Ubuntu Stream8如何进行数据加密

Ubuntu 22.04 LTS 数据加密实用指南

说明与准备

• 你提到的“Ubuntu Stream8”通常指的是 Ubuntu 22.04 LTS（Jammy Jellyfish）。以下方法在该版本上均适用。
• 加密前务必做好完整备份；加密操作会清除目标分区数据（如执行 LUKS 格式化）。
• 建议先确认设备名（如 /dev/sda2、/dev/sdb1），可用 lsblk 查看；全程使用 sudo 提权。

场景一 分区或磁盘级加密 LUKS

• 安装工具并初始化加密分区（以下以 /dev/sda2 为例，操作会清空该分区数据）：

  sudo apt update
  sudo apt install cryptsetup
  sudo cryptsetup luksFormat /dev/sda2
  

• 打开加密卷并创建文件系统：

  sudo cryptsetup luksOpen /dev/sda2 my_encrypted
  sudo mkfs.ext4 /dev/mapper/my_encrypted
  

• 挂载使用：

  sudo mkdir -p /mnt/encrypted
  sudo mount /dev/mapper/my_encrypted /mnt/encrypted
  

• 卸载与关闭：

  sudo umount /mnt/encrypted
  sudo cryptsetup luksClose my_encrypted
  

• 如需开机自动解锁与挂载，先获取分区 UUID：sudo blkid /dev/sda2，然后配置：
  • /etc/crypttab

    my_encrypted UUID=<你的UUID> none luks
    

  • /etc/fstab

    /dev/mapper/my_encrypted  /mnt/encrypted  ext4  defaults  0  2
    

• 图形化方式：打开“Disks”（磁盘）应用，选择目标分区 → 右上角齿轮 → “格式化加密分区”，按向导设置密码完成加密。

场景二 目录级加密 eCryptfs（适合家目录或特定目录）

• 安装工具并创建加密目录：

  sudo apt install ecryptfs-utils
  mkdir ~/encrypted_dir
  

• 挂载为加密层（首次会提示选择算法、密钥方式等，建议选择 aes 与 passphrase 模式）：

  sudo mount -t ecryptfs ~/encrypted_dir ~/encrypted_dir
  

• 使用与卸载：

  # 使用：向 ~/encrypted_dir 写入的文件会自动加密
  sudo umount ~/encrypted_dir  # 卸载后内容不可直接访问
  

• 家目录加密可用 ecryptfs-setup-private 向导完成（按提示设置登录密码与挂载密码）。

场景三 文件级加密（便携与分享）

• GnuPG（公钥/对称加密，适合单文件或归档）
  • 安装：sudo apt install gnupg
  • 公钥加密（收件人用其私钥解密）：

    gpg --output doc.gpg --encrypt --recipient 收件人邮箱 文档.pdf
    

  • 对称加密（同一口令解密）：

    gpg --output doc.gpg --symmetric --cipher-algo AES256 文档.pdf
    

  • 解密：

    gpg --output 文档.pdf --decrypt doc.gpg
    

• OpenSSL（对称加密，快速命令行）
  • 加密：

    openssl enc -aes-256-cbc -salt -in 文档.pdf -out 文档.pdf.enc -pass pass:你的口令
    

  • 解密：

    openssl enc -d -aes-256-cbc -in 文档.pdf.enc -out 文档.pdf -pass pass:你的口令
    

• 7-Zip（压缩包加密，跨平台）
  • 安装：sudo apt install p7zip-full
  • 加密压缩：

    7z a -p你的口令 -mhe=on 归档.7z 文档.pdf
    

  • 解压：

    7z x -p你的口令 归档.7z -o输出目录
    

• 跨平台容器：如需在 Windows/macOS/Linux 间共享加密卷，可用 VeraCrypt 创建加密容器或加密分区，图形界面操作直观。

注意事项与最佳实践

• 密码/口令是恢复数据的唯一凭证，请妥善保存（建议使用密码管理器）；丢失将无法解密。
• 加密会带来一定性能开销（CPU 加解密），对 SSD 影响通常较小，机械盘更明显。
• 自动挂载涉及密钥解锁，确保仅在可信环境启用；服务器场景谨慎配置开机自动解锁。
• 任何写入操作前先做备份；对正在使用的系统盘做 LUKS 加密风险较高，建议在全新安装或离线环境下实施。