Crypt加密Linux文件系统

万一您想加密整个分区,能够考虑加密整个驱动器。不过这里存在三个小标题。假诺Computer从该驱动器运行,驱动器就必要多个十分的小的分区
专门用于寄存运维代码。该运转代码是机械代码,电脑读入后实行,才具开行计算机。即使全勤硬驱经过了加密,包涵那部分数码,Computer就须求某种格局来解读
数据。可是Computer还并未有装入文件系统,所以它无法读取解密它的前后相继。见到难题之所在了啊?解密代码必要在
BIOS
自己里面。不过非常多Computer未有这种代码。而那表示运维记录其实无法被加密。可是大家早就研究了缓慢解决这几个主题素材的各类措施(参阅:

),比方把运营代码放在可活动 USB 驱动器上面。

图片 1

LUKS ( Linux
统一密钥设置)是驱动器自身下边所用的格式,它其实用来顶替 ext4 之类的文件系统。 dm-crypt 系统位于 filesystem 软件与设施驱动程序之间; filesystem 软件读取和写入 ext4 ,而 ext4 数据经过
dm-crypt 加以推送,然后 dm-crypt 将数据以 LUKS
格式存款和储蓄到驱动器上。由此,实际上 ext4 或 NTFS 之类的文件系统就在经过加密的 LUKS 格式的“上面”。

便是那般。想理解什么加密,主要的少数是先要完全明白您其实试图完结什么任务:让应用程序加密和平解决密数据,还是让操作系统管理加密;是加密整个
分区,依旧只是加密个别文件;是或不是想创设保存加密文件的器皿。之后,你能够遵照本身在本文中提交链接的多少个学科中涉嫌的步子,顺遂达成加密。

软件

图片 2

一种方法正是从软件包里面加密数据,然后将该数额存款和储蓄到硬驱上的单个文件中。可能Linux 会在文件系统层面自行管理加密。

• cryptmount
那么些顺序提供了更多的功效特色,更易于使用一些,具体可参照几年前的那篇小说:

云驱动器

文本级存储
,你的操作系统将文件发送到远程服务器,远程服务器有自个儿的操作系统和 filesystem
软件;该远程服务器进而将文件写入到其磁盘上。

图片 3

假使您的驱动器是长途驱动器,有三种格局可以访谈数据;那对于你打探能够行使哪一种等级次序的加密很关键。三种艺术是:

底层细节

出于一些云服务提供商(举个例子亚马逊(Amazon)网络服务)为您提供了周到的根访谈权,能够访谈连接到你服务器的块设备,你能够充裕利用
dm-crypt ;能够用 LUKS 格式来格式化块设备,然后将它计划用来你的 dm-crypt 系统;之后,你一丝一毫能够用 ext4
文件系统来格式化它。最后结果正是完全加密的驱动器驻留在云端,你能够自行保管这些驱动器。想不想试一试?那篇教程就介绍了利用
cryptsetup 程序来加密:

filesystem
软件能够在写入数据在此以前开展加密。也许,位于 filesystem
软件与器械驱动程序之间的有个别软件能打开加密。

但只借使块级远程存款和储蓄,确实有几个方法。比方说,若是您利用云托管服务,由此你能将分歧的卷连接到分配的服务器,你日常能够应用块级存款和储蓄。卷未必
物理连接到你的托管服务器;不过,服务器能够访谈它们,好像它们正是当地卷那样,并且格式化卷,读取和写入单个扇区,就邻近驱动器是地面挂载的。那意味
着,如若是块级远程存款和储蓄,你能够在文件系统层面施行加密,就类似在地面Computer和本土驱动器上实行加密那样。

其余职能特色

其余一些云服务提供商不像 AWS
那样令你能够直接采访块设备。例如说, Digital
Ocean 就不允许你直接访问;但是你仍可以够创设三个文本,安装 dm-crypt
来利用特别文件,然后在文件之中成立三个所谓的“容器”,它意味着了文件系统。实际上,那个历程与你在温馨的本地机械上创立二个加密的容器文件大同小异。这里有一篇来自
Digital Ocean 网址的课程:
,介绍了创建 dm-crypt LUKS
容器文件。在该课程中要小心:就疑似使用块设备那样,你能够创设整个文件系统(比如ext4
),不过在此处,该文件系统驻留在容器文件之中。

dm-crypt
系统的叁个优点在于,它没要求直接管理磁盘驱动程序。相反,它能够将有所数据保存到单个文件中,实际不是利用
LUKS 和万事磁盘分区。那就意味着,你能够让
dm-crypt
成立单个文件,然后你能够在单个文件之中创立整个文件系统。之后,你可以将该单个文件作为独立的驱动器来挂载,然后从其余软件来访谈它,就疑似您相比较其余任何驱动器那样。

帮助,了然那个难点的技巧细节十分重大。那也是本身在本文中所要研究的,之后我会介绍如何落实加密,然后介绍其余能源。

图片 4

块级存款和储蓄

Linux块设备加密之dm-crypt深入分析 
http://www.linuxidc.com/Linux/2011-03/33797.htm

读者平日询问大家的贰个宽广难点是,怎么着为 Linux
实行一种文件系统加密方法。在深刻研究这几个话题在此以前,作者想要注解两点:

