我对使用“cryptsetup”加密分区有一点了解,但它无法加密“/”或根分区的 /dev/sda1 等活动驱动器...
是否有任何教程可以加密整个 Linux 硬盘并在启动时询问/提示输入密码消息?
root@DATO-SERVER:/usr/local/src/.cache# lsblk -i -o NAME,TYPE,MOUNTPOINT
NAME TYPE MOUNTPOINT
sda disk
|-sda1 part /data/works
`-sda2 part /data/life
sdb disk
`-sdb1 part /data/backups
sdc disk
|-sdc1 part /boot
`-sdc2 part /data/sdcard
sdd disk
|-sdd1 part /
|-sdd2 part /data/osx
|-sdd3 part /home
`-sdd4 part [SWAP]
答案1
是否有任何教程可以加密整个 Linux 硬盘并在启动时询问/提示输入密码消息?
请注意,配置启动时密码提示/ 取决于分布。也就是说,Ubuntu 有一种方法和自己的说明,Arch Linux 有另一种,Gentoo 还有另一种。它还取决于您的引导程序和固件 - 例如,GRUB 可以/完全自行解密 LUKS 加密,但 Syslinux 不能,并且需要/boot分区。
- 搜索关键字:“<发行版名称>加密根”
- 乌本图:https://help.ubuntu.com/community/ManualFullSystemEncryption,https://help.ubuntu.com/community/FullDiskEncryptionHowto
- 拱:https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system
- Gentoo:https://wiki.gentoo.org/wiki/Full_Disk_Encryption_From_Scratch_Simplified
(相比之下,数据分区的 cryptsetup 配置在任何地方几乎都以相同的方式进行。)
我对使用“cryptsetup”加密分区有一点了解,但它无法加密“/”或根分区的 /dev/sda1 等活动驱动器...
然后在分区不“活动”时执行此操作。您可以使用“Live CD/USB”运行必要的程序,它会将您的主操作系统视为另一个普通分区。
要加密现有分区并避免丢失数据,您可以使用luksipc。 (我还听说最新的 cryptsetup 版本已将此功能内置于cryptsetup-reencrypt。)不要“格式化”该分区!
(建议:首先加密数据直到你很好地掌握了 cryptsetup、luksipc 和相关工具的工作原理。)