centos分区如何实现数据加密

CentOS 分区数据加密实现指南

一、方案总览与选择

• 推荐方案为 LUKS/dm-crypt：对整块分区或磁盘进行加密，解锁后通过 /dev/mapper/ 使用，适合服务器与工作站的数据卷、外接盘、新装系统的根分区加密。支持 LUKS2、密钥槽管理、密钥文件与 TPM 2.0 绑定等能力。
• 安装期加密：使用 Anaconda 安装器在系统安装时勾选加密选项，自动完成分区与 LUKS 配置，适合全新部署。
• 目录级加密：如仅需加密用户目录，可用 eCryptfs（登录时自动挂载）；若需文件级加密，可用 GnuPG 对单个文件/归档加密。
• 容器文件加密：使用 VeraCrypt 创建加密容器文件，便于跨平台与移动介质携带。
• 新文件系统场景：若使用 ext4 的 encrypt 特性，可结合 fscrypt 做目录级加密（内核 ≥ 4.11）。

二、标准流程 LUKS 加密一个数据分区

• 准备分区：用 fdisk/parted 创建新分区（如 /dev/sdb1），类型选 Linux filesystem（8300）。
• 安装工具：
  • CentOS 7：sudo yum install -y cryptsetup
  • CentOS 8/9：sudo dnf install -y cryptsetup
• 加密分区（建议使用 LUKS2）：
  • sudo cryptsetup luksFormat --type luks2 /dev/sdb1
  • 提示确认并输入强口令（建议 ≥ 20 字符，混合大小写、数字与符号）。
• 打开并映射：
  • sudo cryptsetup open /dev/sdb1 secure_data
  • 映射设备为 /dev/mapper/secure_data。
• 创建文件系统并挂载：
  • sudo mkfs.ext4 /dev/mapper/secure_data
  • sudo mkdir -p /mnt/secure_data
  • sudo mount /dev/mapper/secure_data /mnt/secure_data
• 关闭与卸载：
  • sudo umount /mnt/secure_data
  • sudo cryptsetup close secure_data
• 验证状态：
  • cryptsetup status /dev/mapper/secure_data

三、开机自动解锁与密钥管理

• 使用密钥文件实现无人值守解锁（示例）：
  • 生成密钥文件：sudo dd if=/dev/urandom of=/root/enc.key bs=1 count=256
  • 设置权限：sudo chmod 600 /root/enc.key
  • 添加为密钥：sudo cryptsetup luksAddKey /dev/sdb1 /root/enc.key
• 配置自动解锁与自动挂载：
  • 编辑 /etc/crypttab（示例）：
    • secure_data /dev/disk/by-uuid/<UUID-of-/dev/sdb1> /root/enc.key luks
  • 编辑 /etc/fstab（示例）：
    • /dev/mapper/secure_data /mnt/secure_data ext4 defaults 0 2
  • 说明：使用 UUID 更稳健；确保 initramfs 包含 cryptsetup/dracut 加密支持（见下一节）。
• 密钥槽管理：
  • 查看：sudo cryptsetup luksDump /dev/sdb1
  • 添加/删除口令：sudo cryptsetup luksAddKey /dev/sdb1 / sudo cryptsetup luksRemoveKey /dev/sdb1
• TPM 2.0 绑定（可选，需 clevis）：
  • 安装组件：sudo dnf install -y clevis clevis-luks clevis-dracut
  • 绑定策略：sudo clevis luks bind -d /dev/sdb1 tpm2 '{"pcr_bank":"sha256","pcr_ids":"0,1,2,3"}'（按策略校验后自动解锁）

四、安装期加密与现有分区在线加密

• 安装期加密：在 Anaconda 安装器中勾选“Encrypt my data”，按向导设置加密分区与口令，系统将自动完成 LUKS 配置与引导集成。
• 现有分区在线加密（风险操作，务必先完整备份）：
  • 安装工具：sudo dnf install -y cryptsetup-reencrypt
  • 在线加密示例（会调整设备大小并加密，建议预留空间）：
    • sudo cryptsetup-reencrypt --new --reduce-device-size 16M /dev/sda1
  • 建议全程供电稳定，避免中断导致数据损坏；对关键数据先做离线备份。

五、目录级与文件级加密的替代方案

• 用户目录加密（eCryptfs）：
  • 安装：sudo dnf install -y ecryptfs-utils
  • 为新用户启用：sudo adduser --encrypt-home secureuser
  • 迁移现有用户：sudo ecryptfs-migrate-home -u username
  • 登录时由 PAM 自动挂载，卸载：sudo umount /home/secureuser/Private。
• 文件/归档加密（GnuPG）：
  • 安装：sudo dnf install -y gnupg
  • 加密：gpg --output file.txt.gpg --encrypt --recipient user@example.com file.txt
  • 解密：gpg --output file.txt --decrypt file.txt.gpg。
• 容器文件加密（VeraCrypt）：
  • 安装后创建容器并挂载，适合跨平台与移动介质，图形/命令行均可。

六、注意事项与最佳实践

• 备份与演练：加密不会改变数据内容，但任何误操作都可能导致不可恢复；务必先备份，并演练解锁与恢复流程。
• 口令与密钥：使用高强度口令，妥善保存密钥文件（如 600 权限），并做好异地/离线备份。
• 性能与算法：启用 AES-XTS 等硬件加速算法；在虚拟化/云环境中优先使用半虚拟化驱动与充足熵源。
• 启动与救援：确保 initramfs 包含 cryptsetup/dracut 模块；保留 LVM/分区布局与加密映射名的一致性，便于救援。
• 合规与审计：结合 SELinux、最小权限与日志审计，形成纵深防护。