在 Ubuntu 中,“分卷”常见两类场景:一是对磁盘/分区做“分区”,二是对归档文件做“分卷压缩”。无论哪种,数据安全的核心在于:加密、完整性校验、可靠备份与恢复流程。
场景一 分区或整盘的数据安全
- 使用 LUKS 对分区/整盘加密:通过 cryptsetup luksFormat /dev/sdX 初始化加密容器,再用 cryptsetup luksOpen 打开为 /dev/mapper/name,随后格式化并挂载使用;LUKS 支持多密钥槽,便于密钥轮换与撤销。系统盘加密需分离 /boot,并在 initramfs 中配置解锁;为防灾难性损坏,务必备份 LUKS 头部:先获取头部大小(cryptsetup luksDump /dev/sdX 中的 Payload offset,单位 512B),再备份:dd if=/dev/sdX of=luks-header-backup.img bs=512 count=。若需擦除旧数据残留,可用 shred 或向映射设备写入随机数据(如 dd if=/dev/zero of=/dev/mapper/name),再重新创建文件系统。以上流程可在安装时启用全盘加密,或对已有分区在 Live 环境下操作。
场景二 分卷压缩时的数据安全
- 先加密再分卷(推荐):先用 GnuPG 对归档进行对称或公私钥加密(如 gpg -c file.tar.gz 生成 file.tar.gz.gpg),再用 split 分卷(split -b 100M file.tar.gz.gpg file.tar.gz.gpg.part-);传输/分发后,先 cat 合并再解密(cat file.tar.gz.gpg.part-* > file.tar.gz.gpg && gpg file.tar.gz.gpg)。也可用 VeraCrypt 创建加密容器或加密分区,再在容器内分卷归档,跨平台使用更友好。若仅做分卷不加密,数据在传输与落盘过程中缺乏机密性保护,不建议用于敏感信息。
通用安全与备份恢复要点
- 备份与验证:对关键分区/镜像可用 dd 或 ddrescue 制作备份,并用 md5sum/sha256sum 校验一致性;对文件系统数据可用 rsync 增量同步,或用 Timeshift(系统快照)、Deja Dup(用户文件)、Clonezilla(整盘镜像)执行可靠备份。分区/加密操作存在数据丢失风险,操作前务必完成完整备份并验证可恢复性。
