在 Linux 上创建加密文件库
使用 Linux 统一密钥设置为物理驱动器或云存储上的敏感文件创建加密保管库。
最近,我演示了如何使用 LUKS 和 cryptsetup 命令在 Linux 上实现全驱动器加密。虽然加密整个驱动器在许多情况下很有用,但出于某些原因您可能不想对整个驱动器进行编码。例如,您可能需要一个驱动器能够跨多个平台工作,其中一些平台可能没有 Linux 统一密钥设置 (LUKS) 集成。此外,现在是 21 世纪,云已经存在,您可能不会使用物理驱动器来存储所有数据。
几年前,有一个名为 TrueCrypt 的系统,允许用户创建加密文件“库”,TrueCrypt 可以解密该文件以提供读/写访问权限。这是一项有用的技术,本质上提供了一个虚拟便携式且完全加密的驱动器,您可以在其中存储重要数据。 TrueCrypt 关闭了,但它是一个有趣的模型。
幸运的是,LUKS 是一个灵活的系统,您可以使用它和 cryptsetup 将加密保管库创建为独立文件,您可以将其保存在物理驱动器或云存储中。
以下是具体操作方法。
1.创建一个空文件
首先,您必须创建一个预定大小的空文件。这充当一种保险库或保险箱,您可以在其中存储其他文件。为此使用的命令是 fallocate,来自 util-linux 包:
$ dd if=/dev/urandom of=vaultfile.img bs=1M count=512此示例创建一个 512MB 的文件,但您可以将其设置为任意大小。
(使用 /dev/urandom 作为填充数据的来源可确保十六进制转储无法区分实际数据和空白空间。)
2. 创建LUKS卷
接下来,在空文件中创建 LUKS 卷:
$ cryptsetup --verify-passphrase \
luksFormat vaultfile.img3.打开LUKS卷
为了创建一个可供文件存储使用的文件系统,您必须首先打开 LUKS 卷并将其安装到您的计算机上:
$ sudo cryptsetup open \
--type luks vaultfile.img myvault
$ ls /dev/mapper
myvault4. 创建文件系统
在打开的保管库中创建一个文件系统:
$ sudo mkfs.ext4 -L myvault /dev/mapper/myvault如果您现在不需要它,可以将其关闭:
$ sudo cryptsetup close myvault5. 开始使用您的加密保管库
现在一切都已设置完毕,您可以在需要存储或访问私人数据时使用加密文件库。要访问您的保管库,您必须将其安装为可用的文件系统:
$ sudo cryptsetup open \
--type luks vaultfile.img myvault
$ ls /dev/mapper
myvault
$ sudo mkdir /myvault
$ sudo mount /dev/mapper/myvault /myvault此示例使用 cryptsetup 打开保管库,然后将保管库从 /dev/mapper 装载到名为 /myvault 的新目录。与 Linux 上的任何卷一样,您可以将 LUKS 卷挂载到任何您想要的位置,因此您可以使用 /mnt 或 ~/myvault<,而不是 或任何你喜欢的内容。/myvault
安装后,您的 LUKS 卷将被解密。您可以向其中读取和写入文件,就像它是物理驱动器一样。
使用完加密保管库后,卸载并关闭它:
$ sudo umount /myvault
$ sudo cryptsetup close myvault加密文件库
使用 LUKS 加密的图像文件与任何其他文件一样可移植,因此您可以将保管库存储在硬盘驱动器、外部驱动器甚至互联网上。只要您有可用的 LUKS,您就可以解密、挂载并使用它来保证您的数据安全。它可以轻松加密以提高数据安全性,所以请尝试一下。