我正在运行 Kali Dojo 2.0,我想加密整个驱动器。
我已经使用 Veracrypt 加密了我的 Windows 7 Home Premium 驱动器,这是一个简单的设置,我想在这个驱动器上做类似的事情。
在该驱动器上,除启动文件外,所有内容都已加密,我也希望对该驱动器进行加密。不必使用 Veracrypt,这只是个人偏好。
除非这是我唯一的选择,否则我不想制作一个容器来放置某些文件。
答案1
Linux 长期以来一直使用其自己独立的集成系统 LUKS 支持类似 Veracrypt 的启动/系统卷加密,但该系统与 Truecrypt/Veracrypt 不兼容。
Veracrypt(如果它类似于 Truecrypt)是通过 FUSE 在 Linux 上实现的。FUSE 是一种无需编写内核驱动程序即可实现文件系统的方法,但代价是速度。LUKS 是内核的一部分,比 Veracrypt 更快,因此如果您使用 Linux,LUKS 是首选。
Debian 和其他发行版安装程序都很好地支持 LUKS,因此加密整个系统或整个 Linux 分区(包含内核和初始 RAM 磁盘的小型启动分区除外)相当简单。这相当于 Truecrypt/Veracrypt 上加密了除引导加载程序之外的所有内容,引导加载程序必须解密,以便 BIOS/UEFI 可以读取它。
我从未使用过 Kali,但如果它使用标准 Debian 安装程序,则可以执行此操作来加密整个分区(参考):
要创建加密分区,您必须首先为此目的分配一个可用的分区。
为此,选择一个分区并指明将其用作“用于加密的物理卷”。对包含要创建的物理卷的磁盘进行分区后,选择“配置加密卷”。
然后,软件会建议用随机数据初始化物理卷(使真实数据的本地化更加困难),并要求您输入“加密密码”,每次启动计算机时您都必须输入该密码才能访问加密分区的内容。
完成此步骤后,您将返回到分区工具菜单,在“加密卷”中将有一个新分区可用,然后您可以像配置任何其他分区一样对其进行配置。
在大多数情况下,此分区用作 LVM 的物理卷,以便使用相同的加密密钥保护多个分区(LVM 逻辑卷),其中包括交换分区(请参阅侧栏安全加密的交换分区)。
需要注意的一点是,我不相信有任何工具可以像 Truecrypt/Veracrypt 那样加密/解密当前正在运行的系统。
从技术上来说,可以通过 FUSE 挂载根文件系统 - 这意味着我相信如果您真的愿意的话可以从 Veracrypt 加密分区启动 Linux,但由于它的速度不如 Linux 下的 LUKS,所以如果没有人开发这种方法也就不足为奇了。