cryptsetup

centos 系统使用 cryptsetup 加密磁盘 首先查看是否有 rpm -q cryptsetup-luks ，出现下图说明有 cryptsetup 工具 没出现就使用 yum -y install cryptsetup-luks 安装服务 Fdisk -l 查看要加密的磁盘的名称，这里以 /dev/vdb 为例 执行 cryptsetup luksFormat -y -t /dev/vdb 注意：必须输入大写的 YES 打开映射， cryptsetup luksOpen /dev/vdb speakin 执行这个会默认在 /dev/mapper 下创建 speakin 文件 查看设备的状态 cryptsetup status speakin 对映射的设备进行格式化挂载 mkfs.ext4 /dev/mapper/speakin # 设备格式化 mkdir /data # 常见挂载点 mount /dev/mapper/speakin /data # 挂载 df -h # 查看是否挂载成功 9. 操作完成后执行 cryptsetup luksClose speakin 关闭映射设备 参考:https://blog.csdn.net/wzsalan/article/details/79827775 来源： oschina 链接： https://my.oschina.net

导读 通过使用网络绑定磁盘加密（NBDE），无需手动输入密码即可打开加密磁盘。 通过使用网络绑定磁盘加密（NBDE），无需手动输入密码即可打开加密磁盘。 从安全的角度来看，对敏感数据进行加密以保护其免受窥探和黑客的攻击是很重要的。 Linux 统一密钥设置Linux Unified Key Setup（LUKS）是一个很好的工具，也是 Linux 磁盘加密的通用标准。因为它将所有相关的设置信息存储在分区头部中，所以它使数据迁移变得简单。 要使用 LUKS 配置加密磁盘或分区，你需要使用 cryptsetup 工具。不幸的是，加密磁盘的一个缺点是，每次系统重启或磁盘重新挂载时，你都必须手动提供密码。 然而，网络绑定磁盘加密Network-Bound Disk Encryption（NBDE） 可以在没有任何用户干预的情况下自动安全地解锁加密磁盘。它可以在一些 Linux 发行版中使用，包括从 Red Hat Enterprise Linux 7.4、 CentOS 7.4 和 Fedora 24 开始，以及之后的后续版本。 NBDE 采用以下技术实现： 框架：一个可插拔的框架工具，可自动解密和解锁 LUKS 卷 Tang 服务器：用于将加密密钥绑定到网络状态的服务 Tang 向 Clevis 客户端提供加密密钥。据 Tang 的开发人员介绍，这为密钥托管服务提供了一个安全、无状态

文件系统 blkid: 能够使用的设备 fdisk ： 存在设备 /proc/partition ： 系统识别的设备 划分分区后，还未被系统识别时，分区信息在硬盘中的477的64里 mbr: 最大2T gpt ：更大 管理存储设备 1. 分区划分 fdisk mhelp d 删除分区 ggpt l 列出系统可用的分区类型 n 新建分区 q 退出 t 修改分区功能id w 保存更改到分区 p 显示分区 p primary 主分区 e extended 拓展分区 Partition number (1-4, default 1): 1 分区id First sector (2048-20971519, default 2048): +100 分区大小 wq 退出并保存，q表示退出不保存 partprobe 同步分区表 fdisk /dev/vdb1 不对，不能对分区分区 主分区和拓展分区之和的最大个数为15 格式化的过程是安装文件系统的过程 mkfs.xfs/dev/vdb5 格式化 mount /dev/vdb5 /mnt 挂载 交换分区 先创建一个分区，再改标签t，w为82（不知道用L查看） 格式化交换分区，mkswap /dev/vdb3 查看交换分区 swapon -s 开机挂载 vi /etc/fstab /dev/vdb3 swap swap defaults 0 0

[3.磁盘加密] 1.磁盘加密 fdisk /dev/vdb partprobe cryptsetup luksFormat /dev/vdb1 **加密/dev/vdb1磁盘 cryptsetup open /dev/vdb1 redhat **开启磁盘 mkfs.xfs /dev/mapper/redhat **格式化 mount /dev/mapper/redhat /mnt/ **将/dev/mapper/redhat挂载到/mnt umount /mnt/ **卸载 cryptsetup close redhat **关闭redhat 2.加密磁盘永久挂载 vim /etc/crypttab **加密配置文件 [root@localhost ~]# cat /etc/crypttab redaht /dev/vdb1 /root/lukspsfile 解密后设备管理文件 设备 加密字符 vim /root/lukspsfile **加密密码配置 [root@localhost ~]# cat /root/lukspsfile kile2583 chmod 600 /root/lukspsfile cryptsetup luksAddKey /dev/vdb1 /root/lukspsfile **将/root/lukspsfile中的密码应用到/dev/vdb1磁盘上