Linux下对分区进行加密是完全可行的,而业界最主流的方案非LUKS(Linux Unified Key Setup)莫属。该标准为磁盘分区提供透明的加密机制——加密后的分区在挂载后使用起来与普通分区无异,当然必须先输入正确的密码进行解锁。接下来将详细介绍具体的实操步骤。
安装必要工具
大多数Linux发行版默认未安装
cryptsetup,需要手动安装:sudo apt-get install cryptsetup如果是其他包管理器,比如
yum、dnf或pacman,思路一样,安装这个包即可。创建加密卷
首先,将目标分区格式化为LUKS加密容器:
sudo cryptsetup luksFormat /dev/sdXY其中的
/dev/sdXY代表你要加密的分区(例如/dev/sda3)。执行命令后会提示确认,然后需要输入并验证加密密码——请注意,密码丢失后无法恢复,务必妥善保管。打开加密卷
创建完成后,加密容器仅仅是一个外壳,内部为空,必须先“打开”才能写入数据:
sudo cryptsetup luksOpen /dev/sdXY my_encrypted_volume输入之前设置的密码后,系统会在
/dev/mapper下创建一个名为my_encrypted_volume的逻辑设备。此后,对该逻辑设备的所有读写操作都将由内核自动进行加解密。格式化加密卷
现在可以像操作普通硬盘一样,在加密卷上创建文件系统。例如格式化为ext4:
sudo mkfs.ext4 /dev/mapper/my_encrypted_volume当然,也可以选择xfs、btrfs等其他文件系统,根据个人需求决定。
挂载加密卷
格式化完成后,将其挂载到某个目录即可正常使用:
sudo mount /dev/mapper/my_encrypted_volume /mnt/encrypted请确保提前创建好挂载点目录
/mnt/encrypted。配置自动挂载(可选)
如果需要每次开机时自动挂载加密卷(仍需输入密码解锁),则需编辑两个配置文件:
首先在
/etc/crypttab中添加一行,指定需要解密的加密分区。然后在/etc/fstab中添加对应的映射设备挂载选项。具体配置方法可在网上找到大量示例,但需确保两个文件中的映射名称和挂载路径保持一致。
完成上述步骤后,你的敏感数据将获得硬件级别的加密保护。在日常使用中,只需养成每次开机多输入一次密码的习惯,即可在安全性和便利性之间取得良好平衡。
