使用LUKS加密你的磁盘

在此之前先介绍一下 LUKS：

LUKS （Linux Unified Key Setup）是 Linux 硬盘加密的标准。 通过提供标准的磁盘格式，它不仅可以促进发行版之间的兼容性，还可以提供对多个用户密码的安全管理。 与现有解决方案相比，LUKS 将所有必要的设置信息存储在分区信息首部中，使用户能够无缝传输或迁移其数据。

1.环境

OS：Gentoo

内核：4.9.95

工具：cryptsetup

2.内核配置（可选）

通常来说，大部分发行版的内核都已经配置了相关的加密部分，因此非 gentoo 用户可以跳过此部分。

配置 device mapper 和 crypt target：

[*] Enable loadable module support

Device Drivers --->

[*] Multiple devices driver support (RAID and LVM) --->

<*> Device mapper support

<*>   Crypt target support

配置加密 API：

[*] Cryptographic API --->

<*> XTS support

<*> SHA224 and SHA256 digest algorithm

<*> AES cipher algorithms

<*> AES cipher algorithms (x86_64)

<*> User-space interface for hash algorithms

<*> User-space interface for symmetric key cipher algorithms

编译新内核并配置应用，然后重启：

# make -j9 && make modules_install && make install

3.安装软件

通常的发行版已经预装了该软件包，可以直接使用，下面是 Gentoo 的安装方法

# emerge --ask sys-fs/cryptsetup

4.创建加密分区

注意，该操作会清空你选择分区或设备上的所有数据，请谨慎操作，输入大写的 YES 确认

# cryptsetup -s 512 luksFormat /dev/sdd

WARNING!

========

This will overwrite data on /dev/sdd irrevocably.

Are you sure? (Type uppercase yes): YES

Enter passphrase: 

Verify passphrase:

5.利用密钥文件加密分区

除了密码之外，还可以选择使用密钥文件解密你的硬盘，也就是相当于一个密钥，当然可以也可以只使用密钥文件或者同时使用密码与密钥文件。

5.1.生成随机密钥文件

# dd if=/dev/urandom of=/root/enc.key bs=1 count=4096

5.2.添加密钥文件作为密码之一

# cryptsetup luksAddKey  /dev/sdd /root/enc.key

Enter any existing passphrase:

6.移除解密密码

移除普通密码：

# cryptsetup luksRemoveKey /dev/sdd

Enter LUKS passphrase to be deleted: ...

移除 key file 密码：

# cryptsetup luksRemoveKey -d /root/enc.key /dev/sdd

注意：千万不要将所有密码移除，至少需要留有一个密码访问设备，移除操作不可撤销

7.解密与挂载

7.1.密码解密

# cryptsetup luksOpen /dev/sdd myusb

Enter passphrase for /dev/sdd:

7.2.key file 解密

# cryptsetup luksOpen -d /root/enc.key /dev/sdd myusb

7.3.创建文件系统

在挂载使用之前，我们仍然需要对设备创建文件系统才可以使用，可以选择任何你喜欢的文件系统，例如 btrfs、ext4、vfat、ntfs 等

# mkfs.ext4 /dev/mapper/myusb

mke2fs 1.43.6 (29-Aug-2017)

Creating filesystem with 488448 4k blocks and 122160 inodes

Filesystem UUID: 995e172a-2bc6-432c-a60f-2d4d7093e748

Superblock backups stored on blocks:

32768, 98304, 163840, 229376, 294912

Allocating group tables: done

Writing inode tables: done

Creating journal (8192 blocks): done

Writing superblocks and filesystem accounting information: done

7.4.挂载

现在可以像正常分区一样挂载我们的加密分区设备了

# mount /dev/mapper/myusb /mnt/

# df -h

/dev/mapper/myusb  1.9G  5.7M  1.7G   1% /mnt

7.5.卸载挂载点并关闭加密分区

# umount /mnt

# cryptsetup luksClose myusb

8.总结

在完成整个步骤以后，您现在需要做的就是妥善保管您的加密存储，可采用同样的方式加密多个设备进行备份，因为谁也不能保证这移动设备会不会在什么时候丢掉。