Ubuntu全盘加密&开机自动解密配置

原创 已于 2023-07-03 14:22:15 修改 · 4.8k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ubuntu #linux #系统安全

于 2023-07-03 12:02:47 首次发布
该文介绍了如何在Ubuntu20.04安装过程中选择全盘加密,并配置基于boot项的自动解密。通过创建keyfile并添加到加密磁盘,更新initramfs,实现了开机时无需手动输入密码的自动解密功能,增强了服务器的安全性。同时,文章还提供了去除开机自动解密的步骤。

【背景】
对于托管的服务器,或者交付至客户手上的服务器,由于信息安全的重要性,需要对全硬盘进行加密配置。但是目前呢,基本上全网文档都是基于创建新的分区或者接入新的硬盘才做的luks加密。没有做到全覆盖。而且,做了ubuntu的安装界面加密,需要每次开启启动时手动输入密码也是极其不方便,且是不可能远程实现的。所以这边基于调研,做了个基于Ubuntu 20.04 安装时,选择全盘加密,并做了基于boot项的自动解密。分享给大家。
一、【安装】
1.1 U盘刻录Ubuntu 20.04 系统,在安装过程中,选择清除整个磁盘并安装Ubuntu,ADvance fetures-在Ubuntu新安装中使用LVM,勾选加密Ubuntu新安装以提高安全性。如图1所示。图1
1.2 设置磁盘加密密码,并选择覆盖空磁盘。
之后的步骤安装完成即可。
1.3 安装完成之后,启动机器,每次开机需要先输入硬盘密码。
在这里插入图片描述
1.4【验证加密的磁盘是否可以被其他系统挂载使用】
在这里插入图片描述
将其卸下,挂载在其他机器上,提示未知的文件系统类型“crypto_Luks”.
说明,整块磁盘加密成功。
二、【磁盘解密配置】
2.1 #查看磁盘类型

sudo lsblk

在这里插入图片描述
nvme0n1 259:0 0 1.8T 0 disk
├─nvme0n1p1 259:1 0 512M 0 part /boot/efi
├─nvme0n1p2 259:2 0 1.4G 0 part /boot
└─nvme0n1p3 259:3 0 1.8T 0 part
└─nvme0n1p3_crypt 253:0 0 1.8T 0 crypt
├─vgubuntu-root 253:1 0 1.8T 0 lvm /
└─vgubuntu-swap_1 253:2 0 976M 0 lvm [SWAP]
##nvme0n1 为整块磁盘
#nvme0n1p1 259:1 0 512M 0 part /boot/efi
#nvme0n1p2 259:2 0 1.4G 0 part /boot #boot启动项,可以将加密解密的keyfile 放在此 做系统引导解密
#nvme0n1p3 259:3 0 1.8T 0 part
#vgubuntu-root 253:1 0 1.8T 0 lvm / ## 为根目录,即加密路径
2.2 #加密方式,keyfile

sudo dd if=/dev/urandom of=/boot/keyfile bs=1024 count=4

sudo chmod 600 /boot/keyfile

#加密的磁盘:/dev/nvme0n1p3,按照提示输入之前配置的磁盘加密密码
##/boot 分区的磁盘:/dev/nvme0n1p2

sudo cryptsetup luksAddKey /dev/nvme0n1p3 /boot/keyfile

配置启动引导

sudo vim  /etc/crypttab

nvme0n1p3_crypt UUID=##uuid不要改,修改后面配置项 /dev/nvme0n1p2:/keyfile luks,keyscript=/lib/cryptsetup/scripts/passdev

