我们时不时地能看到这样的头条:“某公司损失了3千万客户的个人社会安全码,以及其他个人信息还有财务数据!我们不该愤怒吗?”通常都是“承包商”(注意为什么从来都不会是雇员)在他的(似乎是)带有千兆硬盘的笔记本上存储了所有这些信息,
我们时不时地能看到这样的头条:“某公司损失了3千万客户的个人社会安全码,以及其他个人信息还有财务数据!我们不该愤怒吗?”通常都是“承包商”(注意为什么从来都不会是雇员)在他的(似乎是)带有千兆硬盘的笔记本上存储了所有这些信息,然后这个笔记本丢失或者被盗走了,但是没有人知道准确的时间和地点。或者是,某个供应商负责运输一大盒备份磁带,而显然这个供应商“太穷了”,连带有防盗锁的汽车都买不起。对我来说,这些解释都是无稽之谈,甚至是荒谬;承包商怎么会最先获得所有的数据?为什么他们需要把所有的数据放到笔记本上?为什么要让买不起高安全性能的汽车的那些人来运送一大盒的信息备份磁带呢?他们怎么会知道丢失了哪些数据,怎么会知道这些数据是否被加密或者究竟有没有被妥善保护?   还真是有不少无法回答的问题。本文的主题就是如何用加密文件系统在硬盘中保护数据。这个方案是提供给那些移动用户和需要在服务器和工作站中保护数据安全的人们的。我们将使用既简单又功能强大的cryptsetup-luks。我们会创建一个加密的分区,只需在装载时提供口令。然后你就可以像其他分区一样地使用该分区了。   Debian,Ubuntu,还有Fedora都可以用cryptsetup-luks了。你不需要修改内核或者其他任何东西;你只要安装就行了。   Debian和Ubuntu 系列上:   # aptitude安装cryptsetup   在Fedora上:   #yum安装cryptsetup-luks   让系统做好准备   不幸的是,cryptsetup不能给你系统中现有的数据加密;因此你必须创建加密的分区,然后将数据转移到新建的分区中。用GParted(Gnome分区编辑器)来管理分区很方便,所有主流的Linux版本上都有GParted。你可以用它重新设置分区大小、移动、删除或者创建分区,并且可以选择自己喜欢的文件系统格式化方式。它能够支持你系统内核所支持的所有的分区类型以及文件系统,因此如果你机器上是双系统的话,你甚至可以在Windows分区上使用该工具。如果是新的硬盘分区上的话,你可以用Gparted live CD。   本文中我们只探讨怎样给数据分区加密。我也知道许多方法可以给其他文件系统的、保存了潜在的信息的那些分区加密,比如/var和/etc,但是这两个都很复杂并且刁钻,它们都不能能在启动的时候加密。因此,我这里只讨论现有的比较成熟的这些,因为根据我自己的测试,其他那些方法还无法稳定工作。   你用一种文件系统将分区格式化并没有什么关系,所有东西都可以重写,加密后文件格式也是可变的。   你将用密码来保护你的加密分区。如果你把密码弄丢了,那就太不幸了,你就无法取回这些数据了。   给分区加密   有了新的空白分区后,你可以用cryptsetup命令来给它加密。注意一定确保是在加密要保护的那个分区:   # cryptsetup --verbose --verify-passphrase -c aes-cbc-plain luksFormat /dev/sda2   当心!   这将把不可逆转地改写/dev/sda2 上的数据。   Are you sure? (Type uppercase yes): YES   Enter LUKS passphrase:   Verify passphrase:   Command successful.   以上命令创建加密的分区。现在我们需要创建可以装载的逻辑分区,并给它命名。本例中,我们给它命名为sda2,你也可以叫它test、fred、我的秘密分区或者任何你喜欢的名字:   # cryptsetup luksOpen /dev/sda2 sda2   Enter LUKS passphrase:   key slot 0 unlocked.   Command successful.   如下命令将显示/dev/mapper路径中的隐藏设备:   $ ls -l /dev/mapper   total 0   crw-rw---- 1 root root 10, 63 2007-06-09 18:38 control   brw-rw---- 1 root disk 254, 0 2007-06-09 19:46 sda2   现在把文件系统放到逻辑分区上:   # mkfs.ext3 /dev/mapper/sda2   你需要做一个装载点,这样你就能装载并且使用这个新的、加密过的分区了。记住,你必须从/dev/mapper/路径下使用该设备。我会把它放在根目录下。注意哪些需要根权限的操作:   $ mkdir /home/me/crypted   # mount /dev/mapper/sda1 /home/me/crypted   确保它被装载了,编写一个测试文件:   # df -H   [...]   Filesystem Size Used Avail Use% Mounted on   /dev/mapper/sda2 7.9G 152M 7.3G 3% /home/carla/crypted   # cd /home/me/crypted   # nano test   # ls   lost found test   让它对用户可用   到目前为止一切顺利!但还有一个大问题:只有本地才能访问该分区。我们得让普通用户也能使用它。你可以在/etc/fstab中能够管理这个虚拟分区,就像管理其他分区一样。往/etc/fstab中加入一行,以便允许没有特殊权限的用户来加载或者卸载该分区:   /dev/mapper/sda2 /home/carla/crypted ext3 user,atime,noauto,rw,dev,exec,suid 0 0   这样Carla可以自己加载这个分区了:   $ mount ~/crypted   但是Carla仍然无法往其中写入数据。因此我们再次需要设置本地权限,把正确的权限和许可方如已经加载的隐藏设备:   # chown carla:carla /home/carla/crypted/   # chmod 0700 /home/carla/crypted/   好了那么,很多人都可以像Carlas一样了!但是我们需要让Carla读写一些加密的文件夹,而让其他人无法读写这些文件夹。   你可以卸载并且手动关闭加密分区:   $ umount crypted   # cryptsetup luksClose sda2   只有在打开加密设备的时候,你才需要输入LUKS密码。记住,如果丢了密码,你就完蛋了。你可以删除分区重新再来,但是数据是无法恢复的。打开加密设备并加载以后,你就可以像使用其它分区一样使用它了。   你得用本地权限来运行cryptsetup。这对用户来说可能不是很方便。我们也有很多针对这个问题的解决方法。其中一种就是使用sudo;Ubuntu用户有现成的全功能的sudo。另一种方法是把它设置成在系统启动的时候开启,并在系统关闭的时候关闭。或者你也可能想要创建一些桌面图标,以便让用户可以随时按需要启动和关闭它。
最新资讯
疫情导致旅游业陷入大萧条 滴滴这时要抄底?

