我不知道有什么方法可以在没有cryptsetup. 如果我找到方法,我会编辑它。但我想我可以帮助你做其他一切。
我认为您需要明确加密如何融入大局。
dm_crypt,通过cryptsetup用户空间实用程序,可以处理任何看起来像块设备的东西。这可以是整个硬盘驱动器(即/dev/sda)、该硬盘驱动器的单个分区(即/dev/sda1)或 VG(卷组,即/dev/volume_group)。
通过pvcreate在一个或多个实际磁盘分区(如/dev/sda1)上使用,VG 先前已成为 PV(物理卷)。然后,使用 将所有 PV 连接到一个 VG vgcreate,然后创建一个表示 中的 VG 的新设备/dev。创建 VG 后,您需要通过发出诸如mkfs.ext4 /dev/volume_group, 然后mount /dev/volume_group到任何地方的命令来对其进行格式化。查看以mountroot 身份运行的普通命令应该可以让您了解系统上当前的位置。
必须通过将块设备(无论是真实磁盘还是 VG)传递给cryptsetup luksFormat. 那时您可以输入密码或指定密钥文件。然后,要使用它,您需要使用打开该块设备cryptsetup luksOpen(提示您输入先前分配的密码,或者您可以指定一个密钥文件);这将在 中创建另一个“虚拟”块设备/dev/mapper,即/dev/mapper/encrypted。这是那你想给喜欢的工具是什么mkfs.ext4,fsck以及mount实际使用加密的块设备。
重要提示:在执行此操作之前,cryptsetup luksFormat您希望使用dd或badblocks命令用随机数据覆盖磁盘上的可用空间。 luksFormat不这样做,如果您事先不这样做,对手可能会知道您已写入磁盘的位置以及您尚未写入的位置。
在单个硬盘驱动器上结合使用卷组和加密的要点通常与磁盘分区具有相同的目的,但由于它位于加密卷内,除非解锁,否则无法发现您的“分区”方案。所以,你会需要一个完整的磁盘,创建一个加密卷和使用pvcreate,vgcreate以及lvcreate创建逻辑卷然后将其安装,仿佛它们是分区。(这解释了:http : //linuxgazette.net/140/kapil.html)
真正卸载卷将涉及umount /dev/mapper/encrypted断开文件系统,然后cryptsetup luksClose encrypted断开虚拟块设备。
cryptsetup允许添加 ( luksAddKey) 和删除 ( luksDelKey) 键。我认为加密卷上最多可以有 8 个密钥。通过添加新密钥然后删除旧密钥来更改密钥。
所有cryptsetup选项的具体语法在这里:http : //linux.die.net/man/8/cryptsetup
| 归档时间: |
|
| 查看次数: |
3520 次 |
| 最近记录: |