Linux先分区，再对分区加密是比较好的方法

关闭服务器主机后，外部人员可以轻松地用USB闪存驱动器启动计算机并获取root权限，因此Linux系统的权限系统无用。或者更直接地，拿起硬盘，将其连接到另一台主机上，然后读取数据。

有一种终极方法，可以确保即使在关机状态下复制硬盘中的数据也无法读取。

最简单的方法之一是在Linux安装过程中对整个硬盘进行加密。

如果您获得的云主机无法实现此措施，最好先分区然后再加密分区。使用的加密工具是Linux随附的LUKS工具。

如图所示，以前的系统已经使用救援磁盘划分为多个区域，并且系统已加载到vda1中，但是新创建的vda5区域中没有任何内容。我们需要加密/ dev / vda5。加密的这一层等效于构建外壳。要读取该区域，需要先使用密码剥离外壳，然后才能读取其中的内容，然后执行该操作。重要的写操作，包括格式化。

一）分区加密和伪装

# yum install cryptsetup

安装完成后，您可以使用man cryptsetup查看帮助。它与LUKS兼容。

在加密之前，先伪装/ dev / vda5并刷新5次01数据：

# shred –v –n 5 /dev/vda5

这是一个漫长的过程，因此请使用verbose选项来提示进度。

伪装是针对分区加密的另一道防线。这样会使整个分区更难以解密。

立即加密：

# cryptsetup luksFormat /dev/vda5

密码必须超过8位数字，并且密码不能太简单，否则将被拒绝。

使用单词是行不通的，它似乎必须更复杂。至于如何设计复杂的密码，请自行搜索。

如果一切顺利，则加密完成后，没有错误消息，您将直接返回提示行。

二）打开分区并格式化

打开分区并命名该分区。我将其命名为secpart，这意味着秘密分区。

输入密码。

secpart现在显示在/ dev / mapper目录中

这时，解密的分区不再称为原始的/ dev / vda5，而是称为

/ dev / mapper / secpart

然后，组件已格式化

# mkfs.ext4 /dev/mapper/secpart

此后关闭解密​​的分区

三）加载和卸载文件系统

我们知道Linux的文件系统位于硬盘上方。如果要读取和写入解密后的硬盘中的文件，则必须先将整个硬盘映射到一个文件夹，然后才能进入该文件夹并读取和写入文件。此过程称为“安装”。读取U盘和CD的原理相同。

首先创建一个文件夹：

# cd /
# mkdir secdata

重新解密硬盘并命名解密的硬盘名称，然后挂到该文件夹​​：

# cryptsetup luksOpen /dev/vda5 secpart
……
# mount /dev/mapper/secpart /secdata

现在在此文件夹中创建一个空文件：

# cd /secdata
# touch hello.txt
# ls

现在反转操作以释放安装和解密：

首先退出当前文件夹，然后卸载该文件夹：

现在，因为已卸载目录，所以找不到此文件。但是，只要/ dev / mapper中有secpart的解密分区标识，您就可以将其重新挂载到任何目录中以标识数据和文件。

然后使用luksClose关闭第二部分解密分区：

可以通过直接关闭或重新启动来代替两步卸载过程。重新启动或关闭后，无论是文件夹安装还是分区解密，都等同于卸载。仅保留逻辑加密的分区，将其标记为已加密，并且在不知道密码的情况下无法读取：

这实现了重要信息的最终安全性。

有关硬盘分区的方法，请参阅本专栏中的其他文章。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/dianqi/article-353886-1.html