标签: dmcrypt

ubuntu 14.04 上的 php mcrypt 扩展显示它安装正确，但 phpmyadmin 说：

 The mcrypt extension is missing. Please check your PHP configuration.

我当前的 php 配置在这里。如果您需要更多信息，请通过评论与我联系。

$ sudo apt-get install php5-mcrypt
    Reading package lists... Done
    Building dependency tree       
    Reading state information... Done
    php5-mcrypt is already the newest version.
    0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

当 LUKS 加密分区弹出解锁窗口时，它提供了 3 个如何记住密码的选项。默认情况下始终勾选“在注销前记住密码”。有没有办法让“立即忘记密码”成为默认设置？

Enter a passphrase to unlock the volume:

[ ] Forget password immediately
[x] Remember password until you logout
[ ] Remember forever

我很好奇 Ubuntu 的全盘加密是如何在幕后工作的。下面是一个例子：

将以下字符串视为磁盘的所有内容：

hello world

在应用某种加密方法后，它看起来像这样：（
我在这个例子中使用了带有 +1 移位的凯撒密码，例如 A ? B; B?C ...）

ifmmp xpsme

据我了解，当计算机关闭时，驱动器的内容将是上面的字符串。但是当它重新打开时，Ubuntu 需要再次返回其内容hello world才能成功启动。

我真正不明白的是，在现实世界中，磁盘的内容要多得多，加密算法也更复杂，我发现计算机很难在几秒钟内完全加密/解密所有内容（启动或关闭不需要更长的时间）。

这怎么可能？

是否可以使用 dm-crypt 解密 TrueCrypt 容器？

我有一些用 TrueCrypt 创建的容器文件，我只是想知道是否可以使用 dm-crypt 解密它们，这样我就可以停止使用 TrueCrypt 并使用更开源的东西，比如 dm-crypt。

我的交换似乎不起作用。我试图修复它，但我尝试过的没有任何效果。
以下是解决问题的一些相关信息：
在安装期间，我选择加密我的主文件夹。似乎正在使用 cryptswap。
当我打开 gnome-system-monitor 时，它说“交换不可用”。
这是一些编辑过的终端输出：

sudo swapon -s
(Nothing)

sudo swapon -a
swapon: stat failed /dev/mapper/cryptswap1: No such file or directory

cat /etc/fstab
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
# / was on /dev/sda1 during installation
UUID=3dbb0bca-df4c-426d-a672-2e31e6683646 /               ext4    errors=remount-ro 0       1
# swap was on /dev/sda5 during installation
#UUID=ef29aae9-af0e-403c-b702-334acb1d5879 none            swap    sw              0       0
/dev/mapper/cryptswap1 none swap sw 0 0

cat /etc/crypttab
cryptswap1 UUID=ef29aae9-af0e-403c-b702-334acb1d5879 /dev/urandom swap,cipher=aes-cbc-essiv:sha256

sudo lsblk -o NAME,FSTYPE,UUID
NAME   FSTYPE UUID …

据我了解，Ubuntu 安装程序中的“加密新的 Ubuntu 安装以确保安全”选项旨在提供全盘加密。

但是，使用该选项时，似乎加密会立即完成，实际上似乎根本不需要任何时间。

在 Windows 上使用 BitLocker 加密整个磁盘时，即使在 SSD 上也可能需要数小时才能完全加密磁盘。例如，使用 BitLocker 和其他加密工具（如 DiskCryptor 或 TrueCrypt），还有一个进度指示器，显示已加密的磁盘数量。

为什么Ubuntu 安装程序中的“加密新的 Ubuntu 安装以确保安全”选项不是这种情况？

即使在我的 1 TB SSD 上，加密似乎也可以立即设置，并且没有任何进度指示器。

这怎么可能？

论坛上有人说：

http://ubuntuforums.org/showthread.php?t=2330425&p=13516293#post13516293

数据在写入之前不会被加密

但如果这是真的，那么安装程序中的“加密新的 Ubuntu 安装以确保安全”选项根本就不是全盘加密。

如果他是正确的，那么它不会加密整个磁盘。它只加密使用的磁盘空间。然后不加密空白空间。

至少使用 BitLocker，您可以选择仅加密已用磁盘空间或加密整个磁盘，例如，请参见以下屏幕截图：

https://i-technet.sec.s-msft.com/en-us/windows/jj983729.bitlocker-screen(en-us,MSDN.10).jpg

在同一个论坛帖子中还提到：

如果您想在写入任何内容之前随机初始化存储区域，则需要一些时间。我似乎记得它是安装的可选复选框。

而且，确实，在具有“加密新的 Ubuntu 安装以确保安全性”选项的屏幕之后的下一个屏幕上有一个“为了更安全：覆盖空磁盘空间（安装可能需要更长的时间。）”选项。

现在，问题是：如果选中该选项，它是否只是覆盖空磁盘空间？或者它也加密它？

我假设它在加密之前只用零覆盖它。我假设无论如何都会使用“加密新的 Ubuntu 安装以确保安全”选项加密整个磁盘，而不管“为了更高的安全性：覆盖空磁盘空间（安装可能需要更长的时间。）”选项。

问候

问题： 我有一个服务，seafile.service启动后会自动启动 Seafile 服务器。但是，此服务无法在具有加密/home分区的Ubuntu 服务器上启动。该服务需要访问本指南中/home/sfadmin/seafile/seafile-server-latest/seafile.sh所示的。

即使手动解密/home分区后，该服务也无法自动启动 Seafile 服务器。当我通过执行手动启动服务时sudo systemctl start seafile.service，它可以工作，但是，/home即使分区已经解密并安装，我也被要求提供分区的解密密码。即使我输入了错误的密码，服务也能正常启动。

背景：

1. 我正在运行带有加密/home分区的Ubuntu 16.04.4 LTS 服务器。的/home分区使用DMCrypt（cryptsetup）加密。我使用本指南来加密我的/home分区。
2. 我的/etc/fstab配置有nofail指导对我的/home分区如下：/dev/mapper/data-home /home ext4 defaults,nofail 0 2
3. 我/etc/crypttab的配置如下：data UUID=myuuidhere none luks,discard,noearly,nofail
4. 我的/home分区解密是手动完成的。每次启动后，我/home使用 SSH 命令远程解密分区sudo cryptsetup luksOpen /dev/sda3 data。
5. 解密后，Ubuntu 会自动挂载/home分区。

尝试的解决方案

由于Seafile服务（/etc/systemd/system/seafile.service）需要访问/home的分区，我用后续指令对我的服务配置： …

我使用这些说明加密了设备

sudo dd if=/dev/urandom of=/dev/sdb1
sudo cryptsetup -y -v luksFormat /dev/sdb1
sudo cryptsetup luksOpen /dev/sdb1 $name #change "$name" to any name you wish
#now format
mkfs.ext4 /dev/mapper/$name
sudo mkdir /media/mount_point
sudo mount /dev/mapper/$name /media/mount_point

当我解锁并安装安装程序时，我无法向其中写入或复制任何内容，因为 root 是所有者，所有权限仅适用于 root。我可以更改此设置以便我可以访问它吗？

我找到了以下 2 分钟的视频，其中展示了如何使用 ubuntu 的磁盘实用程序应用程序加密 USB 驱动器：

http://www.youtube.com/watch?v=J_g-W6hrkNA

我的问题是，该方法是使用 dm-crypt 还是其他加密驱动器的技术？