Chinaunix首页 | 论坛 | 博客
  • 博客访问: 81727
  • 博文数量: 13
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 10
  • 用 户 组: 普通用户
  • 注册时间: 2016-06-17 16:28
个人简介

喜欢折腾。

文章分类

全部博文(13)

文章存档

2016年(7)

2015年(6)

我的朋友

分类: 系统运维

2015-11-14 22:15:46

一 分区加密简介
        军工方面重要的保密安全措施技术,国际安全组织采取的一种对内容的解决方案,因为的后觉性是无法保证安全性更高的领域。所以在机密级别较高的领域采取主动性的安全解决方案,而分区是其中一种,其是运用当今国际最尖端的采用256位软硬件结合算法,除了密码之外还需要一个u-key, 同时支持256位,采用先进的技术、32位嵌入式微处理器和"真"随机数发生器,确保了分区加密的安全性和密钥的唯一性。

  二  实验环境及内容
  环境:   redhat 7

 内容:  先分出一个分区,然后现在上面加密,然后再铺上文件系统,这样做的好处就是,当那个密码破解失败,那么文件内容也就会毁坏,能有效地保护我们的隐私内容。   


三  具体操作
因为我们是做实验,所以首先先建立几个新的分区,
1>用命令  cat /proc/partitions   查看
如下:

点击(此处)折叠或打开

  1. [root@localhost Desktop]# cat /proc/partitions
  2. major minor #blocks name
  3. 253 0 10485760 vda
  4. 253 1 10484142 vda1
  5. 253 16 10485760 vdb
  6. 7 0 3655680 loop0
接下来我们在 /dev/vdb  划分一个新的分区:
用命令  fdisk  /dev/vdb  然后根据里面的提示划分一个:
在用cat  /proc/partitions 查看
显然 我们的 /dev/vdb1已经划分成功

点击(此处)折叠或打开

  1. [root@localhost Desktop]# cat /proc/partitions
  2. major minor #blocks name
  3. 253 0 10485760 vda
  4. 253 1 10484142 vda1
  5. 253 16 10485760 vdb
  6. 253 17 1048576 vdb1
  7. 7 0 3655680 loop0
2> 为新建立的分区进行加密
1:

使用命令    cryptsetup luksFormat   /dev/vdb1
然后输入大写       YES            小写会没反应  我估计这里应该有个bug
然后输入密码:  大于 8 位  且不能太简单

点击(此处)折叠或打开

  1. [root@localhost Desktop]# cryptsetup luksFormat /dev/vdb1
  2. WARNING!
  3. ========
  4. This will overwrite data on /dev/vdb1 irrevocably.
  5. Are you sure? (Type uppercase yes): YES
  6. Enter passphrase:
  7. Verify passphrase:
2:
接下来进行解密以及使用:
首先使用命令  cryptsetup open /dev/vdb1 haha(这个名字可以随便取)  进行解密
然后输入你刚才加密的密码:
然后对分区进行格式化:mkfs.xfs /dev/mapper/haha
在接着进行 挂载 mount /dev/mapper/haha /mnt   你可以随意挂载,这是我个人习惯
然后用  df 查看挂载有没有成功

点击(此处)折叠或打开

  1. [root@localhost Desktop]# cryptsetup open /dev/vdb1 haha
  2. Enter passphrase for /dev/vdb1:
  3. [root@localhost Desktop]# mkfs.xfs /dev/mapper/
  4. control haha
  5. [root@localhost Desktop]# mkfs.xfs /dev/mapper/haha
  6. meta-data=/dev/mapper/haha isize=256 agcount=4, agsize=65408 blks
  7. = sectsz=512 attr=2, projid32bit=1
  8. = crc=0
  9. data = bsize=4096 blocks=261632, imaxpct=25
  10. = sunit=0 swidth=0 blks
  11. naming =version 2 bsize=4096 ascii-ci=0 ftype=0
  12. log =internal log bsize=4096 blocks=853, version=2
  13. = sectsz=512 sunit=0 blks, lazy-count=1
  14. realtime =none extsz=4096 blocks=0, rtextents=0
  15. [root@localhost Desktop]# mount /dev/mapper/haha /mnt
  16. [root@localhost Desktop]# df
  17. Filesystem 1K-blocks Used Available Use% Mounted on
  18. /dev/vda1 10473900 7014964 3458936 67% /
  19. devtmpfs 927072 0 927072 0% /dev
  20. tmpfs 942660 80 942580 1% /dev/shm
  21. tmpfs 942660 17024 925636 2% /run
  22. tmpfs 942660 0 942660 0% /sys/fs/cgroup
  23. /dev/loop0 3654720 3654720 0 100% /var/www/html/pub
  24. /dev/mapper/haha 1043116 32928 1010188 4% /mnt
3:
然我们现在就可以在这个加密的分区中进行操作了,比如说,你建立一些文件
然后将其卸载
然后关闭设备加密      》记得关闭之前必须先卸载
然后 /mnt中就没有东西了

点击(此处)折叠或打开

  1. [root@localhost mnt]# touch file{1..10}
  2. [root@localhost mnt]# ls
  3. file1 file10 file2 file3 file4 file5 file6 file7 file8 file9
  4. [root@localhost /]# umount /mnt
  5. [root@localhost /]# cryptsetup close /dev/mapper/haha
  6. [root@localhost /]# cd /mnt
  7. [root@localhost mnt]# ls


4:
如果想打开之前那个机密设备可这样
cryptsetup open /dev/vdb1 heihei  解密
 mount /dev/mapper/heihei /mnt    挂载
ls                                  查看

点击(此处)折叠或打开

  1. [root@localhost mnt]# cryptsetup open /dev/vdb1 heihei
  2. Enter passphrase for /dev/vdb1:
  3. [root@localhost mnt]# cd ..
  4. [root@localhost /]# mount /dev/m
  5. mapper/ mcelog mem mqueue/
  6. [root@localhost /]# mount /dev/mapper/heihei /mnt
  7. [root@localhost /]# cd /mnt
  8. [root@localhost mnt]# ls
  9. file1 file10 file2 file3 file4 file5 file6 file7 file8 file9
  10. [root@localhost mnt]#
5:
如果你解密之后,还格式化,那么之前建立的那些文件也就不再了(格式化你们懂得,就相当于一个全新的一样)

四:附加内容,开机自动挂载(当然这个必要性不大,这里仅仅只供参考,还有这种方式

接下来这些有兴趣的可以操作操作,我是实际操作成功的,因为必要性不是很大,所以仅仅提供文字形式。
有linux 基础的都可以看懂下面的操作,已经够直白,如有不明白,请留言。。。

vim /etc/crypttab    这个命令用来设定开机解密   
如里面写:    heihei        /dev/vdb1     /root/passwd

vim /etc/fstab           开机自动挂载加密设备
/dev/mapper/heihei                      /mnt              xfs                defaults       0   0

vim  /root/passwd      系统自动读取密码记录文件
 这里面写解密密码: 如   2015haha

cryptsetup   luksAddKey    /dev/vdb1           /root/passwd    把密码记录文件和设备关联
 Enter  any  passphrase:     输入密码就可如:2015haha

然后你就可以重起了。















 
阅读(2703) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~