dm-crypt加密磁盘
dm-crypt加密磁盘
zphj1987dm-cry加密方式密码与文件
与其它创建加密文件系统的方法相比,dm-crypt系统有着无可比拟的优越性:它的速度更快,易用性更强。除此之外,它的适用面也很广,能够运行在各种块设备上,即使这些设备使用了RAID和 LVM也毫无障碍。
如果看到类似下面的输出,说明AES模块已经加载了。
1 | cat /proc/crypto |
否则可以用modprobe命令来手工加载AES模块。
1 | modprobe aes |
检查dmsetup软件包是否已经建立了设备映像程序,用如下命令:
1 | ls -l /dev/mapper/control |
检查dm-crypt内核模块是否加载
1 | [root@node1 mnt]# dmsetup targets |
这说明系统已经为加密设备做好了准备。如果没有输出,可以用如下命令来加载dm-crypt模块。
1 | modprobe dm-crypt |
建立加密设备
这里用 fdisk命令来创建需要加密的磁盘,怎么创建磁盘这里不再冗述。假设这里创建好的磁盘分区是/dev/sdb1
1 | cryptsetup -y create sdb_cry /dev/sdb1 |
sdb_cry是逻辑卷的名称。输入上面命令后,还要输入2次密码,这个密码就是磁盘加密的密码。请牢记!
创建好后,用下面命令检查所建立的逻辑卷:
1 | [root@node1 ~]# dmsetup ls |
device-mapper会把它的虚拟设备装载到/dev/mapper下面,所以,你的虚拟块设备应该是/dev/mapper/sdb_cry,尽管用起来和其他块设备没什么不同,实际上它却是经过透明加密的。
创建文件系统:
1 | [root@node1 ~]# mkfs.xfs /dev/mapper/sdb_cry -f |
装载加密磁盘:
1 | [root@node1 ~]# mount /dev/mapper/sdb_cry /mnt |
卸载加密设备
1 | #cryptsetup remove sdb_cry |
重新加载加密设备
1 | [root@node1 ~]# cryptsetup create sdb_cry /dev/sdb1 |
这里重新挂载会要求输入密码,密码输入不正确,设备会映射过去,但是找不到文件系统,是无法看到数据的
重新挂载
1 | mount /dev/mapper/sdb_cry /mnt |
注意 cryptsetup -y create sdb_cry /dev/sdb1 会重新为磁盘设置新的密码,只要不对磁盘进行格式化,即使设置了新的密码,同样是看不到数据的,设置了新的密码后,只要不格式化,还是能够使用旧的密码来对磁盘进行挂载的
以上为采用密码加密磁盘的方式
使用luks方式的加密
1 | cryptsetup -y -v luksFormat /dev/sdb1 |
输入大写的YES,小写不行
1 | cryptsetup isLuks /dev/sdb1 |
判断设备
1 | cryptsetup luksOpen /dev/sdb1 sdb1_luks |
映射设备到/dev/mapper/下面
卸载
1 | cryptsetup remove sdb1_luks |
再次加载
1 | cryptsetup isLuks /dev/sdb1 |
采用文件方式的加密
创建加密设备,并指定的文件
1 | cryptsetup --key-file /etc/ceph/key/UUID --key-size 256 create sdb1_cry /dev/sdb1 |
使用上面的命令后会在/dev/mapper/下生成对应设备
然后格式化使用设备即可
卸载设备
1 | cryptsetup remove sdb1_cry |
需要再次使用就
1 | cryptsetup --key-file /etc/ceph/key/UUID --key-size 256 create sdb1_cry /dev/sdb1 |
