CentOS中使用VeraCrypt：安装及创建整个加密硬盘

cd /usr/local/src
wget https://launchpad.net/veracrypt/trunk/1.19/+download/veracrypt-1.19-setup.tar.bz2[/code] 
解压文件：

tar -jxvf veracrypt-1.19-setup.tar.bz2


解压后有四个文件：

这里写图片描述

（二）、安装

因为我安装的CentOS是64位的，并且没有安装GUI，所以安装veracrypt-1.19-setup-console-x64

./veracrypt-1.19-setup-console-x64


1、选择安装模式

安装程序弹出提示：问你是安装veracrypt(选项1）还是将安装包解压到/tmp目录下，这里选择“1”，并回车：

VeraCrypt 1.19 Setup
____________________

Installation options:

1) Install veracrypt_1.19_console_amd64.tar.gz
2) Extract package file veracrypt_1.19_console_amd64.tar.gz and place it to /tmp

To select, enter 1 or 2:


2、查看并接受用户许可

接下来弹出提示，让你输入回车查看用户许可:

Before you can use, extract, or install VeraCrypt, you must accept the
terms of the VeraCrypt License.

Press Enter to display the license terms...


单击回车后就可以看到用户许可的全文，如果不想看完，可以按q退出； 这时程序会问你是否接受许可，输入yes.

Do you accept and agree to be bound by the license terms? (yes/no): yes


Uninstalling VeraCrypt:
-----------------------

To uninstall VeraCrypt, please run 'veracrypt-uninstall.sh'.

Installing package...
usr/
usr/share/
usr/share/veracrypt/
usr/share/veracrypt/doc/
usr/share/veracrypt/doc/License.txt
usr/share/veracrypt/doc/VeraCrypt User Guide.pdf
usr/share/pixmaps/
usr/share/pixmaps/veracrypt.xpm
usr/share/applications/
usr/share/applications/veracrypt.desktop
usr/bin/
usr/bin/veracrypt
usr/bin/veracrypt-uninstall.sh

Press Enter to exit...


此时，输入回车就完成安装。

3、验证安装

输入如下命令：

[root@localhost src]# veracrypt --version
VeraCrypt 1.19


如果此时程序出现如下错误提示

[root@localhost src]# veracrypt -version
veracrypt: error while loading shared libraries: libfuse.so.2: cannot open shared object file: No such file or directory


则需要安装fuse-libs

yum install -y fuse-libs


三、创建整个加密硬盘

现在使用fdisk -l命令就可以看到我们之前添加的那块8GB的虚拟硬盘：

Disk /dev/sdb: 8589 MB, 8589934592 bytes
255 heads, 63 sectors/track, 1044 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00000000


目前还没有进行分区操作。

其实我们也没有必要对待加密的整个磁盘进行分区操作，除非我们只是想加磁盘的一部分进行加密操作的话，那么可以先对磁盘进行分区，然后使用veracrypt针对某一分区进行加密。

（一）创建加密硬盘

创建加密硬盘使用veracrypt -t -c

-t的意思是使用文件向导创建加密盘，-c的意思是create创建加密盘

1、启动加密盘创建向导

[root@localhost src]# veracrypt -t -c
Volume type:
1) Normal
2) Hidden
Select [1]: 1


这里面是创建普通加密盘，还是隐藏加密盘。这里选择第1项，创建普通加密盘

2、输入待加密磁盘的路径

向导会提示你输入加密的磁盘路径，由于我们这里是加密整块硬盘，然后只输入设备名，不用输入分区名：

Enter volume path: /dev/sdb


3、选择加密算法

接下来，向导会提示你选择加密算法和哈希算法，这里我们选择AES SHA-512:

Encryption Algorithm:
1) AES
2) Serpent
3) Twofish
4) Camellia
5) Kuznyechik
6) AES(Twofish)
7) AES(Twofish(Serpent))
8) Serpent(AES)
9) Serpent(Twofish(AES))
10) Twofish(Serpent)
Select [1]: 1

Hash algorithm:
1) SHA-512
2) Whirlpool
3) SHA-256
4) Streebog
Select [1]: 1


4、选择加密后的文件系统格式

由于我们将加密磁盘用于Linux系统的，因此选择Linux Ext4

Filesystem:
1) None
2) FAT
3) Linux Ext2
4) Linux Ext3
5) Linux Ext4
6) NTFS
7) exFAT
Select [2]: 5


5、输入密码

Enter password:
WARNING: Short passwords are easy to crack using brute force techniques!

