dm-crypt
dm-crypt 是 Linux 内核的 device mapper 加密目标。来自 Wikipedia:dm-crypt,它是
- Linux 内核中透明的磁盘加密子系统... [它] 被实现为 device mapper 目标,并且可以堆叠在其他 device mapper 转换之上。因此,它可以加密整个磁盘(包括可移动媒体)、分区、软件 RAID 卷、逻辑卷以及文件。它显示为一个块设备,可以用于支持文件系统、交换分区或作为 LVM 物理卷。
用法
- /驱动器准备
- 处理诸如安全擦除驱动器之类的操作以及对其进行分区的 dm-crypt 特定要点。
- /设备加密
- 介绍如何通过 cryptsetup 命令手动使用 dm-crypt 加密系统。它涵盖了加密选项的示例,处理密钥文件的创建,用于密钥管理以及备份和还原的 LUKS 特定命令。
- /系统配置
- 说明了在加密系统时如何配置 mkinitcpio、内核参数和 crypttab 文件。
- /交换分区加密
- 介绍如何向加密系统添加交换分区,因为交换分区也必须加密,以保护系统换出的任何数据。本部分详细介绍了不带和带挂起到磁盘支持的方法。
- /特殊功能
- 处理特殊操作,例如保护未加密的启动分区、使用 GPG 或 OpenSSL 加密的密钥文件、一种通过网络启动和解锁的方法、另一种用于为 SSD 设置 discard/TRIM 的方法,以及处理加密 hook 和多磁盘的部分。
- /登录时挂载
示例场景
- /加密非根文件系统
- 如果您需要加密不用于启动系统的设备,例如分区或文件容器。
- /加密整个系统
- 如果您想加密整个系统,特别是根分区。涵盖了几种场景,包括将 dm-crypt 与 LUKS 扩展、plain 模式加密以及加密和 LVM 结合使用。
参见
- dm-crypt - 项目主页
- cryptsetup - LUKS 主页和 FAQ - 主要和最重要的帮助资源。