Debian挂载加密卷（LUKS）的详细步骤

一、准备工作：安装必要工具

在开始操作前，需确保系统已安装cryptsetup（管理LUKS加密的核心工具）。通过以下命令安装：

sudo apt update
sudo apt install cryptsetup

二、识别加密卷设备

使用lsblk或fdisk -l命令列出所有磁盘和分区，找到需要挂载的加密卷设备（如/dev/sdb1）：

lsblk
# 或
sudo fdisk -l

三、打开加密卷

使用cryptsetup luksOpen命令打开加密卷，需指定设备路径和自定义的映射名称（如my_encrypted_vol）：

sudo cryptsetup luksOpen /dev/sdb1 my_encrypted_vol

系统会提示输入加密卷的密码（需提前设置，若未设置需先通过cryptsetup luksFormat加密分区，详见后续说明）。

四、格式化加密卷（若未格式化）

若加密卷未格式化，需先创建文件系统（以ext4为例）：

sudo mkfs.ext4 /dev/mapper/my_encrypted_vol

可根据需求选择其他文件系统（如xfs、btrfs）。

五、挂载加密卷

1. 创建挂载点（如/mnt/encrypted_data）：

   sudo mkdir -p /mnt/encrypted_data
   

2. 挂载解密后的设备到挂载点：

   sudo mount /dev/mapper/my_encrypted_vol /mnt/encrypted_data
   

3. 验证挂载结果：

   df -h
   

   若挂载成功，将显示/dev/mapper/my_encrypted_vol对应的挂载信息。

六、关闭加密卷（无需使用时）

1. 卸载挂载点：

   sudo umount /mnt/encrypted_data
   

2. 关闭加密卷映射：

   sudo cryptsetup luksClose my_encrypted_vol
   

七、设置开机自动挂载（可选）

若需系统启动时自动挂载，需修改两个配置文件：

1. 编辑/etc/crypttab（建立加密卷映射）

添加以下内容（替换为实际设备路径和映射名称）：

my_encrypted_vol /dev/sdb1 none luks

• none表示无密钥文件（手动输入密码）；若需自动输入密码，可将none替换为密钥文件路径（如/etc/keys/my_keyfile）。

2. 编辑/etc/fstab（挂载解密后的设备）

添加以下内容（替换为实际映射设备和挂载点）：

/dev/mapper/my_encrypted_vol /mnt/encrypted_data ext4 defaults 0 2

• 文件系统类型需与格式化时的类型一致（如ext4、xfs）。

3. 测试自动挂载

重启系统，检查加密卷是否自动挂载：

sudo reboot
df -h

注意事项

• 加密卷创建：若未提前加密分区，需先使用cryptsetup luksFormat /dev/sdX1命令加密（会清除分区数据），再执行上述步骤。
• 密码管理：加密卷密码丢失将导致数据无法访问，请务必妥善保存。
• 自动挂载安全：若使用密钥文件，需确保密钥文件的权限（如chmod 600 /etc/keys/my_keyfile）和安全性，避免泄露。