1.关于luks加密
LUKS(Linux Unified Key Setup)为Linux硬盘分区加密提供了一种标准,它不仅能通用于不同的
Linux发行版本,还支持多用户/口令。因为它的加密密钥独立于口令,所以如果口令失密,我们可以
迅速改变口令而无需重新加密整个硬盘。通过提供一个标准的磁盘上的格式,它不仅方便之间分布的
兼容性,而且还提供了多个用户密码的安全管理。必须首先对加密的卷进行解密,才能挂载其中的文件
系统。
文件系统在加密层之上,当加密层被破坏掉之后,磁盘里的内容就看不到,因为没有设备对
他解密
crypsetup工具加密的特点:
(1)加密后不能直接挂载
(2)加密后硬盘丢失也不用担心数据被盗
(3)加密后必须做映射才能挂载
2.磁盘加密
cryptsetup luksFormat /dev/vdb1 # 将分区进行LUKS格式加密(变成LUKS分区)
cryptsetup open 设备名 # 打开,也就是解密,设备名任意,此处的设备为虚拟设备
cryspsetup close 设备名 # 关闭解密,也就是恢复加密状态
[root@server ~]# cryptsetup luksFormat /dev/vdb5 # 将分区进行LUKS格式加密(变成LUKS分区) 
[root@server ~]# cryptsetup open /dev/vdb5 lala # 打开,也就是解密,lala为虚拟设备
Enter passphrase for /dev/vdb5:
[root@server ~]# ll /dev/mapper/ # 当解密成功时,会发现在这个目录下生成虚拟设备
[root@server ~]# mkfs.xfs /dev/mapper/lala # 格式化虚拟设备
[root@server ~]# mount /dev/mapper/lala /mnt # 挂载虚拟设备就可以使用了
[root@server ~]# df
[root@server ~]# touch /mnt/file{1..10} # 因为设备是解密状态,所以可以新建文件
[root@server ~]# ls /mnt # 也可以查看内容
file1 file10 file2 file3 file4 file5 file6 file7 file8 file9
[root@server ~]# umount /mnt
[root@server ~]# cryptsetup close lala # 关掉解密状态,也就是恢复加密状态
[root@server ~]# ll /dev/mapper/ # 查看到虚拟设备消失
total 0
crw------- 1 root root 10, 236 Nov 9 19:53 control
[root@server ~]# mount /dev/mapper/lala /mnt # 想要重新挂载虚拟设备,发现挂载失败,虚拟设备是临时的,当关闭虚拟设备时,他就失效了
mount: special device /dev/mapper/lala does not exist
[root@server ~]# cryptsetup open /dev/vdb5 haha # 我们重新解密,生成虚拟设备
Enter passphrase for /dev/vdb5:
注:此处的密码是第一次加密时设置的密码
[root@server ~]# mount /dev/mapper/haha /mnt # 挂载成功
[root@server ~]# ls /mnt # 重新查看到内容
file1 file10 file2 file3 file4 file5 file6 file7 file8 file9
3.加密设备的开机挂载
[root@server ~]# vim /etc/fstab # 设定自动挂载
10 /dev/mapper/disk /mnt xfs defaults 0 0
[root@server ~]# vim /etc/crypttab # 编辑自动生成虚拟设备文件
1 disk /dev/vdb5 /root/vdb5pass 
[root@server ~]# vim /root/vdb5pass # 编辑密码文件 ,此处的密码不是随意的,而是磁盘加密设定的密码
1 ting@666
[root@server ~]# chmod 600 /root/vdb5pass # 修改密码文件的权限
[root@server ~]# cryptsetup luksAddKey /dev/vdb5 /root/vdb5pass # 把密码添加到luks加密中,即让密码文件生效
Enter any passphrase: # 必须通过认证才能添加成功
[root@server ~]# reboot
[root@server ~]# df # 查看到自动挂载 
4. 取消自动加密挂载
[root@server ~]# rm -fr /root/vdb5pass # 删除密码文件
[root@server ~]# vim /etc/fstab # 删除对/dev/vdb5的永久挂载设置
[root@server ~]# vim /etc/crypttab # 删除文件内容
[root@server ~]# umount /mnt/ # 解除挂载
[root@server ~]# cryptsetup close disk # 关闭解密
[root@server ~]# mkfs.xfs /dev/vdb5 -f # 强制格式化操作
[root@server ~]# mount /dev/vdb5 /mnt # 再次挂载,发现是一般的挂载,没有加密
5.关于加密过程中出现的问题,以及解决方案
(1)加密失败
[root@server ~]# cryptsetup luksFormat /dev/vdb5 # 当我想要给/dev/vdb5加密时,发现加密失败
[root@server ~]# df # 结果发现/dev/vdb5挂载在/mnt下,也就是设备占用着 
[root@server ~]# umount /dev/vdb5 # 卸载掉就好了
(2)解密时,发现报错
[root@server ~]# cryptsetup open /dev/vdb5 haha # 当我想要解密时,发现报错,
Enter passphrase for /dev/vdb5:
Cannot use device /dev/vdb5 which is in use (already mapped or mounted).
[root@server ~]# mount -a # 检测是否设备处于挂载状态
[root@server ~]# dmsetup ls # 显示当前的device mapper的信息
lala (252:0)
[root@server ~]# dmsetup remove lala # 删除lala设备
[root@server ~]# dmsetup status # 再次显示当前的device mapper的信息,此时解密就不会报错了
No devices found
(3)命令执行不了,注意此处命令的大小写
[root@server ~]# cryptsetup luksAddkey /dev/vdb5 /root/vdb5pass # 出现这种情况一定是命令写错了
[root@server ~]# cryptsetup luksAddKey /dev/vdb5 /root/vdb5pass # 这是正确的命令