云硬盘分区加密技巧

在服务器主机关机时，外人可以轻易的用u盘启动机器，并夺取root权限，则Linux系统的权限系统形同虚设。或者更直接的，拿走硬盘，附加在另一台主机上，读取资料。

有一个终极办法，可以保证硬盘内的资料即使在关机状态内被复制，别人也无法读取。

一个最简单的办法在Linux安装时，对整个硬盘加密。

如果你拿到的云主机无法实现这一措施unix 分区加密，那么先分区，再对分区加密是比较好的方法。所用的加密工具是Linux自带的LUKS工具。

如图,之前已经用救援盘给原系统分好了区,系统装载在vda1里，而新建的vda5区什么都没有。我们要对/dev/vda5进行加密，这层加密相当于建了一层壳，真正要读取该区需要先用密码剥去这层壳，才读得出来里面的内容，也才能对其进行有意义的写操作，包括进行格式化。

一） 分区加密并加迷彩

# yum install cryptsetup

安装完成后，可以 man cryptsetup来查看帮助。它和LUKS是配套的。

在加密之前，先对/dev/vda5进行迷彩化，刷5遍01数据：

# shred –v –n 5 /dev/vda5

这是个漫长的过程，所以用verbose选项来提示进度。

迷彩化是对分区加密的额外一道防线。它让整个分区更难被破译。

现在进行加密：

# cryptsetup luksFormat /dev/vda5

这个密码得8位以上，还不能太简单，否则会被拒绝。

用单词也不行，看来得用比较复杂的。至于怎么设计复杂的密码请自行搜索。

如果一切顺利，则加密完毕后，没有出错信息，直接回到提示行。

二） 打开分区并格式化

打开分区，并对分区起名，我命名为secpart，秘密分区之意。

输入密码。

secpart现在出现在/dev/mapper目录下

这时候，这个已经被解密的分区不再叫作原来的/dev/vda5,而是叫做

/dev/mapper/secpart

那么，格式化的是该元件

# mkfs.ext4 /dev/mapper/secpart

之后关闭该解密分区

三） 加载与卸载文件系统

我们知道，Linux的文件系统是凌驾于硬盘之上的。我们若想在解密硬盘里读写文件，必须先把该硬盘整个映射到一个文件夹，才能进入该文件夹，并读写文件。这个过程即“挂载”。读取U盘和光盘也是同样的原理。

首先建立一个文件夹：

# cd /
# mkdir secdata

重新解密硬盘并命名解密硬盘名，再挂到该文件夹上：

# cryptsetup luksOpen /dev/vda5 secpart
……
# mount /dev/mapper/secpart /secdata

现在在该文件夹里新建一个空文件：

# cd /secdata
# touch hello.txt
# ls

现在反向操作，将挂载和解密解除：

先退出当前文件夹，再把该文件夹解挂载：

现在因为解挂载了该目录，这个文件就找不到了，然而只要在/dev/mapper里还有secpart这个解密分区识别，就可以重新挂载到任意目录上，识别里面的数据和文件。

接着使用luksClose把secpart解密分区也关闭：

两步卸载过程可以用直接关机或重启替代，在重启或关机后无论是文件夹挂载还是分区解密，都等同于卸掉了。只剩下逻辑加密分区，标注了是加密的，不知道密码则无法读取：

这样就实现了重要资料的终极安全。

硬盘分区的方法请见本专栏内的其它文章。

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!