Linux文件系统如何数据加密

Linux 文件系统数据加密全指南

一、方案总览与选型

LUKS/dm-crypt（块设备级、全盘/分区加密）：通过 cryptsetup 管理，底层使用 dm-crypt。适合加密整个磁盘、分区或逻辑卷，安全性与透明性高，常用于笔记本与服务器数据盘。支持开机解锁与密钥槽管理。
eCryptfs（堆叠式、目录级加密）：基于 FUSE 的内核加密文件系统，适合对 /home 等目录做透明加密，历史上 Ubuntu 与 ChromeOS 曾采用。配置简单，但需关注临时文件与交换分区等侧信道。
EncFS / CryFS（用户空间、目录级加密）：在现有文件系统上创建加密目录并挂载，便于按需加密与云同步；CryFS 对云存储更友好（元数据与块大小混淆）。
GnuPG（文件/归档级加密）：基于 OpenPGP，适合单文件、归档与传输加密，支持对称与公钥加密，便于分享与签名。
VeraCrypt（跨平台容器/分区/全盘）：支持创建加密容器文件、分区或整盘，多平台可用，适合移动介质与跨系统交换。

二、快速上手示例

LUKS/dm-crypt 加密一个分区
1. 安装工具：sudo apt-get install cryptsetup（或 sudo yum install cryptsetup / dnf install cryptsetup）。
2. 加密分区：sudo cryptsetup luksFormat /dev/sdXn（务必确认设备，操作不可逆）。
3. 打开映射：sudo cryptsetup open /dev/sdXn my_encrypted。
4. 格式化并挂载：sudo mkfs.ext4 /dev/mapper/my_encrypted && sudo mount /dev/mapper/my_encrypted /mnt/enc。
5. 开机自动解锁与挂载：在 /etc/crypttab 添加 my_encrypted /dev/sdXn none luks，在 /etc/fstab 添加 /dev/mapper/my_encrypted /mnt/enc ext4 defaults 0 2。
eCryptfs 加密用户目录
1. 安装工具：sudo apt-get install ecryptfs-utils。
2. 挂载加密目录：mount -t ecryptfs ~/encrypted ~/decrypted，按提示选择加密算法（如 AES）、密钥方式等。
3. 卸载：fusermount -u ~/decrypted。
EncFS 按需加密目录
1. 安装：sudo apt-get install encfs。
2. 创建与挂载：mkdir ~/enc ~/dec && encfs ~/enc ~/dec，首次运行交互配置。
3. 卸载：fusermount -u ~/dec。
GnuPG 加密单个文件
1. 安装：sudo apt-get install gnupg。
2. 公钥加密：gpg --output file.gpg --encrypt --recipient alice@example.com file；私钥解密：gpg --output file --decrypt file.gpg。
3. 对称加密：gpg --symmetric --cipher-algo AES256 file。

三、场景化推荐

笔记本/台式机用户数据（/home）：优先 LUKS/dm-crypt 全盘加密；若需迁移或保留现有系统，可对 /home 使用 eCryptfs。
服务器数据盘/数据库：使用 LUKS/dm-crypt 加密整盘或数据卷，结合 LVM 提升灵活性与快照能力。
云盘/多端同步：选择 CryFS（或 EncFS），其设计更适合云存储的元数据与块混淆。
跨平台移动介质/共享：使用 VeraCrypt 容器或分区，便于在 Windows/macOS/Linux 间互通。
单文件/邮件附件：使用 GnuPG，便于公钥分发与签名校验。

四、关键注意事项

密钥与口令安全：使用高强度口令并妥善备份；LUKS 支持多密钥槽，可配置多个口令或密钥文件。
临时与交换分区：文件系统级加密可能遗漏 /tmp、/var/tmp、swap 等位置，需单独加密或配置 tmpfs/加密交换，避免侧信道泄露。
性能影响：加密/解密由 CPU 完成，现代处理器硬件加速影响通常可控；仍建议在生产前做基准测试。
备份与恢复：加密卷损坏可能导致数据不可恢复，务必定期备份加密卷头部与关键数据。
自动解锁配置：编辑 /etc/crypttab 与 /etc/fstab 可实现开机自动解锁与挂载，注意密钥文件权限与 TPM/密钥代理的可用性。

五、常用工具与用途对照表

最新问答