dm-crypt
dm-crypt 是 Linux 内核的 设备映射器 加密目标。根据 Wikipedia:dm-crypt,它是一个
- Linux 内核中的透明磁盘加密子系统……它被实现为一个设备映射器目标,并且可以堆叠在其他设备映射器转换之上。因此,它可以加密整个磁盘(包括可移动媒体)、分区、软件 RAID 卷、逻辑卷以及文件。它表现为一个块设备,可以用于支持文件系统、交换空间或作为 LVM 物理卷。
用法
- /磁盘准备
- 处理诸如 安全擦除磁盘 和 dm-crypt 特定的 分区 操作。
- /设备加密
- 介绍如何通过 cryptsetup 命令手动使用 dm-crypt 加密系统。它涵盖了 加密选项 的示例,处理 密钥文件 的创建,LUKS 特定的 密钥管理 命令,以及 备份和恢复。
- /系统配置
- 说明在加密系统时如何配置 mkinitcpio、内核参数 和 crypttab 文件。
- /交换空间加密
- 介绍如何在加密系统中添加交换空间,因为交换空间也必须加密以保护系统交换出的任何数据。本节详细介绍了 不带 和 带 磁盘休眠支持的方法。
- /特殊情况
- 处理特殊操作,如 保护未加密的引导分区,使用 GPG、LUKS 或 OpenSSL 加密的密钥文件,一种 通过网络远程解锁根(或其他)分区 的方法,另一种用于 为固态硬盘 (SSD) 设置 discard/TRIM,以及关于 encrypt hook 和多个磁盘 的章节。
- /登录时挂载
示例场景
- /加密非根文件系统
- 如果您需要加密一个不用于引导系统的设备,例如一个 分区 或一个 文件容器。
- /加密整个系统
- 如果您想加密整个系统,特别是根分区。涵盖了多种场景,包括 dm-crypt 与 LUKS 扩展、plain 模式加密以及加密和 LVM 的使用。
参见
- dm-crypt - 项目主页
- cryptsetup - LUKS 主页和 FAQ - 主要且最重要的帮助资源。