如何用 LUKS 和 cryptsetup 为 Linux 配置加密
在信息安全愈发重要的今天,为 Linux 系统盘配置全盘加密已经成为很多企业和个人的选择。LUKS(Linux Unified Key Setup)配合工具 cryptsetup 可以在不牺牲性能的前提下实现高强度加密。本文将通过一个故事化的场景,介绍整个配置过程。
什么是 LUKS?
LUKS 是 Linux 下广泛使用的磁盘加密标准,能够为整个分区或设备提供高强度的对称加密。搭配 cryptsetup 使用,用户可以通过设置密码解锁加密卷。
[外链图片转存中…(img-HHGhz2zi-1753111358467)]
先决条件
- 一台 Linux 机器
- 可引导的 Live Linux USB
- 已备份的数据
建议在操作前阅读相关指南和官方文档:
LUKS 官方文档:https://gitlab.com/cryptsetup/cryptsetup
配置步骤
1. 启动 Live Linux
插入 Live Linux USB,选择「试用」模式启动。
2. 确认目标磁盘
运行以下命令确认目标磁盘,例如 /dev/sda。
lsblk
3. 创建加密卷
使用 LUKS 对整个磁盘进行加密:
cryptsetup luksFormat /dev/sda
输入并确认强密码。
然后打开加密卷:
cryptsetup luksOpen /dev/sda cryptroot
4. 创建文件系统
在解锁的设备上创建文件系统:
mkfs.ext4 /dev/mapper/cryptroot
然后将其挂载:
mount /dev/mapper/cryptroot /mnt
5. 安装系统
按照正常的方式(例如使用 debootstrap 或者发行版安装程序)在 /mnt 上安装 Linux 系统。
安装完成后别忘了生成 initramfs 以支持启动时解锁加密卷。
注意事项
- 密码丢失后无法找回,请务必安全保存。
- 启用加密会略微影响性能,但在现代硬件上几乎可以忽略。
相关链接推荐
为了获得更灵活的出行体验,也可以了解 eSIM 技术的应用及开通方法:
红茶eSIM 2块钱保号一年 原生英国IP:
https://www.wanmoon.mom/redteago-esim/
更多关于 Linux 加密、隐私保护的资源请参考:
Linux Journal 安全专栏:https://www.linuxjournal.com/tag/security