以 Linux 管理加密事务为例, LibreOffice
除了读取和写入文件外,什么也不做,就疑似它方今所做的那么。 Linux
会加密文件,然后将文件实际写入到磁盘上,解密后回过头来读取文件。那是自家在这里运用的情势,但是你还要提出别的比很多主题素材。想要提出合适的标题,你将在精通块存款和储蓄的做事规律。不妨先看一下块存款和储蓄。

操作系统管理地点驱动器时,操作系统使用 filesystem
软件来格式化驱动器,然后读取并写入单个扇区。保存文件时, filesystem 软件弄驾驭供给写入的扇区。读取文件时,
filesystem
会弄精通数据在什么扇区上,然后读取那二个扇区,为您重构文件。想管理文件,
filesystem
使用分化品种的目录,它将那个索引也蕴藏在磁盘上。分裂的 filesystem
软件应用分裂的措施来组织数量,还富含差别的平安机制;最后结出正是有了分裂的文件系统,比如ext4 和 NTFS 。

地面驱动器

长途驱动器

抑或,要是你想行使另一个前后相继 cryptmount
来加密整个分区或成立容器文件,请关切那篇教程:
。笔者 Carla Schroder 给出了多少个令人瞩目标手续。

块级存款和储蓄 就好像使用本地驱动器那样,由此你的 filesystem
软件能够读取并平素写入到长途磁盘上的扇区。

请当心: dm-crypt
是子系统的名目,你能够动用过多工具来拍卖它。没出名为 dm-crypt 的单个命令。你能够使用部分程序来管理 dm-crypt :

就在 filesystem
软件与设施驱动程序之间的这一个点,加密方面要求做出选用:你是想让 filesystem
软件拓宽加密,然后写入数据吧?依然说,大家实际将贰个软件内置到 filesystem 软件与设备驱动程序之间怎么?那样一来,
filesystem
会像平常那样运转,不过当它试图访谈设备时,其调用改而由加密软件来拍卖,如上海教室的出手所示。大家在本文中要利用这种措施。可是先不要紧评论另外多少个难点。

     
现在我们掌握了想要实现的天职;难点是,你该如何贯彻啊?事实上,
Linux
内置了三个软件包,使用本身事先介绍的这种方式,即把软件内置到 filesystem 软件与设施驱动程序之间。该软件名叫 dm-crypt 。而 dm-crypt
能够加密数据,然后使用一种名字为 LUKS
的积攒格式,将数据写入到存款和储蓄设备(通过配备驱动程序)上。

设借使文件级存款和储蓄,你在加密地方平昔不太多的取舍。要是你想加密多少,就要求在你的应用程序中加密它,然后将数据发送到远程服务器上囤积起来。

大家平日说想要加密数据,不过她们不常忽略了叁个有史以来的上边:他们究竟想对什么样进展加密?他们是想从软件包里面前境遇数量进行加密,然后将该数据存款和储蓄到硬驱上的单个文件中?譬喻说,他们是想让
LibreOffice 创造整个 .odt
文字管理文书档案,对它举行加密,然后将加密的结果作为单个文件写入到文件系统,就好像下图这样?还是说他俩想让
Linux 在文件系统层面自行管理加密?

正文永远更新链接地址:http://www.linuxidc.com/Linux/2015-08/121027.htm

• cryptsetup
那几个命令行程序为您提供了底层访谈权,以便管理创制 dm-crypt 管理的装置这一职务。

先是,很难在英特网找到那方面丰富多的音信。于是,笔者会向大家介绍多少个好不便于找到的确实很棒的财富(实际上是几篇教程)。

而这就引出了大家怎么在地头落成这一体的话题。在Amazon上创办加密驱动器的上述教程涉及的步调与在你和睦的硬驱上地点创制加密驱动器一个样。不过另一篇教程(

)给出了日益的印证,以便在您自个儿的硬驱上本土成立,它也运用 cryptsetup 。

作者们已交待清楚了块级设备的干活缘故,无妨虚拟这一个:操作系统使用其 filesystem 软件,将数据扇区写入到驱动器。 filesystem
软件鲜明将数据扇区写入到哪里、怎么样协会它们,包含创制描述文件名称、协会方式等新闻的元数据。可是filesystem
软件为了执行实际读取并写入到驱动器的操作,就需求有配备驱动程序来狠抓在决定设备自己的做事,如下图的右臂所示(驱动程序在
/dev 目录里面包车型地铁文件系统档案的次序结构中已有意味)。

结束语

顺手说一下,假若您想看看设备驱动程序在 Linux
系统的 /dev 目录中怎么着存在,能够参见本文:

。它满含编制程序方面,不过一旦您不是编制程序员,就点击到第 2 页,向下滚动鼠标,找到标为 Hello, World! Using /dev/hello_world
的章节,阅读第一段,上边作了具体全面包车型客车表明。)

教你如何利用dm-crypt给Ubuntu系统文件加密
http://www.linuxidc.com/Linux/2008-12/17878.htm

假若您想成立八个本土容器驱动器,含有整个经过加密的文件系统,只要根据上面Digital Ocean 教程中的步骤就能够。

发表评论

电子邮件地址不会被公开。 必填项已用*标注