##加载内核生效

sudo update-initramfs -u

##重启测试

sudo reboot

三、【去除开机自动解密】

sudo vim  /etc/crypttab

nvme0n1p3_crypt UUID=${uuid不变] none luks,discard

##加载内核生效

sudo update-initramfs -u

##重启测试

sudo reboot
opreator.ke
关注
Debian做Crypt-disk磁盘加密
weixin_53502350的博客
02-28 1192
Crypt-disk 创建一块新的磁盘,启用磁盘加密,解锁密码为“CSK2021!”; 映射到/dev/mapper/crypt 分区,并挂载到/mut/crypt 目录 第一步:添加一块磁盘,以磁盘六为例 第二步:查看磁盘是否添加进系统 第三步:磁盘分区第四步:安装软件包 root@Server01:~# apt install -y cryptsetup 第五步:使用 cryptsetup luksFormat命令,加密分区,密码需要输两次 第六步:使用命令打开...
centos7.9磁盘全盘加密&开机自动解密
qq_41411704的博客
07-03 1925
boot启动项, 解密原理一致。2.1#加密方式:将密码写入boot引导文件keyfile。#修改 启动内核 grub ,用boot分区引导解密。此步骤,直接在安装时,选择数据加密即可,设置密码。#加密的磁盘:/dev/nvme0n1p3。#nvme0n1p2 boot启动项。#测试keyflie 解密是否ok。#nvme0n1p3 为加密磁盘。#根据提示,输入硬盘加密密码。#查看磁盘的各分区的磁盘类型。二、【磁盘解密配置】##重新引导grub。三、【去除磁盘解密】##重新引导grub。
如何在安装 Ubuntu 22.04 时加密全盘
美国主机评测
06-10 6450
本分步教程将指导您如何在Ubuntu 22.04上启用全盘加密,为此,我们将使用LVM(逻辑卷管理)和LUKS(用于加密目的)。
Linux/Ubuntu/Debian中加密磁盘(U盘)
I AM COMING BACK...
03-04 1497
此过程适用于加密 USB 驱动器。如果你正在考虑加密 Linux 系统上的根分区或主分区,则可能需要执行其他步骤,建议你查阅你的发行版文档,以获取有关在安装过程中设置加密分区的指导。在访问文件之前,你需要打开LUKS加密的设备并将其映射到设备名称。加密设备解锁后,你可以将映射设备(解密视图)挂载到文件系统中的目录。关闭设备可确保设备被锁定,并且在不再次解锁的情况下无法再访问。替换为你的 USB 驱动器的适当标识符。替换为所需的安装点。
Ubuntu多硬盘luks全盘加密自动解锁(硬件变更后失效)的方法
Alisebeast的博客
01-14 6086
大家都知道,Linux现在用Luks全盘加密一直有一个痛点,就是每次开机都需要输入解密硬盘的密码,之后又要输入用户密码,非常的麻烦!本文正是为了解决这个问题诞生的!
Ubuntu加密文件系统
datoplay
10-10 504
http://blog.chinaunix.net/space.php?uid=20740092&do=blog&cuid=1108291 sudo apt-get install dmsetup cryptsetup time sudo dd if=/dev/zero of=svn.img bs=1M count=35000 sudo losetup /dev/loop...
已解决:Ubuntu22.04全盘加密自动解密
doubleteng的博客
03-21 1986
Ubuntu22.04安装;Ubuntu全盘加密自动解密
de-LUKS:对Linux最流行的全盘加密工具实施邪恶的女仆攻击
05-16
Ubuntu 16.04 重要说明:由于de-LUKS是用于安全评估的工具,因此我将0的精力放在隐藏它上。 但是请注意,如果有人真的愿意,他们可能会使该工具几乎无法检测到(只有在initramfs之前运行的软件或在引导前搜索经过...
eCryptfs,文件系统级加密,在登出时自动文件加密。通过挂载文件解密和卸载文件加密的方式保护文件
ck784101777的博客
03-02 8402
