使用 Luks 加密整个磁盘(而不是一个大的加密分区)

使用 Luks 加密整个磁盘(而不是一个大的加密分区)

语境

使用 Luks 加密整个新的外部硬盘。即它不是系统驱动器(仅用于存储数据,不用于启动操作系统),并且它完全是空白的。

观察

我发现的有关如何实现这一目标的所有描述都遵循以下原则:

  1. 创建一个新分区,其大小与整个磁盘相同
  2. 加密该分区

一些例子:

这里:

创建新的加密分区:

[...]

加密现有分区

或者这里

问题

是否可以加密整个磁盘,而不是拥有一个大的加密分区?

或许答案会是,所以真正的问题是为什么不

换句话说

如果不打字会发生什么

sudo cryptsetup -v -y luksFormat /dev/sda1

我会输入

sudo cryptsetup -v -y luksFormat /dev/sda

(没有创建sda1)?

答案1

cryptsetup常问问题提到使用 LUKS 进行全盘加密。基本上,cryptsetup不关心 LUKS 设备是什么、分区、磁盘或循环设备,因此您可以使用合适的设备。

sudo cryptsetup -v -y luksFormat /dev/sda

将使用所有/dev/sda.

常见问题解答第 2.2 节建议外部磁盘这样做:

完全加密的原始块设备:为此,将 LUKS 放在原始设备上(例如/dev/sdb)并将文件系统放入 LUKS 容器中,不涉及任何分区。这非常适合用于备份或离线数据存储的外部 USB 磁盘。

请注意,cryptsetup不需要/etc/crypttab.

相关内容