Linux系统中磁盘加密

一、磁盘加密保护

1.概念简介

LUKS（linyx统一密钥设置）是标准的设备加密格式；可以对分区或卷进行加密。

目的：根据需要，一般会在系统中对文件和磁盘进行加密，但是文件的加密比较容易破解，不安全。所以在特殊需要下，会对磁盘进行加密，磁盘加密后在磁盘损坏的同时，其中的数据也会损坏
加密的特点：
使用cryptsetup对分区进行了加密后，这个分区就不再允许直接挂载，必须首先对加密的卷进行解密才能挂载。
如果要使用这个分区，必须对这个分区做一个映射，映射到/dev/mapper这个目录里去，我们只能挂载这个映射才能使用。然而做映射的时候是需要输入解密密码的。

2.加密步骤

前提：需将设备的所有挂载信息清空
cryptsetup luksFormat /dev/vdb5     ##加密/dev/vdb5（需输入YES）

cryptsetup open /dev/vdb5 westos   ##打开加密后看到的设备名是weotos

mkfs.xfs /dev/mapper/westos            ##格式化

mount /dev/mapper/westos /mnt/       ##挂载

touch /mnt/file{1..9}                       ##在挂载位置写入东西

umount /mnt/                                       ##解除挂载
cryptsetup close westos                   ##关闭盖子

当再次进行查看并写入时需要执行：
cryptsetup open /dev/vdb5 test ##重新打开加密盖子
mount /dev/mapper/test /mnt/ ##重新挂载

综上所述：磁盘加密，就像把设备放在一个有盖子的容器中，打开盖子，将设备拿出来，进行一系列操作后，再将设备放回容器中并盖上盖子。这样，可以提高安全性能

3.加密磁盘开机自动挂载

注意：加密的设备在开机启动时会让系统启动不起来。

（1）配置/etc/fstab 设置开机自动挂载

vim /etc/fstab
/dev/mapper/test    /mnt    xfs     defaults   0   0

（2）编辑开机需要读取的加密设备对应钥匙位置

vim /etc/crypttab
test /dev/vdb5   /root/test_key

（3）编辑密码文件

vim /root/test_key
helloredhat

（4）设置权限

chmod 600 /root/test_key ##只有超级用户才可以查看

（5）建立联系

cryptsetup luksAddKey /dev/vdb5 /root/test_key

测试：
reboot后df查看

4.删除开机加密自动挂载

vim /etc/fstab         ##删除/dev/vdb5的设定
vim /etc/crypttab    ##删除配置
umount /mnt/             ##解除挂载
cryptsetup close test  ##关闭加密盖子
mkfs.xfs /dev/vdb5 -f  ##强制格式化