温馨提示×

登 录 注册有礼
云服务器 香港服务器 高防服务器
最新更新 网站标签 地图导航
产品

Ubuntu分区如何进行加密保护

小樊
36
2025-12-27 23:53:46
栏目: 网络安全

Ubuntu 分区加密保护实操指南

一、方案总览与选择

  • LUKS + dm-crypt(推荐):Linux 主流磁盘加密方案,内核原生 dm-crypt 提供块设备加密,cryptsetup 负责密钥与口令管理,支持 AES-XTS 等算法,适合加密系统盘或数据盘分区。
  • 文件级加密(eCryptfs、GnuPG):对特定目录或文件加密,无需改动分区结构,适合用户主目录或少量敏感文件。
  • 容器/跨平台(VeraCrypt):创建加密容器或加密分区,支持多平台,适合移动介质或跨系统共享。
  • 重要限制:LUKS 不能直接对已有数据“原地加密”,需先准备空白分区/磁盘,再迁移数据;操作前务必完整备份

二、LUKS 加密分区实操步骤

  • 准备与安装
    • 备份数据;确认目标为空白分区(如 /dev/sdXn),避免误写系统盘关键分区。
    • 安装工具:sudo apt-get update && sudo apt-get install cryptsetup
  • 创建加密分区
    • 执行:sudo cryptsetup luksFormat /dev/sdXn(输入强口令,建议使用 AES-XTS 类算法)
  • 打开并格式化
    • 打开:sudo cryptsetup luksOpen /dev/sdXn my_encrypted
    • 格式化:sudo mkfs.ext4 /dev/mapper/my_encrypted
    • 挂载:sudo mkdir -p /mnt/encrypted && sudo mount /dev/mapper/my_encrypted /mnt/encrypted
  • 关闭与卸载
    • sudo umount /mnt/encrypted && sudo cryptsetup luksClose my_encrypted
  • 可选:开机自动解锁与挂载
    • 编辑 /etc/crypttabmy_encrypted /dev/sdXn none luks
    • 编辑 /etc/fstab/dev/mapper/my_encrypted /mnt/encrypted ext4 defaults 0 2
    • 提示:若需远程解锁,可配置 Dropbear/initramfs 或使用 TPM2/密钥文件方案(进阶)。

三、其它常见场景

  • 加密容器文件(无需改分区表)
    • 创建空镜像:dd if=/dev/zero of=~/secure.img bs=1M count=1024
    • 加密并打开:sudo cryptsetup luksFormat ~/secure.imgsudo cryptsetup luksOpen ~/secure.img secure_vol
    • 格式化与挂载:sudo mkfs.ext4 /dev/mapper/secure_volsudo mount /dev/mapper/secure_vol /mnt/secure
  • eCryptfs 加密用户目录(文件级)
    • 安装:sudo apt-get install ecryptfs-utils
    • 启用:ecryptfs-setup-private(按向导设置登录口令与挂载选项)
  • 单文件/归档加密(GnuPG)
    • 对称加密:gpg --symmetric 文件名;解密:gpg -d 文件名.gpg > 文件名
  • 跨平台容器(VeraCrypt)
    • 安装:sudo apt-get install veracrypt
    • 创建与挂载:图形界面选择“Create Volume”,或命令行 veracrypt --create;挂载后像普通目录使用。

四、安全与性能要点

  • 口令与密钥管理:使用高强度口令;可配置 LUKS 密钥槽(key slot) 添加密钥文件,便于自动化解锁(需妥善保护密钥文件)。
  • 性能影响:现代 CPU 的 AES-NI 等加速使加密开销通常可接受,但在高 IOPS 场景仍会占用一定 CPU;建议结合工作负载评估。
  • 备份与恢复:加密后丢失口令/密钥将无法恢复;定期备份关键数据及必要的头信息(如 cryptsetup luksHeaderBackup)。
  • 适用边界:LUKS 不能直接原地加密已有分区;如需加密系统盘,通常在安装阶段使用 Ubiquity 安装器的加密选项或采用 LVM on LUKS 方案。

五、常见问题与排错

  • 设备名变化导致开机失败:优先使用 UUID/dev/disk/by-id//etc/crypttab/etc/fstab 中引用,避免 sda/sdb 变动引发挂载错误。
  • 忘记口令/丢失密钥:数据不可恢复,请依赖备份与密钥托管策略。
  • 无法打开设备:确认分区未挂载、未被占用;必要时用 lsblkcryptsetup status 检查状态。
  • 远程开机解锁:服务器场景可结合 DropbearTPM2 解锁方案,确保网络与权限安全。

0

最新问答

相关问答

相关标签

ubuntu云服务器 ubuntu18.04 ubuntu端口 Ubuntu14 ubuntu16.04 Ubuntu14.04 ubuntu20.04 ubuntu18 ubuntu20 ubuntu20.4 ubuntu16 ubuntu代理 ubuntu连接服务器 ubuntu中文输入法 ubuntu安装gcc ubuntu手机系统 ubuntu关机 ubuntu关闭防火墙 ubuntu安装jdk Ubuntu免费云主机
产品服务
地区划分
专题活动
帮助支持
关于我们
售后咨询
7*24小时在线电话:400-100-2938
7*24小时在线 QQ:800811969
关注亿速云

亿速云公众号

手机网站二维码

Copyright © Yisu Cloud Ltd. All Rights Reserved. 2018 版权所有

广州亿速云计算有限公司粤ICP备17096448号-1 粤公网安备 44010402001142号增值电信业务经营许可证编号:B1-20181529