。
這裡我們直接回車就可以.
7、輸入keyfile
接下來,指定keyfile
Enter keyfile path [none]:
這裡我們先不指定,是以直接回車。
8、輸入320個随機字元
在鍵盤上随意輸入字元,如果不知道輸入的數量夠不夠,可以回車,向導就會提示你還剩多少個字元沒有輸入了:
Please type at least randomly chosen characters and then press Enter:
Characters remaining:
Characters remaining:
Characters remaining:
Characters remaining:
當輸入的随機字元數量符合要求後,向導就開始建立加密盤了:
全部完成後會有如下提示
Done: 100.000% Speed: 88 MB/s Left: 0 s
The VeraCrypt volume has been successfully created.
(二)挂載加密磁盤
1、挂載加密磁盤
挂載由veracrypt加密的磁盤和挂載普通磁盤的指令不一樣,不能使用mount。
在未挂載前使用fdisk -l指令檢視的話,磁盤還是沒有分區和格式化的狀态:
Disk /dev/sdb: MB, bytes
heads, sectors/track, cylinders
Units = cylinders of * = bytes
Sector size (logical/physical): bytes / bytes
I/O size (minimum/optimal): bytes / bytes
Disk identifier:
在這種狀态下是沒有辦法使用mount指令的。
正确的方法是使用指令 veracrypt /dev/sdb /mnt:
[[email protected] src]# veracrypt /dev/sdb /mnt
Enter password for /dev/sdb:
Enter PIM for /dev/sdb:
Enter keyfile [none]:
Protect hidden volume (if any)? (y=Yes/n=No) [No]:
這時系統會提示是輸入加密磁盤時預留的密碼,後三項可以直接回車略過。
2、檢視磁盤挂載情況
這裡再使用fdisk -l指令檢視的話,在原來的磁盤/dev/sda、/dev/sdb的基礎上會多出一個/dev/mapper/veracrypt1磁盤,這就是挂載上來加密磁盤:
Disk /dev/mapper/veracrypt1: MB, bytes
heads, sectors/track, cylinders
Units = cylinders of * = bytes
Sector size (logical/physical): bytes / bytes
I/O size (minimum/optimal): bytes / bytes
Disk identifier:
使用 df -h指令檢視可以看到/dev/mapper/veracrypt1已經挂載到/mnt目錄上了。
[root@localhost src]# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/sda3 G M G % /
tmpfs M M % /dev/shm
/dev/sda1 M M M % /boot
/dev/mapper/veracrypt1
G M G % /mnt
3、嘗試通路和寫入檔案
[root@localhost src]# cd /mnt
[root@localhost mnt]# ll
總用量
drwx------. root root 月 : lost+found
[root@localhost mnt]# touch 1.txt
[root@localhost mnt]# ll
總用量
-rw-r--r--. root root 月 : .txt
drwx------. root root 月 : lost+found
[root@localhost mnt]# echo "text" >2.txt
[root@localhost mnt]# ll
總用量
-rw-r--r--. root root 月 : .txt
-rw-r--r--. root root 月 : .txt
drwx------. root root 月 : lost+found
沒有問題,挂載成功。
(三)解除安裝加密硬磁盤
既然挂載加密磁盤有專用的指令,那麼解除安裝加密磁盤也一定有專用的指令:
veracrypt -d /mnt
如果要解除安裝系統中挂載的全部veracrypt加密磁盤,則使用:
不指定挂載目錄即可。
再次檢視系統中已經挂載的磁盤:
[root@localhost ~]# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/sda3 47G 1001M 43G 3% /
tmpfs M M % /dev/shm
/dev/sda1 M M M % /boot
veracrypt加密磁盤已經被解除安裝掉了