We recommend choosing a password consisting of 20 or more characters. Are you sure you want to use a short password? (y=Yes/n=No) [No]: yes

Re-enter password:


由于我这里用于演示的密码太短，系统提示我当前密码很容易被暴力破解，建议使用20个字符以上的密码，是否还要使用当前密码。这里输入yes

接着系统会让你再次输入一次密码：Re-enter password:

6、输入PIM

接下来系统会让你输入PIM。

Enter PIM


这个PIM是什么？我上网查了一下，就是Personal Iterations Multiplier”的缩写。通俗地说就是：你可以自定义“加密盘的头部密钥生成时的迭代次数”。这个“迭代次数”越大，计算头部密钥的时间就越长，因此挂载加密盘的过程就越慢；表面上看，这是一个缺点。但其好处在于：如果某个攻击者想要采用暴力破解的方式对“头部”进行穷举解密，每次一次尝试也同样需要花很长时间（同样要迭代 N 次）。所以，当 N 足够大，暴力破解就变得不可行。

如果你设置的密码过于简短，那么 VeraCrypt 会强制让你输入一个比较大的 PIM 数值（大于 485, 但是要小于2147468）。

如果你创建加密盘的时候，指定了 PIM 数值，那么在挂载的时候，需要输入【相同的】PIM 数值。 如果输入的数值与创建时指定的 PIM 数值不一致，则挂载失败。

这里我们直接回车就可以.

7、输入keyfile

接下来，指定keyfile

Enter keyfile path [none]:


这里我们先不指定，所以直接回车。

8、输入320个随机字符

在键盘上随意输入字符，如果不知道输入的数量够不够，可以回车，向导就会提示你还剩多少个字符没有输入了：

Please type at least 320 randomly chosen characters and then press Enter:
Characters remaining: 277
Characters remaining: 172
Characters remaining: 88
Characters remaining: 31


当输入的随机字符数量符合要求后，向导就开始创建加密盘了：

Done:   9.946%  Speed:   89 MB/s  Left: 81 s


全部完成后会有如下提示

Done: 100.000%  Speed:   88 MB/s  Left: 0 s

The VeraCrypt volume has been successfully created.


（二）挂载加密磁盘

1、挂载加密磁盘

挂载由veracrypt加密的磁盘和挂载普通磁盘的命令不一样，不能使用mount。

在未挂载前使用fdisk -l命令查看的话，磁盘还是没有分区和格式化的状态：

Disk /dev/sdb: 8589 MB, 8589934592 bytes
255 heads, 63 sectors/track, 1044 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x330ad122


在这种状态下是没有办法使用mount命令的。

正确的方法是使用命令 veracrypt /dev/sdb /mnt：

[root@localhost src]# veracrypt /dev/sdb /mnt
Enter password for /dev/sdb:
Enter PIM for /dev/sdb:
Enter keyfile [none]:
Protect hidden volume (if any)? (y=Yes/n=No) [No]:


这时系统会提示是输入加密磁盘时预留的密码，后三项可以直接回车略过。

2、查看磁盘挂载情况

这里再使用fdisk -l命令查看的话，在原来的磁盘/dev/sda、/dev/sdb的基础上会多出一个/dev/mapper/veracrypt1磁盘，这就是挂载上来加密磁盘：

Disk /dev/mapper/veracrypt1: 8589 MB, 8589672448 bytes
255 heads, 63 sectors/track, 1044 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00000000


使用 df -h命令查看可以看到/dev/mapper/veracrypt1已经挂载到/mnt目录上了。

[root@localhost src]# df -h
Filesystem            Size  Used Avail Use% Mounted on
/dev/sda3              47G 1001M   43G   3% /
tmpfs                 939M     0  939M   0% /dev/shm
/dev/sda1             976M   80M  845M   9% /boot
/dev/mapper/veracrypt1
7.8G   18M  7.4G   1% /mnt


3、尝试访问和写入文件

[root@localhost src]# cd /mnt
[root@localhost mnt]# ll
总用量 16
drwx------. 2 root root 16384 2月   6 21:35 lost+found
[root@localhost mnt]# touch 1.txt
[root@localhost mnt]# ll
总用量 16
-rw-r--r--. 1 root root     0 2月   6 21:48 1.txt
drwx------. 2 root root 16384 2月   6 21:35 lost+found
[root@localhost mnt]# echo "text" >2.txt
[root@localhost mnt]# ll
总用量 20
-rw-r--r--. 1 root root     0 2月   6 21:48 1.txt
-rw-r--r--. 1 root root     5 2月   6 21:49 2.txt
drwx------. 2 root root 16384 2月   6 21:35 lost+found


没有问题，挂载成功。

（三）卸载加密硬磁盘

既然挂载加密磁盘有专用的命令，那么卸载加密磁盘也一定有专用的命令：

veracrypt -d /mnt


如果要卸载系统中挂载的全部veracrypt加密磁盘，则使用：

veracrypt -d


不指定挂载目录即可。

再次查看系统中已经挂载的磁盘：

[root@localhost ~]# df -h
Filesystem      Size  Used Avail Use% Mounted on
/dev/sda3        47G 1001M   43G   3% /
tmpfs           939M     0  939M   0% /dev/shm
/dev/sda1       976M   80M  845M   9% /boot


veracrypt加密磁盘已经被卸载掉了