• Linux下的磁盘加密方法


    Linux下的磁盘加密方法

                 

    转载时请注明出处和作者联系方式
    作者联系方式:李先静 <xianjimli at hotmail dot com>

     

    随着智能手机的计算能力和存储能力的提高,手机中将会存放越来越多的私有数据,这些数据的泄密可能造成严重后果。手机信息安全一直是我们的重点之一,对于一些重要的功能我们要求鉴权后才能使用,但这只能挡住初级的黑客,只能防君子不能防小人,所以我们希望把重要的数据进行加密后再保存。为此,今天花了一点时间去了解Linux 磁盘加密的方法。

     

    方法一:cryptoloop

    l         下载并编译util-linux

    http://www.paranoiacs.org/~sluskyb/hacks/util-linux/losetup-combined.patch

    http://ftp.cwi.nl/aeb/util-linux/util-linux-2.12.tar.gz

    http://hydra.azilian.net/util-linux-2.12-kernel-2.6.patch

     

    tar zxvf util-linux-2.12.tar.gz

    cd util-linux-2.12

    patch -p1 < ../losetup-combined.patch

    patch -p1 < ../util-linux-2.12-kernel-2.6.patch

    (如果有_syscall5之类编译错误,将它换成新的调用方式syscall)

    make;make install

     

    l         编译内核(已经支持cryptoloop则跳过此步)

    make menuconfig

    Device Drivers >Block Devices>Loopback device support

    BLK_DEV_CRYPTOLOOP

     

    l         加载模块

    modprobe cryptoloop

           (以及加密模块)

     

    l         创建loop设备

    dd if=/dev/zero of=~/cryptoloop.image bs=1M count=10

    losetup -e aes-256 /dev/loop0 ~/cryptoloop.image

           (提示输入密码)

     

    l         创建文件系统并加载

    mkfs.ext3 /dev/loop0

    mkdir /mnt/crypto

    mount -t ext3 ~/cryptoloop.image /mnt/crypto/ -oencryption=aes-256

                  (提示输入密码)

     

    l         卸载

    umount /mnt/crypto

                  losetup -d  /dev/loop0

     

    l         重新加载

    losetup -e aes-256 /dev/loop0 ~/cryptoloop.image

    mount -t ext3 ~/cryptoloop.image /mnt/crypto/ -oencryption=aes-256

     

    cryptoloop的实现比较简单,可以看看drivers/block/cryptoloop.c中的代码。loop设备在读写之前会调用lo_do_transfer函数,该函数再调用所安装的transfer插件。cryptoloop就是一种transfer的实现。至于使用哪种transfertransfer的参数(如密码),这可以通过LOOP_SET_STATUS64ioctrl系统调用来完成(mount命令就是这样实现的)

     

    cryptoloop的缺点是只能针对loop设备,而且对日志型文件系统无效。

     

    方法二:device-mapper crypto

    l         下载并编译cryptsetup(已经有了就跳过)

    wget http://www.saout.de/misc/dm-crypt/cryptsetup-0.1.tar.bz2

    cd cryptsetup-0.1

    ./configure;make;make install

     

    l         编译内核(已经支持则跳过此步)

    make menuconfig

    Device Drivers > Multi-device support (RAID and LVM)

    CONFIG_BLK_DEV_DM

    CONFIG_DM_CRYPT

     

    l         加载模块

    modprobe dm-crypt

    (以及加密模块)

     

    l         创建loop设备

    dd if=/dev/zero of=~/dm-crypt.image bs=1M count=10   

    losetup /dev/loop0 ~/dm-crypt.image

          

    l         建立device-mapper

    cryptsetup -y create dm-crypt /dev/loop0

    (提示输入密码)

     

    l         创建文件系统并加载

    mkfs.ext3 /dev/mapper/dm-crypt

    mount /dev/mapper/dm-crypt /mnt/crypto

     

    l         卸载

    umount /mnt/crypto/

    cryptsetup remove  dm-crypt

    losetup -d  /dev/loop0

     

    l         重新加载

    cryptsetup -y create dm-crypt /dev/loop0

    mount /dev/mapper/dm-crypt /mnt/crypto

     

    device-mapper crypto 的实现在drivers/md目录下,相对来说要复杂得多,没有来得及仔细阅读。

     

    方法三:ecryptfs

    l         下载并编译

    http://people.redhat.com/~dhowells/keyutils/keyutils-1.2.tar.bz2

    tar  jxf keyutils-1.2.tar.bz2 

    cd keyutils-1.2

    make;make install

     

    tar jxf ecryptfs-20070306.tar.bz2

    cd ecryptfs-20070306/ecryptfs-util

    ./configure;make;make install

     

    l         编译内核

    make menuconfig

    File systems>Miscellaneous filesystems

    CONFIG_ECRYPT_FS

     

    l         加载模块

    modprobe ecryptfs

    (以及加密模块)

     

    l         加载

    mkdir /root/crypt

    mkdir /mnt/crypt

    mount -t ecryptfs /root/crypt /mnt/crypt

    (提示输入密码和算法)    

     

    l         卸载

    umount /mnt/crypt

     

    l         重新加载

    mount -t ecryptfs /root/crypt /mnt/crypt

                  (提示输入密码和算法) 

     

    看来ecryptfs的特点是能够对目录进行加密,而不必加密整个磁盘。直接读取原始目录中的文件,只能读到加密后的数据,要正确读取数据,只有先把该目录用ecryptfs文件系统格式加载到另外一个目录,之后才能读取。而在加载时要指定密码和加密算法,这就起到保密作用。如果加载时指定错误的密码或加密算法,仍然可以加载而不会出错,但读出的数据是无效的。

     

    ecryptfs的代码在fs/ecryptfs目录下,只有比较新的kernel版本才有,我用的是linux-2.6.21。它的实现与前面两种方法不同,它完全是按文件系统的方式来实现的。

     

    以上几种加密方法,在加载时都要输入密码,为了使用上的方便,可以与PAM+libpam-mount插件集成起来,用当前用户的密码作为加密的密码,这样就只需要在登录时输入一次就够了。

     

    参考资源:

    http://www.saout.de/misc/dm-crypt/

    http://www.pconline.com.cn/smb/yrzc/linux/0701/954465.html

    http://www.ibiblio.org/pub/Linux/docs/HOWTO/Cryptoloop-HOWTO

     

    ~~end~~

  • 相关阅读:
    python描述符(descriptor)、属性(property)、函数(类)装饰器(decorator )原理实例详解
    JVM内存模型、指令重排、内存屏障概念解析
    图解JVM的Class文件格式(详细版)
    图解JVM执行引擎之方法调用
    为何JAVA虚函数(虚方法)会造成父类可以"访问"子类的假象?
    小乖上学第一天
    FLEX RIA快速添加图标
    1,2,3,5,7,8,10,11,12,13,14,15,16,21,22 》1~3,5,7~8,10~16,21~22
    ABAP 函数编写
    ABAP子进程(字符串分割定位)
  • 原文地址:https://www.cnblogs.com/zhangyunlin/p/6167726.html
Copyright © 2020-2023  润新知