Linux下的磁盘加密方法

he2007

转载时请注明出处和作者联系方式：http://blog.csdn.net/absurd\r\n\r\n作者联系方式：Li XianJing <xianjimli at hotmail dot com>\r\n\r\n更新时间：2007-5-5\r\n\r\n \r\n\r\n随着智能手机的计算能力和存储能力的提高，手机中将会存放越来越多的私有数据，这些数据的泄密可能造成严重后果。手机信息安全一直是我们的重点之一，对于一些重要的功能我们要求鉴权后才能使用，但这只能挡住初级的黑客，只能防君子不能防小人，所以我们希望把重要的数据进行加密后再保存。为此，今天花了一点时间去了解Linux 磁盘加密的方法。\r\n\r\n \r\n\r\n方法一：cryptoloop\r\n\r\nl         下载并编译util-linux\r\n\r\nhttp://www.paranoiacs.org/~slusk ... etup-combined.patch\r\n\r\nhttp://ftp.cwi.nl/aeb/util-linux/util-linux-2.12.tar.gz\r\n\r\nhttp://hydra.azilian.net/util-linux-2.12-kernel-2.6.patch\r\n\r\n \r\n\r\ntar zxvf util-linux-2.12.tar.gz\r\n\r\ncd util-linux-2.12\r\n\r\npatch -p1 < ../losetup-combined.patch\r\n\r\npatch -p1 < ../util-linux-2.12-kernel-2.6.patch\r\n\r\n(如果有_syscall5之类编译错误，将它换成新的调用方式syscall)\r\n\r\nmake;make install\r\n\r\n \r\n\r\nl         编译内核(已经支持cryptoloop则跳过此步)\r\n\r\nmake menuconfig\r\n\r\nDevice Drivers >Block Devices>Loopback device support\r\n\r\nBLK_DEV_CRYPTOLOOP\r\n\r\n \r\n\r\nl         加载模块\r\n\r\nmodprobe cryptoloop\r\n\r\n       (以及加密模块)\r\n\r\n \r\n\r\nl         创建loop设备\r\n\r\ndd if=/dev/zero of=~/cryptoloop.image bs=1M count=10\r\n\r\nlosetup -e aes-256 /dev/loop0 ~/cryptoloop.image\r\n\r\n       (提示输入密码)\r\n\r\n \r\n\r\nl         创建文件系统并加载\r\n\r\nmkfs.ext3 /dev/loop0\r\n\r\nmkdir /mnt/crypto\r\n\r\nmount -t ext3 ~/cryptoloop.image /mnt/crypto/ -oencryption=aes-256\r\n\r\n              (提示输入密码)\r\n\r\n \r\n\r\nl         卸载\r\n\r\numount /mnt/crypto\r\n\r\n              losetup -d  /dev/loop0\r\n\r\n \r\n\r\nl         重新加载\r\n\r\nlosetup -e aes-256 /dev/loop0 ~/cryptoloop.image\r\n\r\nmount -t ext3 ~/cryptoloop.image /mnt/crypto/ -oencryption=aes-256\r\n\r\n \r\n\r\ncryptoloop的实现比较简单，可以看看drivers/block/cryptoloop.c中的代码。loop设备在读写之前会调用lo_do_transfer函数，该函数再调用所安装的transfer插件。cryptoloop就是一种transfer的实现。至于使用哪种transfer及transfer的参数(如密码)，这可以通过LOOP_SET_STATUS64的ioctrl系统调用来完成(mount命令就是这样实现的)。\r\n\r\n \r\n\r\ncryptoloop的缺点是只能针对loop设备，而且对日志型文件系统无效。

