linux开放源码dm-crypt.pdf

"Linux dm-crypt 加密文件系统" dm-crypt 是一个基于 Linux 内核的加密文件系统解决方案，它可以提供高级的加密保护和灵活的存储管理。本文将详细介绍如何使用 dm-crypt 创建加密文件系统，包括配置内核、加载 dm-crypt 模块、安装 dmsetup 软件包、建立加密设备等步骤。 一、配置内核 dm-crypt 系统之所以具有高级的加密功能，主要得益于该技术是建立在 2.6 版本内核的 device-mapper 特性之上的。 device-mapper 是一个通用的块设备管理器，可以为块设备添加虚拟层，以方便开发人员实现镜像、快照、级联和加密等处理。dm-crypt 使用了内核密码应用编程接口实现了透明的加密，并且兼容 cryptloop 系统。 为了使用 dm-crypt，我们需要首先检查内核是否已经加载了 AES 密码模块，可以使用以下命令： ```bash $ cat /proc/crypto ``` 如果看到类似下面的输出，说明 AES 模块已经加载： ``` name : aes module : aes type : cipher blocksize : 16 min keysize : 16 max keysize : 32 ``` 否则，我们可以使用 modprobe 命令来手工加载 AES 模块： ```bash $ sudo modprobe aes ``` 二、加载 dm-crypt 模块 接下来，我们需要加载 dm-crypt 内核模块： ```bash $ sudo modprobe dm-crypt ``` dm-crypt 加载后，它会自动注册 device-mapper，並且把 crypt 添加为可用的对象。 三、安装 dmsetup 软件包 dmsetup 软件包包含有配置 device-mapper 所需的工具，我们可以使用以下命令来安装： ```bash $ sudo apt-get install dmsetup cryptsetup ``` 四、建立加密设备 我们可以使用两种方式来建立加密设备：一是建立一个磁盘映像，然后作为回送设备加载；二是使用物理设备。无论那种情况，除了在建立和捆绑回送设备外，其它操作过程都是相似的。 1. 建立回送磁盘映象 我们可以使用 dd 命令来建立一个空磁盘映象，然后将该映象作为回送设备来装载： ```bash $ dd if=/dev/zero of=~/secret.img bs=1M count=100 ``` 这里我们新建了一个大小为 100 MB 的磁盘映象， 该映象名字为 secret.img。要想改变其大小， 可以改变 count 的值。 接下来，我们可以使用 losetup 命令将该映象和一个回送设备联系起来： ```bash $ sudo losetup /dev/loop/0 ~/secret.img ``` 现在，我们已经得到了一个虚拟的块设备，其位于 /dev/loop/0，并且我们能够如同使用其它设备那样来使用它。 2. 设置块设备 准备好了物理块设备（例如 /dev/sda1 ），或者是虚拟块设备（像前面那样建立了回送映象，并利用 device-mapper 将其作为加密的逻辑卷加载），我们就可以进行块设备配置了。 下面我们使用 cryptsetup 来建立逻辑卷，并将其与块设备捆绑： ```bash $ sudo cryptsetup -y create myEncryptedFilesystem /dev/DEVICENAME ``` 其中， myEncryptedFilesystem 是新建的逻辑卷的名称。并且最后一个参数必须是将用作加密卷的块设备。所以， 如果你要使用前面建立的回送映象作为虚拟块设备的话，应当运行以下命令： ```bash $ sudo cryptsetup -y create myEncryptedFilesystem /dev/loop/0 ``` 现在，你已经拥有了一个加密的文件系统，可以用于存储敏感数据。