Ubuntu上 LUKS的使用以及開啟自動加密

luks(linux unified key setup)為linux硬碟分割槽加密提供了一種標準，它不僅能通用於不同的linux發行版本，還支援多使用者/口令。

crypsetup工具加密的特點：

本教程簡單介紹，如何在ubuntu 虛擬機器使用這玩意。

首先，luks的加密是基於分割槽的。其次，首次建立加密分割槽的時候luks會對分割槽進行格式化，裡面的資料會沒得。

建立好加密分割槽後首先要啟動這個加密分割槽，啟動的過程需要輸入金鑰解密。解密完成後，再使用mount命令將分割槽掛載到某個目錄下。

個人的機子上沒有空閒的分割槽，於是就通過虛擬機器設定往虛擬機器加了一塊硬碟，這塊5gb的硬碟就是新加的。

然後重啟裝置。

使用fdisk檢視是否新增硬碟成功。

從上面可以看到這個新加的硬碟沒有分割槽表，而且裝置名是/dev/sdb，接下裡，往/dev/sdb新增新的分割槽。建立主分割槽，只建立乙個分割槽。

檢視分割槽建立是否成功。

使用cryptsetup命令格式化這個新的分割槽，同時設定好訪問金鑰，例如 123456.

cryptsetup  luksformat /dev/sdb1

需要輸入乙個大寫的yes，因為這個操作會把該分割槽原來的資料刪除掉。

有的時候，luks需要頻繁的輸入密碼，這是很讓人心煩的。此時可以使用luks的自動解密功能。這其實就是使用lusk的多解密方式來做的：同乙個分割槽可以使用多個金鑰來解密。當然，猜測它裡面的實現方法肯定是有乙個master-key ,其它金鑰最後轉換為統一的master-key來解密的。

首先，需要生成乙個金鑰檔案，金鑰的內容、長度隨機任意。例如：在根目錄下生成乙個隨機數檔案，然後把這個檔案內容當做金鑰。

可以修改它的許可權，使得只有root可以讀取它。

接下來，為/dev/sdb1這個加密分割槽新增新的金鑰：

最後兩個引數/dev/sdb1 /keyfile根據實際情況變化。

然後，編輯/etc/crypttab檔案：

首先檢視這個我們的加密分割槽/dev/sdb1的uuid號52bf64de-8113-40a2-bb62-0d729476be46，這個號後面有用到。

編輯/etc/crypttab檔案：

新增這麼一行：

sdb1_crypt uuid=52bf64de-8113-40a2-bb62-0d729476be46 /keyfile luks,keyscript=/lib/cryptsetup/scripts/passdev

此時，大功告成了！

只差最後一步，更新系統的引導ram映象，使用update-initramfs -u 即可。

最後，重啟系統。

值得一提的是，這個luks的自動解密的功能需要把金鑰檔案儲存在非加密檔案分割槽，這是不安全的。

如果是遠端使用這個luks，還是建議不要自動解密和自動掛載。設定自動解密，金鑰檔案會有洩露的風險，設定自動掛載而不設定自動解密則需要開啟之初，到達登入介面之前手輸密碼，在到達登入界面前遠端無法訪問到系統。

因此，遠端訪問時，就啥時候使用加密分割槽就啥時候掛載。