LUKS(Linux Unified Key Setup)为Linux硬盘分区加密提供了一种标准,它不仅能通用于不同的Linux发行版本,还支持多用户/口令。因为它的加密密钥独立于口令,所以如果口令失密,我们可以迅速改变口令而无需重新加密真个硬盘。通过提供一个标准的磁盘上的格式,它不仅方便之间分布的兼容性,而且还提供了多个用户密码的安全管理。必须首先对加密的卷进行解密,才能挂载其中的文件系统。
工具:cryptsetup(默认已经安装) 常用参数:luksFormat、luksOpen、luksClose、luksAddKey 使用cryptsetup对分区进行了加密后,这个分区就不再允许直接挂载。LUKS也是一种基于device mapper 机制的加密方案。如果要使用这个分区,必须对这个分区做一个映射,映射到/dev/mapper这个目录里去,我们只能挂载这个映射才能使用。然而做映射的时候是需要输入解密密码的。 注:要解除加密需要备份分区内的文件再重新格式化LUKS分区 Crypsetup工具加密的特点: Ø加密后不能直接挂载 Ø加密后硬盘丢失也不用担心数据被盗 Ø加密后必须做映射才能挂载
格式化LUKS分区[root@rhel6~]#cryptsetupluksFormat/dev/vda8//将分区进行LUKS格式(变成LUKS分区)WARNING!========Thiswilloverwritedataon/dev/vda8irrevocably.Areyousure?(Typeuppercaseyes):YES //输入大写的YESEnterLUKSpassphrase: //输入两次密码Verifypassphrase:映射分区[root@rhel6~]#cryptsetupluksOpen/dev/vda8luks_test//打开LUKS分区,将在/dev/mapper/目录中生成一个luks_test的文件Enterpassphrasefor/dev/vda8: //必须输入luks密码才能打开LUKS分区格式化、挂载、使用分区[root@rhel6~]#mkfs.ext4/dev/mapper/luks_test[root@rhel6~]#mount/dev/mapper/luks_test/luks/关闭映射,先卸载后关闭[root@rhel6~]#umount/luks/[root@rhel6~]#cryptsetupluksCloseluks_test//关闭LUKS分区[root@rhel6~]#mount/dev/vda8/luks/ //无法直接挂载/dev/vda8分区mount:unknownfilesystemtype'crypto_LUKS'实现开机自动挂载LUKS分区:[root@rhel6~]#ddif=/dev/urandomof=keyfilebs=1kcount=44+0recordsin4+0recordsout4096bytes(4.1kB)copied,0.00206882s,2.0MB/s[root@rhel6~]#cryptsetupluksAddKey/dev/vda8keyfileEnteranypassphrase:[root@rhel6~]#vi/etc/crypttabname/dev/vda8/root/keyfileluks[root@rhel6~]#vi/etc/fstab/dev/mapper/name/luksext4_netdev00添加/移除/修改LUKS密码[root@rhel6~]#cryptsetupluksAddKey/dev/vda8Enteranypassphrase:Enternewpassphraseforkeyslot:Verifypassphrase:[root@rhel6~]#cryptsetupluksRemoveKey/dev/vda8EnterLUKSpassphrasetobedeleted:[root@rhel6~]#cryptsetupluksAddKey/dev/vda8keyfileEnteranypassphrase:
