我想使用随机密钥创建一次性加密分区,该密钥将在重新启动时被擦除。我找到了一本关于交换加密的手册,但交换只是一个块设备,上面没有任何文件系统。我还发现完整的系统加密是不可接受的,我只想要一个分区。这两种方法都不是我的情况。
如何创建一个?据我了解(我不是Linux专业人士)我不能直接使用fstab/crypttab,因为我需要在每次机器启动时格式化分区。一种脚本?有什么陷阱吗?
编辑:不确定加密类型(块/文件系统)是否重要,只要任何保存的数据都被加密。如果发行很重要:Debian Stretch。 TLDR:我希望在重新启动后将干净的 ext4 分区安装在某处,其中数据由随机密钥加密。
答案1
交换实际上非常接近您想要的 - 使用交换,您可以将标志放入swap中/etc/crypttab,它告诉启动脚本mkswap在启动时在块设备上运行。
你基本上想要同样的东西,但是用mkfs而不是mkswap。至少在这里,这已经得到了tmp[=fstype]标志的支持。您可以查看手册页 ( man 5 crypttab) 以了解您的系统支持哪些内容。
所以,这应该有效:
some_name /dev/sdaX /dev/urandom cipher=aes-xts-plain64,size=512,tmp=ext4
然后在 中/etc/fstab,您可以安装到/dev/mapper/some_name任何地方。
顺便说一句:另一种选择是 tmpfs,它将数据保存在内存中。不过,可能是可交换的,因此您不需要交换或加密交换。