摘要:本文将带你了解开发Linux系统下的磁盘加密方法的步骤,希望本文对大家学Linux有所帮助。
随着智能手机的计算能力和存储能力的提高,手机中将会存放越来越多的私有数据,这些数据的泄密可能造成严重后果。手机信息安全一直是我们的重点之一,对于一些重要的功能我们要求鉴权后才能使用,但这只能挡住初级的黑客,只能防君子不能防小人,所以我们希望把重要的数据进行加密后再保存。为此,今天花了一点时间去了解Linux磁盘加密的方法。
方法一:
tarzxvfutil-linux-2.12.tar.gz
cdutil-linux-2.12
patch-p1<../losetup-combined.patch
patch-p1<../util-linux-2.12-kernel-2.6.patch
(如果有_syscall5之类编译错误,将它换成新的调用方式syscall)
make;makeinstall
编译内核(已经支持cryptoloop则跳过此步)
makemenuconfig
DeviceDrivers>BlockDevices>Loopbackdevicesupport
BLK_DEV_CRYPTOLOOP
加载模块
modprobecryptoloop
(以及加密模块)
创建loop设备
ddif=/dev/zeroof=~/cryptoloop.imagebs=1Mcount=10
losetup-eaes-256/dev/loop0~/cryptoloop.image
(提示输入密码)
创建文件系统并加载
mkfs.ext3/dev/loop0
mkdir/mnt/crypto
mount-text3~/cryptoloop.image/mnt/crypto/-oencryption=aes-256
(提示输入密码)
卸载
umount/mnt/crypto
losetup-d/dev/loop0
重新加载
losetup-eaes-256/dev/loop0~/cryptoloop.image
mount-text3~/cryptoloop.image/mnt/crypto/-oencryption=aes-256
cryptoloop就是一种transfer的实现。至于使用哪种transfer及transfer的参数(如密码),这可以通过LOOP_SET_STATUS64的ioctrl系统调用来完成(mount命令就是这样实现的)。
cryptoloop的缺点是只能针对loop设备,而且对日志型文件系统无效。
方法二:device-mappercrypto
下载并编译cryptsetup(已经有了就跳过)
wget//www.saout.de/misc/dm-crypt/cryptsetup-0.1.tar.bz2
cdcryptsetup-0.1
./configure;make;makeinstall
编译内核(已经支持则跳过此步)
makemenuconfig
DeviceDrivers>Multi-devicesupport(RAIDandLVM)
CONFIG_BLK_DEV_DM
CONFIG_DM_CRYPT
加载模块
modprobedm-crypt
(以及加密模块)
创建loop设备
ddif=/dev/zeroof=~/dm-crypt.imagebs=1Mcount=10
losetup/dev/loop0~/dm-crypt.image
建立device-mapper
cryptsetup-ycreatedm-crypt/dev/loop0
(提示输入密码)
创建文件系统并加载
mkfs.ext3/dev/mapper/dm-crypt
mount/dev/mapper/dm-crypt/mnt/crypto
卸载
umount/mnt/crypto/
cryptsetupremovedm-crypt
losetup-d/dev/loop0
重新加载
cryptsetup-ycreatedm-crypt/dev/loop0
mount/dev/mapper/dm-crypt/mnt/crypto
device-mappercrypto的实现在drivers/md目录下,相对来说要复杂得多,没有来得及仔细阅读。
方法三:ecryptfs
下载并编译
//people.redhat.com/~dhowells/keyutils/keyutils-1.2.tar.bz2
tarjxfkeyutils-1.2.tar.bz2
cdkeyutils-1.2
make;makeinstall
tarjxfecryptfs-20070306.tar.bz2
cdecryptfs-20070306/ecryptfs-util
./configure;make;makeinstall
编译内核
makemenuconfig
Filesystems>Miscellaneousfilesystems
CONFIG_ECRYPT_FS
加载模块
modprobeecryptfs
(以及加密模块)
加载
mkdir/root/crypt
mkdir/mnt/crypt
mount-tecryptfs/root/crypt/mnt/crypt
(提示输入密码和算法)
卸载
umount/mnt/crypt
重新加载
mount-tecryptfs/root/crypt/mnt/crypt
(提示输入密码和算法)
看来ecryptfs的特点是能够对目录进行加密,而不必加密整个磁盘。直接读取原始目录中的文件,只能读到加密后的数据,要正确读取数据,只有先把该目录用ecryptfs文件系统格式加载到另外一个目录,之后才能读取。而在加载时要指定密码和加密算法,这就起到保密作用。如果加载时指定错误的密码或加密算法,仍然可以加载而不会出错,但读出的数据是无效的。
ecryptfs的代码在fs/ecryptfs目录下,只有比较新的kernel版本才有,我用的是linux-2.6.21。它的实现与前面两种方法不同,它完全是按文件系统的方式来实现的。
以上几种加密方法,在加载时都要输入密码,为了使用上的方便,可以与PAM+libpam-mount插件集成起来,用当前用户的密码作为加密的密码,这样就只需要在登录时输入一次就够了。
本文由职坐标整理并发布,希望对同学们有所帮助。了解更多详情请关注职坐标系统运维之Linux!
您输入的评论内容中包含违禁敏感词
我知道了
请输入正确的手机号码
请输入正确的验证码
您今天的短信下发次数太多了,明天再试试吧!
我们会在第一时间安排职业规划师联系您!
您也可以联系我们的职业规划师咨询:
版权所有 职坐标-一站式IT培训就业服务领导者 沪ICP备13042190号-4
上海海同信息科技有限公司 Copyright ©2015 www.zhizuobiao.com,All Rights Reserved.
沪公网安备 31011502005948号