centos7使用luks对磁盘进行加密

一、简介

?

1 2	LUKS （Linux Unified Key Setup）是 Linux 硬盘加密的标准。 通过提供标准的磁盘格式，它不仅可以促进发行版之间的兼容性，还可以提供对多个用户密码的安全管理。 与现有解决方案相比，LUKS 将所有必要的设置信息存储在分区信息首部中，使用户能够无缝传输或迁移其数据。

二、安装命令行工具

?

1 2	[root@ldap01 ~]# yum install cryptsetup [root@ldap01 ~]# cryptsetup --help

三、格式化LUKS 设备

?

1 2 3 4 5 6 7 8 9

[root@ldap01 ~]# cryptsetup luksFormat /dev/sdb  #格式化一个 LUKS 设备，设备路径是/dev/sdb根据实际情况替换，注意格式化会删除所有数据   WARNING! ======== 这将覆盖 /dev/sdb 上的数据，该动作不可取消。   Are you sure? (Type uppercase yes): YES    #写入大写的YES 输入 /dev/sdb 的口令：        #密码，也是Kickstart中--passphrase参数的值，不得小于8位 确认密码：

四、打开LUKS 设备

?

1 2 3 4 5 6

[root@ldap01 ~]# cryptsetup open /dev/sdb myluksdisk   #打开一个LUKS设备，也可以使用cryptsetup luksOpen打开，luksOpen是旧命令 输入 /dev/sdb 的口令： [root@ldap01 ~]# ll /dev/mapper/myluksdisk  [root@ldap01 ~]# mkfs.xfs /dev/mapper/myluksdisk        #注意此处格式化的是逻辑设备地址 [root@ldap01 ~]# mount /dev/mapper/myluksdisk /mnt [root@ldap01 ~]# mkdir /mnt/test  #写入数据

五、关闭LUKS 设备

?

1 2	[root@ldap01 ~]# umount /mnt [root@ldap01 ~]# cryptsetup close /dev/mapper/myluksdisk

六、重新打开LUKS设备

?

1 2 3

[root@ldap01 ~]# cryptsetup open /dev/sdb myluksdisk2  #每次打开的名次可以不一样 输入 /dev/sdb 的口令： [root@ldap01 ~]# mount /dev/mapper/myluksdisk2 /mnt

七、自动挂载LUKS 设备

?

1 2 3 4 5 6 7 8 9

[root@ldap01 ~]# dd if=/dev/urandom of=/etc/luks_password bs=4096 count=1  [root@ldap01 ~]# chmod 600 /etc/luks_password [root@ldap01 ~]# cryptsetup luksAddKey /dev/sdb /etc/luks_password  #向 LUKS 设备添加密钥,注意此处是块设备路径不是LUKS逻辑设置路径 输入任意已存在的口令: [root@ldap01 ~]# cat /etc/crypttab      #配置认证秘钥 myluksdisk2 /dev/sdb /etc/luks_password [root@ldap01 ~]# tail -1 /etc/fstab #配置开机自动挂载 /dev/mapper/myluksdisk2 /mnt            xfs defaults        1 0 [root@ldap01 ~]# reboot

八、Kickstart文件设置自动加密

?

1 2 3

Kickstart 添加 --encrypted  --passphrase两个参数，passphrase值为明文 示例： part /boot --fstype="xfs" --size=300 --encrypted  --passphrase=Qwer1234

参考链接：https://fedoraproject.org/wiki/Disk_Encryption_User_Guide/zh-cn