一、文件目录加密与磁盘加密 1.文件目录加密 我们主要有两种加密文件和目录的方法。一种是文件系统级别的加密,在这种加密中,你可以选择性地加密某些文件或者目录(如,/home/alice)。然而,文件系统级别的加密也有一些缺点。例如,许多现代应用程序会缓存(部分)文件你硬盘中未加密的部分中,比如交换分区、/tmp和/var文件夹,而这会导致隐私泄漏。 加密方式: EncFS:尝试加密的最简单...
【数据保护】:Ubuntu文件加密解密策略与技巧,数据安全守则
[【数据保护】:Ubuntu文件加密解密策略与技巧,数据安全守则](https://www.fosslinux.com/wp-content/uploads/2020/01/encrypt-files-linux.png) # 1. Ubuntu数据保护的重要性 随着信息技术的迅猛发展,企业与个人...
Ubuntu Linux加密文件系统篇
03-04
本文将详细介绍利用dm-crypt来创建加密文件系统的方法。与其它创建加密文件系统的方 法相比,dm-crypt系统有着无可比拟的优越性:它的速度更快,易用性更强。除此之外,它的适用面也很广,能够运行在各种块设备上,即使这些设备使用 了RAID和 LVM也毫无障碍。dm-crypt系统之所以具有这些优点,主要得益于该技术是建立在2.6版本内核的device-mapper特性之上的。 device-mapper是设计用来为在实际的块设备之上添加虚拟层提供一种通用灵活的方法,以方便开发人员实现镜像、快照、级联和加密等处理。
Ubuntu 19.04 磁盘加密
aboutmn的博客
08-25 4977
安装时加密 注意事项: “Encrypt the new Ubuntu installation for security”和“Use LVM With new Ubuntu installation” 必须同时选中 当选择“Something Else 时,无法使用加密. 效果: 分区加密 分区: U盘加密
ubuntu文件加密
流沙
07-11 1217
这是一种增强加密容器密码的方法,用于提高安全性。推荐使用 AES 算法,尤其是 AES-256,这是目前公认的高强度加密标准。一般来说,PIM 值越大,加密过程越复杂,从而提高了安全性,但可能会增加解密过程的时间。如果你的安全需求不是非常高,可以选择较低的 PIM 值,比如 100000 或更低。如果主要在 Linux 下使用,Ext4 是最合适的选择,因为它与 Linux 系统集成良好,并且支持较好的文件权限管理。如果需要访问加密磁盘空间的文件,则需要挂载,挂载前需要填密码,以此来实现加密
ubuntu硬盘i设置密码
Masha
04-26 1025
1,重新启动,按F12进入bios系统 2.选择BIOS set up 3.然后选择 Security 4.选择Internate Hb
全盘加密Ubuntu系统上如何实现自动开机
深山技术宅的博客
06-30 673
Ubuntu全盘加密系统中实现自动开机可通过以下方法: U盘密钥:创建密钥文件并写入U盘,修改/etc/crypttab配置,系统启动时检测U盘自动解锁 TPM 2.0:安装clevis工具绑定加密分区到TPM芯片,重启后自动验证解锁(需主板支持) 网络解锁:通过SSH远程输入密码(适合服务器) 注意事项:需确保物理环境安全,备份原始密码,并验证分区信息。U盘/TPM方式提供便利性但存在物理窃取风险,建议根据场景选择合适方案。(149字)
Ubuntu 23.10 支持基于 TPM 的全磁盘加密
Jdjdjjdjdjdje的博客
09-09 221
经典 Ubuntu 桌面系统上的 TPM 支持的全磁盘加密基于 Ubuntu Core 相同的架构,它共享许多设计和实现原则。Ubuntu 开发商 Canonical 公司表示,Ubuntu 23.10 添加实验性 TPM 支持的全磁盘加密,以补充他们多年来一直提供的全磁盘加密。最后,我们将使用统一内核映像,其中内核和 initramfs 将封装在一个包含执行内核的小存根的单个 PE 二进制文件中。从最初提供基于 eCryptfs 的主目录加密,然后补充了 Ubuntu 桌面和服务器的全磁盘加密
ubuntu文件加密
风行天下
08-07 1950
