=================================================
GRUB引导加载程序最终合并了对处理LUKS2加密磁盘的支持。
GRUB支持LUKS(1),但是直到今天,主线GNU GRUB引导加载程序还不支持LUKS2磁盘加密,因此现在允许引导加载程序以该较新的格式解密磁盘。 LUKS2追溯到2017年稳定的cryptsetup 2.0已经有好几年了,因此,这使得GRUB的支持出现得相当晚。
LUKS2提供了更大的安全性增强,可扩展性改进,相对于早期LUKS格式的就地升级以及其他改进。 至少在2018年就有GRUB要求LUKS2支持的请求,而几个月前补丁终于实现了,到今天已合并到Git master。
=================================================
1.创建虚拟磁盘
dd if=/dev/zero of=./myusb.img bs=1M count=100
2.创建keyfile文件
touch mykey.txt;echo "testpasswd">mykey.txt
3.创建加密磁盘分区
cryptsetup [其他参数] luksFormat 设备名
--cipher 加密方式 --key-size 秘钥长度 --hash 散列算法 --iter-time 迭代时间,单位毫秒
cryptsetup --key-file=/home/test/crypt/mykey.txt luksFormat /home/test/crypt/myusb.img
####cryptsetup --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 10000
luksFormat /dev/sda2
4.打开加密盘
cryptsetup --key-file=/home/test/crypt/mykey.txt luksOpen /home/test/crypt/myusb.img MYUSB
5.查看加密盘状态
cryptsetup status MYUSB
6.查看key slot
LUKS格式的加密盘默认能够提供8个 key slot,每个key slot 就是一个解密的钥匙,使用任何一把钥匙都能打开这个LKUS加密盘
cryptsetup luksDump /home/test/crypt/myusb.img
7.添加新的key slot
touch key2.txt;echo "test2key">>key2.txt
cryptsetup --key-file=/home/test/crypt/mykey.txt luksAddKey /home/test/crypt/myusb.img /home/test/crypt/key2.txt
8.删除key slot
cryptsetup --key-file=/home/test/crypt/mykey.txt luksKillSlot /home/test/crypt/myusb.img 1
9.打开加密盘后,执行fdisk -l 命令如下:
Disk /dev/mapper/MYUSB: 98 MiB, 102760448 bytes, 200704 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
10.像普通磁盘分区一样操作/dev/mapper/MYUSB
mkfs.ext4 /dev/mapper/USB
mount /dev/mapper/USB /mnt
.....
11.关闭加密盘
unmount /mnt
cryptsetup close MYUSB
阅读(1918) | 评论(0) | 转发(0) |
