在 Ubuntu 系统中配置加密磁盘,LUKS(Linux Unified Key Setup)是最常用的方案。作为一套标准化的磁盘加密框架,LUKS 使用起来并不复杂,但需要理清操作步骤。下面将整个过程拆解说明,并分享几个实践中的关键细节。

1. 安装必要的工具
开始操作前,请确保系统已安装 cryptsetup。这是管理 LUKS 加密的核心工具,没有它后续操作无法进行。执行以下命令即可完成安装:
sudo apt update
sudo apt install cryptsetup
注意:如果使用的是较旧版本的 Ubuntu,建议先更新软件源,避免依赖问题。
2. 打开加密磁盘
假设加密磁盘的设备名为 /dev/sdb1(具体设备名可通过 lsblk 或 fdisk -l 确认)。使用 cryptsetup luksOpen 命令将加密卷解锁:
sudo cryptsetup luksOpen /dev/sdb1 my_encrypted_disk
此处的 my_encrypted_disk 是自行命名的加密卷名称,后续挂载时会用到。执行命令后系统会提示输入加密时设置的密码,密码正确才能成功打开。
3. 格式化加密卷(如果需要)
打开后,加密卷会映射到 /dev/mapper/my_encrypted_disk 设备。如果该磁盘是全新的、尚未创建文件系统,则需要先进行格式化。例如,格式化为常用的 ext4 文件系统:
sudo mkfs.ext4 /dev/mapper/my_encrypted_disk
如果磁盘已有数据或已格式化过,这一步可以跳过,直接进入挂载环节。
4. 挂载加密卷
首先创建挂载点目录,例如 /mnt/my_encrypted_disk,然后挂载加密卷:
sudo mkdir -p /mnt/my_encrypted_disk
sudo mount /dev/mapper/my_encrypted_disk /mnt/my_encrypted_disk
挂载成功后,即可在 /mnt/my_encrypted_disk 目录下正常读写数据。
5. 自动挂载(可选)
若希望每次开机自动挂载该加密卷,需要配置两个文件:/etc/crypttab(用于指定系统启动时的解锁方式)和 /etc/fstab(用于指定挂载规则)。
编辑 /etc/crypttab,添加一行:
my_encrypted_disk /dev/sdb1 none luks
none 表示启动时需要手动输入密码;如果持有密钥文件,可将其路径替换 none。
编辑 /etc/fstab,添加一行:
/dev/mapper/my_encrypted_disk /mnt/my_encrypted_disk ext4 defaults 0 2
注意:自动挂载时,系统会在启动过程中等待用户输入密码。如果服务器无交互界面,建议使用密钥文件或网络解锁方案,此处不再展开。
6. 关闭加密卷
使用完毕后,请先卸载文件系统,再关闭加密卷:
sudo umount /mnt/my_encrypted_disk
sudo cryptsetup luksClose my_encrypted_disk
如果未先卸载直接执行 luksClose,会提示设备忙错误。
总结
以上即为 Ubuntu 系统挂载 LUKS 加密磁盘的完整流程。实际操作中,最容易忽略的是设备名的确认以及密码输入时的注意事项——密码区分大小写且无回显,容易输入错误。自动挂载虽方便,但开机时需如期输入密码,否则系统会卡住等待。选择哪种方式取决于个人需求。总之,数据安全方面多花几分钟配置,后续就能少一份担忧。