he2007

方法二：device-mapper crypto\r\n\r\nl         下载并编译cryptsetup（已经有了就跳过）\r\n\r\nwget http://www.saout.de/misc/dm-crypt/cryptsetup-0.1.tar.bz2\r\n\r\ncd cryptsetup-0.1\r\n\r\n./configure;make;make install\r\n\r\n \r\n\r\nl         编译内核（已经支持则跳过此步）\r\n\r\nmake menuconfig\r\n\r\nDevice Drivers > Multi-device support (RAID and LVM)\r\n\r\nCONFIG_BLK_DEV_DM\r\n\r\nCONFIG_DM_CRYPT\r\n\r\n \r\n\r\nl         加载模块\r\n\r\nmodprobe dm-crypt\r\n\r\n(以及加密模块)\r\n\r\n \r\n\r\nl         创建loop设备\r\n\r\ndd if=/dev/zero of=~/dm-crypt.image bs=1M count=10    \r\n\r\nlosetup /dev/loop0 ~/dm-crypt.image\r\n\r\n       \r\n\r\nl         建立device-mapper\r\n\r\ncryptsetup -y create dm-crypt /dev/loop0\r\n\r\n(提示输入密码)\r\n\r\n \r\n\r\nl         创建文件系统并加载\r\n\r\nmkfs.ext3 /dev/mapper/dm-crypt\r\n\r\nmount /dev/mapper/dm-crypt /mnt/crypto\r\n\r\n \r\n\r\nl         卸载\r\n\r\numount /mnt/crypto/\r\n\r\ncryptsetup remove  dm-crypt\r\n\r\nlosetup -d  /dev/loop0\r\n\r\n \r\n\r\nl         重新加载\r\n\r\ncryptsetup -y create dm-crypt /dev/loop0\r\n\r\nmount /dev/mapper/dm-crypt /mnt/crypto\r\n\r\n \r\n\r\ndevice-mapper crypto 的实现在drivers/md目录下，相对来说要复杂得多，没有来得及仔细阅读。

he2007

方法三：ecryptfs\r\n\r\nl         下载并编译\r\n\r\nhttp://people.redhat.com/~dhowells/keyutils/keyutils-1.2.tar.bz2\r\n\r\ntar  jxf keyutils-1.2.tar.bz2  \r\n\r\ncd keyutils-1.2\r\n\r\nmake;make install\r\n\r\n \r\n\r\ntar jxf ecryptfs-20070306.tar.bz2\r\n\r\ncd ecryptfs-20070306/ecryptfs-util\r\n\r\n./configure;make;make install\r\n\r\n \r\n\r\nl         编译内核\r\n\r\nmake menuconfig\r\n\r\nFile systems>Miscellaneous filesystems\r\n\r\nCONFIG_ECRYPT_FS\r\n\r\n \r\n\r\nl         加载模块\r\n\r\nmodprobe ecryptfs\r\n\r\n(以及加密模块)\r\n\r\n \r\n\r\nl         加载\r\n\r\nmkdir /root/crypt\r\n\r\nmkdir /mnt/crypt\r\n\r\nmount -t ecryptfs /root/crypt /mnt/crypt\r\n\r\n(提示输入密码和算法)     \r\n\r\n \r\n\r\nl         卸载\r\n\r\numount /mnt/crypt\r\n\r\n \r\n\r\nl         重新加载\r\n\r\nmount -t ecryptfs /root/crypt /mnt/crypt\r\n\r\n              (提示输入密码和算法)  \r\n\r\n \r\n\r\n看来ecryptfs的特点是能够对目录进行加密，而不必加密整个磁盘。直接读取原始目录中的文件，只能读到加密后的数据，要正确读取数据，只有先把该目录用ecryptfs文件系统格式加载到另外一个目录，之后才能读取。而在加载时要指定密码和加密算法，这就起到保密作用。如果加载时指定错误的密码或加密算法，仍然可以加载而不会出错，但读出的数据是无效的。\r\n\r\n \r\n\r\necryptfs的代码在fs/ecryptfs目录下，只有比较新的kernel版本才有，我用的是linux-2.6.21。它的实现与前面两种方法不同，它完全是按文件系统的方式来实现的。\r\n\r\n \r\n\r\n以上几种加密方法，在加载时都要输入密码，为了使用上的方便，可以与PAM+libpam-mount插件集成起来，用当前用户的密码作为加密的密码，这样就只需要在登录时输入一次就够了。\r\n\r\n \r\n\r\n参考资源：\r\n\r\nhttp://www.saout.de/misc/dm-crypt/\r\n\r\nhttp://www.pconline.com.cn/smb/yrzc/linux/0701/954465.html\r\n\r\nhttp://www.ibiblio.org/pub/Linux/docs/HOWTO/Cryptoloop-HOWTO\r\n\r\n \r\n\r\n~~end~~