开发Linux系统下的磁盘加密方法详解
2010-11-16 10:03
399 查看
随着智能手机的计算能力和存储能力的提高,手机中将会存放越来越多的私有数据,这些数据的泄密可能造成严重后果。手机信息安全一直是我们的重点之一,对于一些重要的功能我们要求鉴权后才能使用,但这只能挡住初级的***,只能防君子不能防小人,所以我们希望把重要的数据进行加密后再保存。为此,今天花了一点时间去了解Linux 磁盘加密的方法。
方法一:
cryptoloop就是一种transfer的实现。至于使用哪种transfer及transfer的参数(如密码),这可以通过LOOP_SET_STATUS64的ioctrl系统调用来完成(mount命令就是这样实现的)。
cryptoloop的缺点是只能针对loop设备,而且对日志型文件系统无效
方法二:device-mapper crypto
下载并编译cryptsetup(已经有了就跳过)
device-mapper crypto 的实现在drivers/md目录下,相对来说要复杂得多,没有来得及仔细阅读。
方法三:ecryptfs
看来ecryptfs的特点是能够对目录进行加密,而不必加密整个磁盘。直接读取原始目录中的文件,只能读到加密后的数据,要正确读取数据,只有先把该目录用ecryptfs文件系统格式加载到另外一个目录,之后才能读取。而在加载时要指定密码和加密算法,这就起到保密作用。如果加载时指定错误的密码或加密算法,仍然可以加载而不会出错,但读出的数据是无效的。
ecryptfs的代码在fs/ecryptfs目录下,只有比较新的kernel版本才有,我用的是linux-2.6.21。它的实现与前面两种方法不同,它完全是按文件系统的方式来实现的。
以上几种加密方法,在加载时都要输入密码,为了使用上的方便,可以与PAM+libpam-mount插件集成起来,用当前用户的密码作为加密的密码,这样就只需要在登录时输入一次就够了.
方法一:
下载并编译util-linux http://www.paranoiacs.org/~sluskyb/hacks/util-linux/losetup-combined.patch http://ftp.cwi.nl/aeb/util-linux/util-linux-2.12.tar.gz http://hydra.azilian.net/util-linux-2.12-kernel-2.6.patch tar zxvf util-linux-2.12.tar.gz cd util-linux-2.12 patch -p1 < ../losetup-combined.patch patch -p1 < ../util-linux-2.12-kernel-2.6.patch (如果有_syscall5之类编译错误,将它换成新的调用方式syscall) make;make install 编译内核(已经支持cryptoloop则跳过此步) make menuconfig Device Drivers >Block Devices>Loopback device support BLK_DEV_CRYPTOLOOP 加载模块 modprobe cryptoloop (以及加密模块) 创建loop设备 dd if=/dev/zero of=~/cryptoloop.image bs=1M count=10 losetup -e aes-256 /dev/loop0 ~/cryptoloop.image (提示输入密码) 创建文件系统并加载 mkfs.ext3 /dev/loop0 mkdir /mnt/crypto mount -t ext3 ~/cryptoloop.image /mnt/crypto/ -oencryption=aes-256 (提示输入密码) 卸载 umount /mnt/crypto losetup -d /dev/loop0 重新加载 losetup -e aes-256 /dev/loop0 ~/cryptoloop.image mount -t ext3 ~/cryptoloop.image /mnt/crypto/ -oencryption=aes-256 |
cryptoloop的缺点是只能针对loop设备,而且对日志型文件系统无效
方法二:device-mapper crypto
下载并编译cryptsetup(已经有了就跳过)
wget http://www.saout.de/misc/dm-crypt/cryptsetup-0.1.tar.bz2 cd cryptsetup-0.1 ./configure;make;make install 编译内核(已经支持则跳过此步) make menuconfig Device Drivers > Multi-device support (RAID and LVM) CONFIG_BLK_DEV_DM CONFIG_DM_CRYPT 加载模块 modprobe dm-crypt (以及加密模块) 创建loop设备 dd if=/dev/zero of=~/dm-crypt.image bs=1M count=10 losetup /dev/loop0 ~/dm-crypt.image 建立device-mapper cryptsetup -y create dm-crypt /dev/loop0 (提示输入密码) 创建文件系统并加载 mkfs.ext3 /dev/mapper/dm-crypt mount /dev/mapper/dm-crypt /mnt/crypto 卸载 umount /mnt/crypto/ cryptsetup remove dm-crypt losetup -d /dev/loop0 重新加载 cryptsetup -y create dm-crypt /dev/loop0 mount /dev/mapper/dm-crypt /mnt/crypto |
方法三:ecryptfs
下载并编译 http://people.redhat.com/~dhowells/keyutils/keyutils-1.2.tar.bz2 tar jxf keyutils-1.2.tar.bz2 cd keyutils-1.2 make;make install tar jxf ecryptfs-20070306.tar.bz2 cd ecryptfs-20070306/ecryptfs-util ./configure;make;make install 编译内核 make menuconfig File systems>Miscellaneous filesystems CONFIG_ECRYPT_FS 加载模块 modprobe ecryptfs (以及加密模块) 加载 mkdir /root/crypt mkdir /mnt/crypt mount -t ecryptfs /root/crypt /mnt/crypt (提示输入密码和算法) 卸载 umount /mnt/crypt 重新加载 mount -t ecryptfs /root/crypt /mnt/crypt (提示输入密码和算法) |
ecryptfs的代码在fs/ecryptfs目录下,只有比较新的kernel版本才有,我用的是linux-2.6.21。它的实现与前面两种方法不同,它完全是按文件系统的方式来实现的。
以上几种加密方法,在加载时都要输入密码,为了使用上的方便,可以与PAM+libpam-mount插件集成起来,用当前用户的密码作为加密的密码,这样就只需要在登录时输入一次就够了.
相关文章推荐
- 开发Linux系统下的磁盘加密方法详解
- Linux 系统磁盘满处理方法
- 在Linux下创建分区和文件系统的方法详解
- Linux系统下为Gitlab配置邮件提醒的方法详解
- Linux设备驱动开发详解-Note(11)--- Linux 文件系统与设备文件系统(3)
- Linux设备驱动开发详解-Note(11)--- Linux 文件系统与设备文件系统(3)
- VirtualBox下安装已经配置好Linux驱动开发环境的Ubuntu系统的方法
- Linux设备驱动开发详解-Note(9)--- Linux 文件系统与设备文件系统(1)
- 详解Linux系统修改环境变量PATH路径的方法
- Linux设备驱动开发详解-Note(10)--- Linux 文件系统与设备文件系统(2)
- Linux系统自带spi驱动加载及应用程序编写方法详解
- Linux监控系统开发详解(二)----make menuconfig过程详解
- Linux设备驱动开发详解-Note(9) --- Linux 文件系统与设备文件系统(1)
- Linux 系统磁盘满处理方法
- Linux系统上给文件按占用磁盘空间大小排序的方法
- [转贴] u-boot 分析 - <节选> [嵌入式Linux系统开发技术详解-基于ARM]
- 阿里云Linux系统Nginx配置多个域名的方法详解
- Linux下的磁盘加密方法
- Linux系统木马后门查杀方法详解
- 在Linux系统中加密邮件的方法