• cryptsetup : 这个命令行程序为你提供了底层访问权,以便管理创建 dm-crypt 管理的设备这一任务。
• cryptmount : 这个程序提供了更多的功能特性,更易于使用一点,具体可参阅几年前的这篇文章: 。
其他功能特性
dm-crypt 系统的一个优点在于,它没必要直接处理磁盘驱动程序。相反,它可以将所有数据保存到单个文件中,而不是使用 LUKS 和整个磁盘分区。这就意味着,你可以让 dm-crypt 创建单个文件,然后你可以在单个文件里面创建整个文件系统。之后,你可以将该单个文件作为单独的驱动器来挂载,然后从任何软件来访问它,就像你对待其他任何驱动器那样。
云驱动器
由于一些云服务提供商(比如亚马逊网络服务)为你提供了全面的根访问权,可以访问连接到你服务器的块设备,你可以充分利用 dm-crypt ;可以用 LUKS 格式来格式化块设备,然后将它准备用于你的 dm-crypt 系统;之后,你完全可以用 ext4 文件系统来格式化它。最终结果就是完全加密的驱动器驻留在云端,你可以自行管理这个驱动器。想不想试一试?这篇教程就介绍了使用 cryptsetup 程序来加密: 。
另外一些云服务提供商不像 AWS 那样让你可以直接访问块设备。比如说, Digital Ocean 就不允许你直接访问;不过你仍可以创建一个文件,安装 dm-crypt 来使用那个文件,然后在文件里面创建一个所谓的“容器”,它代表了文件系统。实际上,这个过程与你在自己的本地机器上创建一个加密的容器文件如出一辙。这里有一篇出自 Digital Ocean 网站的教程: https://www.digitalocean.com/community/tutorials/how-to-use-dm-crypt-to-create-an-encrypted-volume-on-an-ubuntu-vps ,介绍了创建 dm-crypt LUKS 容器文件。在该教程中要注意:就像使用块设备那样,你可以创建整个文件系统(比如 ext4 ),不过在这里,该文件系统驻留在容器文件里面。
本地驱动器
而这就引出了我们如何在本地实现这一切的话题。在亚马逊上创建加密驱动器的上述教程涉及的步骤与在你自己的硬驱上本地创建加密驱动器一个样。不过另一篇教程( https://www.howtoforge.com/tutorial/how-to-encrypt-a-linux-partition-with-dm-crypt-luks/ )给出了逐步的说明,以便在你自己的硬驱上本地创建,它也使用 cryptsetup 。
如果你想创建一个本地容器驱动器,含有整个经过加密的文件系统,只要遵循上面 Digital Ocean 教程中的步骤即可。
或者,如果你想使用另一个程序 cryptmount 来加密整个分区或创建容器文件,请关注这篇教程: 。作者 Carla Schroder 给出了几个明确的步骤。
结束语
就是这样。想知道如何加密,重要的一点是先要完全了解你实际上试图完成什么任务:让应用程序加密和解密数据,还是让操作系统处理加密;是加密整个 分区,还是仅仅加密个别文件;是不是想创建保存加密文件的容器。之后,你可以遵照我在本文中给出链接的几个教程中提到的步骤,顺利完成加密。