磁盘加密####
luks加密,当加密层被破解后设备文件都被损坏,先做加密层,再做文件系统(挂载设备)
使用cryptsetup对分区进行了加密后,这个分区就不再允许直接挂载。LUKS也是一种基于device mapper 机制的加密方案。如果要使用这个分区,必须对这个分区做一个映射,映射到/dev/mapper这个目录里去,我们只能挂载这个映射才能使用。然而做映射的时候是需要输入解密密码的。
具体步骤:
1.磁盘加密
fdisk /dev/vdb1 新建分区
cryptsetup luksFormat /dev/vdb1 加密磁盘(大写YES确认,输两遍密码)
cryptsetup open /dev/vdb1 westos 解密,生成新的设备(westos不是真实设备,只是解密后生成的虚拟设备)
mkfs.xfs /dev/mapper/westos 格式化(第一次需要格式化才能使用,第二次使用生成虚拟设备直接挂载就可以使用)
mount /dev/mapper/westos /mnt/
挂载即可使用,上述操作重启后消失
umount /mnt/
cryptsetup close westos 关闭,不允许其他人进行操作,若不进行此步骤,谁都可以使用该虚拟设备westos再次挂载
2.加密磁盘的永久挂载
即,开机自动挂载加密文件
vim /etc/fstab
/dev/mapper/westos /mnt xfs defaults 0 0
开机自动挂载到/mnt
vim /etc/crypttab
westos /dev/vdb1 /root/vdb1pass
自动挂载时去找密码
vim /root/vdb3pass
写入vdb3密码
chmod 600 /root/vdb3pass
修改权限不让别人看到
cryptsetup luksAddKey /dev/vdb1 /root/vdb1pass
添加钥匙,需再次输入密码
cat /etc/crypttab
reboot
重启后生效
df
验证