如何在 Linux 上使用 dm-crypt 加密你的分区

硬盘驱动器和 SSD 很容易从笔记本电脑或计算机上移除。 在这种情况下,您的操作系统实施的所有安全措施都会失效。 如果您有要保护的数据,可以创建一个加密容器。 您将在那里存储敏感文件,同时将非机密文件存储在常规分区上。

在安装 Linux 发行版时设置加密分区是最简单的。 安装程序可以指导您完成。 但是,如果您错过了这个机会,请按照本指南中的步骤创建您的秘密保险库。

先决条件

此过程需要一个空分区。 这意味着一个未格式化的文件(上面没有文件系统)。

如果您的格式化分区当前占用了存储设备上的所有可用空间,您将需要使用 GParted 来缩小其中一个。

警告: 最好先备份数据。 当您缩小分区及其文件系统时,会涉及少量风险。 在此过程中,您的计算机可能会崩溃或断电。 这可能会使您的文件系统处于难以恢复的不一致状态。

按照本指南中的第一步使用 GParted 调整分区大小。 或者,如果您不再需要某个分区,您可以将其删除。 (释放一些空间并显示为“未分配”后,请跳过指南中的其余步骤。)具体来说,不要创建格式化为 ext4 的分区。 相反,请右键单击未分配的空间,如指南中所示。 在打开的对话框窗口中,您将看到一个标有“文件系统”的字段。 通常,此处应选择 ext4 作为默认值。 单击它并将其更改为“已清除”。

选择“添加”后,单击绿色复选标记以应用更改。

安装 cryptsetup

如果您已启动实时操作系统以使用 GParted 编辑分区,请重新启动回到您的主 Linux 发行版。

打开终端模拟器。 在基于 Debian 的系统上,例如 Ubuntu 或 Linux Mint,输入以下命令:

cryptsetup 安装包

在分布上,例如 Fedora 或者 CentOS 和其他使用 RPM 包而不是 DEB 的系统,可能已经安装了 cryptsetup。 如果没有,您可以使用以下方式安装它:

在 OpenSUSE 上,如果 cryptsetup 没有预装,你可以安装它:

在基于 Arch 的发行版上,您将使用以下命令:

查找分区的块设备名称

Enter 以下命令:

cryptsetup-lsblk

在里面 example 图片中提供的存储设备为“vda”。 “vda1”到“vda3”是分区。

要找到您准备的分区,请记住您为其保留的大小。 您会在没有挂载点的分区中找到它。 在您的情况下,这可能类似于“/dev/sda2”而不是“/dev/vda3”。

加密分区将覆盖其上的数据(如果存在),这意味着如果设备名称错误,最终可能会破坏有用的数据。 为确保您获得正确的设备名称,您可以安装 GParted 并查看您的分区布局。 设备名称将列在图形用户界面中。 当您从实时系统引导时,不要使用您在 GParted 中看到的名称(如果您这样做了)。 实时系统中显示的布局将与您从安装的发行版引导时看到的布局不同。

还有另一种方法可以确保您不会在错误的块设备上进行写入。 尝试安装它。 通常,它应该拒绝这样做,因为它上面没有文件系统。

重要的: 请记住始终将“vda3”替换为您的设备名称:

在您的情况下,命令可能是 sudo mount /dev/sda2 /mnt 或者是其他东西。

这是你应该得到的信息。

cryptsetup-test-mount

设置 LUKS 标头

确定设备名称正确后,将 LUKS 标头添加到分区。

键入“YES”,然后为您的加密分区选择一个强密码。 当要求验证密码时输入相同的密码。

在分区上创建文件系统

您必须将此物理设备映射到虚拟设备。 写入虚拟设备的内容将在存储到物理设备之前进行加密。

分区需要一个文件系统才能使用。 使用以下命令创建 ext4 文件系统:

cryptsetup-make-ext4-文件系统

挂载加密分区

创建从分区挂载文件系统的目录。

挂载文件系统:

切换到该目录:

目前,这里只有root用户可以写。 通过使其成为上层目录的所有者,授予您的用户在此文件系统中写入的权限。 复制并粘贴整个命令,包括“.” 在末尾。

限制其他用户读取或写入此目录。

此时,大多数文件管理器应该会在界面中向您显示新的加密设备。 这显示了它在 Thunar 文件管理器中的外观,这是 XFCE 桌面环境中使用的默认设置。

cryptsetup-encrypted-partition-in-thunar

如果卷未安装,当您单击它时,系统会要求您输入卷密码和您的 sudo 密码。 该卷将自动挂载,您将能够浏览它。 挂载点将不同于“~/encrypted-storage”。 它可能类似于“/media/user/f42f3025-755d-4a71-95e0-37eaeb761730/”

那不重要; 您之前设置的权限仍然适用。 重要的是记住右键单击它并在完成使用该卷时卸载它。 卸载和关闭虚拟设备可以保证没有人可以从加密分区读取数据,甚至您的操作系统也不行。

如果由于某种原因您的文件管理器不支持此功能,您可以从终端挂载。

您现在可以通过转到文件管理器中的“/home/username/encrypted-storage”来访问该卷。 完成后,卸载文件系统并 close 虚拟设备:

结论

您现在有了一个存放重要文件的保险箱。 知道没有人可以看到您存储的内容应该让您高枕无忧。

订阅我们的新闻!

我们最新的教程直接发送到您的收件箱

注册所有时事通讯。 注册即表示您同意我们的隐私政策并且欧洲用户同意数据传输政策。 我们不会共享您的数据,您可以随时取消订阅。 订阅