语境
使用 Luks 加密整个新的外部硬盘。即它不是系统驱动器(仅用于存储数据,不用于启动操作系统),并且它完全是空白的。
观察
我发现的有关如何实现这一目标的所有描述都遵循以下原则:
- 创建一个新分区,其大小与整个磁盘相同
- 加密该分区
一些例子:
从这里:
创建新的加密分区:
[...]
加密现有分区
或者这里。
问题
是否可以加密整个磁盘,而不是拥有一个大的加密分区?
或许答案会是不,所以真正的问题是为什么不?
换句话说
如果不打字会发生什么
sudo cryptsetup -v -y luksFormat /dev/sda1
我会输入
sudo cryptsetup -v -y luksFormat /dev/sda
(没有创建sda1)?
答案1
这cryptsetup常问问题提到使用 LUKS 进行全盘加密。基本上,cryptsetup不关心 LUKS 设备是什么、分区、磁盘或循环设备,因此您可以使用合适的设备。
sudo cryptsetup -v -y luksFormat /dev/sda
将使用所有/dev/sda.
常见问题解答第 2.2 节建议外部磁盘这样做:
完全加密的原始块设备:为此,将 LUKS 放在原始设备上(例如
/dev/sdb)并将文件系统放入 LUKS 容器中,不涉及任何分区。这非常适合用于备份或离线数据存储的外部 USB 磁盘。
请注意,cryptsetup不需要/etc/crypttab.