dm-crypt
(重定向自 LUKS)
dm-crypt 是 Linux 内核的 device mapper 加密目标。来自 Wikipedia:dm-crypt,它是
- 它是 Linux 内核中一个透明的磁盘加密子系统……[它]被实现为设备映射器目标,并且可以堆叠在其他设备映射器转换之上。因此,它可以加密整个磁盘(包括可移动媒体)、分区、软件 RAID 卷、逻辑卷以及文件。它表现为一个块设备,可以用于支持文件系统、交换分区或作为 LVM 物理卷。
用法
- /驱动器准备
- 涉及诸如安全擦除驱动器以及 dm-crypt 关于对其进行分区的特定要点等操作。
- /设备加密
- 介绍如何通过 cryptsetup 命令手动使用 dm-crypt 加密系统。它涵盖了加密选项的示例,涉及密钥文件的创建、用于密钥管理以及备份和恢复的 LUKS 特定命令。
- /系统配置
- 说明了在加密系统时如何配置 mkinitcpio、内核参数和 crypttab 文件。
- /交换分区加密
- 介绍如何将交换分区添加到加密系统,因为交换分区也必须加密,以保护系统换出的任何数据。本部分详细介绍了不使用和使用挂起到磁盘支持的方法。
- /特殊功能
- 涉及特殊操作,例如保护未加密的启动分区、使用 GPG 或 OpenSSL 加密密钥文件、通过网络启动和解锁的方法、另一种用于为 SSD 设置 discard/TRIM 的方法,以及处理encrypt hook 和多个磁盘的部分。
- /登录时挂载
示例场景
- /加密非根文件系统
- 如果你需要加密一个不用于启动系统的设备,例如分区或文件容器。
- /加密整个系统
- 如果你想加密整个系统,特别是根分区。涵盖了几种场景,包括使用带有 LUKS 扩展的 dm-crypt、plain 模式加密以及加密和 LVM。
参见
- dm-crypt - 项目主页
- cryptsetup - LUKS 主页和 FAQ - 主要和最重要的帮助资源。