               当Ubuntu Linux使用加密文件系统后,数据的安全能得到很好的保护。在这种情况下,即使把我们的机器送给黑客,只要他们没有密钥,黑客看到的数据只会是一堆乱码,毫无利用价值可言。     本文将详细介绍利用dm-crypt来创建加密文件系统的方法。与其它创建加密文件系统的方法相比,dm-crypt系统有着无可比拟的优越性:它的速度更快,易用性更强。除此之外,它的适...
如何在 Ubuntu加密硬盘
BalterNotz的博客
12-16 4314
https://linux.cn/article-8184-1.html     隐私保护、安全和加密是不可分开的,用户可以通过加密来提高安全和保护操作系统的隐私信息。本文将会介绍在 Ubuntu Linux 中对硬盘全盘加密的优缺点。此外,我们也介绍如何在系统级别上进行加密设置,并对一些目录进行加密加密是非常有用的,而且也没有你想象中那么复杂。综上所述,让我开始进行加密吧。 加密的优缺...
玩转Ubuntu Linux加密文件系统篇
Fybon的专栏
10-14 5220
本文将详细介绍利用dm-crypt来创建加密文件系统的方法。与其它创建加密文件系统的方法相比,dm-crypt系统有着无可比拟的优越性:它的速度更快,易用性更强。除此之外,它的适用面也很广,能够运行在各种块设备上,即使这些设备使用了RAID和 LVM也毫无障碍。dm-crypt系统之所以具有这些优点,主要得益于该技术是建立在2.6版本内核的device-mapper特性之上的。device-map
ubuntu访问加密数据
最新发布
08-26
Ubuntu系统中访问加密数据通常涉及几种常见的加密场景,例如文件加密、磁盘加密(如LVM加密全盘加密)以及加密的归档文件等。以下是几种常见的访问和解密方法: ### 使用LUKS进行磁盘解密 Ubuntu中常见的磁盘加密技术是LUKS(Linux Unified Key Setup),它通常用于对整个磁盘或分区进行加密。要访问LUKS加密的磁盘,可以使用`cryptsetup`工具。 1. **解锁加密设备**: ```bash sudo cryptsetup luksOpen /dev/sdX encrypted_volume ``` 其中`/dev/sdX`是加密设备的路径,`encrypted_volume`是解密后设备的名称。执行后需要输入密码[^1]。 2. **挂载解密后的设备**: ```bash sudo mount /dev/mapper/encrypted_volume /mnt ``` 3. **关闭加密设备**: ```bash sudo umount /mnt sudo cryptsetup luksClose encrypted_volume ``` ### 使用GPG解密文件 GPG(GNU Privacy Guard)是用于文件加密和签名的工具。如果文件使用GPG加密,可以通过以下命令解密: ```bash gpg -o output_file -d encrypted_file.gpg ``` 执行命令后需要输入相应的密码[^2]。 ### 访问加密的ZIP或RAR文件 对于使用密码保护的ZIP或RAR文件,可以通过命令行工具解密: - **解密ZIP文件**: ```bash unzip encrypted.zip ``` 系统会提示输入密码。 - **解密RAR文件**: ```bash unrar x encrypted.rar ``` 同样需要输入密码才能解压文件[^3]。 ### 使用EncFS访问加密文件夹 EncFS是一种基于用户空间的加密文件系统,适合用于加密特定目录。 1. **创建加密文件夹**: ```bash encfs ~/encrypted_folder ~/decrypted_folder ``` 首次运行时会提示创建新文件系统并设置密码。 2. **挂载加密文件夹**: ```bash encfs ~/encrypted_folder ~/decrypted_folder ``` 输入密码后,加密文件夹将挂载为可读写的解密目录。 3. **卸载加密文件夹**: ```bash fusermount -u ~/decrypted_folder ``` ###
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值