我需要一些关于对已安装的 Linux 系统(例如 centOS 或 Ubuntu)进行全盘加密的可能性的信息。
Linux 中是否存在任何类似“MAC OS X 中的 FileVault 2”的 FDE 默认机制。
我对此做了一些研究,发现了“dm-crypt”,它是 Linux 内核提供的标准设备映射器加密功能。
我的需要是在 Linux 机器中调用一个 shell/bash 脚本来执行全盘加密。
任何帮助/见解或建议都将有很大帮助。
答案1
安装 cryptsetup-rencrypt(默认情况下未安装)强烈建议在 chroot 环境中使用
答案2
简而言之,FDE 是您在安装过程中想要解决的一个问题。如果您的分区方案使用 LVS,您可以使用 LUKS 设置加密卷并将系统文件复制到其中,然后在文件中重新分配挂载点/etc/fstab,但这是错误的,而且很容易出错。
现在您的安装已经“成熟”(即已经安装并调试过),您最好集中精力加密主文件夹。对于此类操作,您可以查看cryptsetup或encryptfs。使用全盘加密,正在运行的机器已经处于经过身份验证的环境中,而主文件夹加密至少具有在用户未登录时保持相关卷加密的优势。
但总而言之,如果仍然想要全盘加密(或者至少在安装成熟度的这个阶段想要分区加密),那么最好的选择是LUKS。