疫情导致旅游业陷入大

做旅游已经不是滴滴作为一家出行公司的第一次跨界,更早
滴滴悄悄成立一家旅行社

滴滴悄悄成立一家旅行

做旅游已经不是滴滴作为一家出行公司的第一次跨界,更早
好未来回应业务合并:受疫情影响战略调整

好未来回应业务合并:受

好未来一位内部人士告诉新浪科技,组织架构的调整在好未
RedmiBook发三款新品:全系锐龙4000芯 售3999元

RedmiBook发三款新品:

正式推出了三款RedmiBook锐龙版笔记本,包含RedmiBook16
QQ音乐回应"插播语音广告":非绿钻会员中进行的小批量测试

QQ音乐回应"插播语音

多位用户反馈称,在使用QQ音乐期间,歌曲切换时遭遇了自动
小外卖“点出”大公司,美团点评市值破1000亿美元!

小外卖“点出”大公司

美团CEO王兴在财报会上表示,短期盈利不是公司的最高优
最新文章
怎么破(kai)解(she)Webshell密码 Burpsuite破(kai)解(she)Webshell密码图文教程

怎么破(kai)解(she)Webshell密码

webshell是以asp、php、jsp或者cgi等网页文件形式存在
无需攻击lsass进程即可解密系统管理员密码

无需攻击lsass进程即

Lsass.exe是Windows系统中必不可少的一个进程,属于微软
另类破(kai)解(she)灰鸽子连接密码(图)

另类破(kai)解(she)灰鸽子连接密

灰鸽子对大家来说并不陌生吧,他强大的功能都令各位黑友
ACProtect Professional 1.3C 主程序脱壳(1)(图)

ACProtect Profession

脱壳过程感觉与UnpackingSaga的那个UnpackMe没有太大
Rar加密文件破(kai)解(she)实例(图)

Rar加密文件破(kai)解(she)实例(

对于一些安全意识比较强的人来说,一般都会对文件进行加
安全利刃 EFS的加密方法和解密必知

安全利刃 EFS的加密方

经常看到对文件和文件夹加密的文章,大多是安装各种软件