如何使用DM-Crypt LUKS加密分区

没有人逃脱，你必须寻找 提高安全性 尽可能将我们的设备用于台式电脑和笔记本电脑，尽管对于后者，这是直接必要的-特别是如果我们将它们用于工作-因为将它们从一个地方转移到另一个地方的事实增加了丢失或将其从我们手中窃取的可能性很大，在这两种情况下，我们的信息都可能被暴露出来，其后果将是非常严重的。

从这个意义上讲，替代品是少数，这是关于 免费软件 通常，尽管在这种情况下，我想谈一谈 DM-Crypt LUKS，一种加密解决方案 很长一段时间以来，它非常流行，这是由于它作为模块集成到内核中-提供了对Crypto API的访问。 Linux内核-并提供 透明加密以及映射设备和分区的能力 在虚拟块级别，因此允许 加密分区，整个硬盘驱动器，RAID卷，逻辑卷，文件或可移动驱动器.

首先，我们需要 有一个免费的分区 （在我的情况下是/ dev / sda4），因此，如果不是这种情况，我们将不得不使用GParted之类的工具来创建新分区。 一旦我们有可用空间，我们将开始 安装cryptsetup 如果我们不再拥有此工具，通常通常会在默认情况下将其包括在内，但也许当我们安装我们的工具时 Ubuntu 我们选择了最小安装：

＃apt-get install cryptsetup

现在开始 初始化分区 我们要去什么 加密，为此我们使用了前面提到的免费分区。 这也是生成初始密钥的步骤，尽管其名称似乎表明该分区已格式化，但实际上只是准备将其与加密配合使用（在我们的情况下，我们选择了 密钥大小为512字节的AES:

＃cryptsetup –详细–详细–密码aes-xts-plain64 –密钥大小512 –散列sha512 –iter-time 5000 –use-random luksFormat / dev / sda4

我们将收到一条警告消息，通知您当前存储在其中的内容 / dev / sda4，并且询问我们是否确定。 我们同意，以大写字母写“是”，然后要求输入短语“ LUKS”（两次）以确保没有错误。

现在，我们“打开”加密的容器，同时为它提供一个虚拟名称，该名称将出现在系统中（例如，执行命令时） df -h 以可视化不同的分区，在我们的例子中，我们将在/ dev / mapper / encrypted中看到它：

＃crytpsetup luksOpen / dev / sda4加密

我们被要求 LUKS键 我们之前创建的内容，我们输入它就可以了。 现在，我们必须为此加密分区创建文件系统：

＃mkfs.ext3 /开发人员/映射器/加密

下一步是 将此分区添加到/ etc / crypttab文件中，类似于/ etc / fstab，因为它负责在系统启动时提供加密的驱动器：

＃cryto_test / dev / sda4 none luks

然后，我们创建此加密分区的安装点，并将所有这些信息添加到/ etc / fstab文件中，以便每次重新启动时都可以使用所有内容：

＃mkdir / mnt /加密

＃nano / etc / fstab

添加以下内容应该没问题，尽管那些寻求最个性化的人可以看看fstab手册页（man fstab），那里有很多信息：

/ dev / mapper /加密的/ mnt /加密的ext3默认值0 2

现在，每次我们重新启动系统时，都会要求您输入密码，然后将加密的分区解锁，以便我们可以使用它。