мы можем сделать полное шифрование диска уже установленной машины Linux?

1841
Govind Karmakar

Мне нужна информация о возможности полного шифрования диска для уже установленной системы Linux (например, CentOS или Ubuntu).

Существует ли какой-либо механизм по умолчанию для FDE, присутствующий в Linux, такой как «FileVault 2 в MAC OS X».

Я провел некоторое исследование по этому вопросу и наткнулся на «dm-crypt», который является стандартной функцией шифрования устройства отображения, предоставляемой ядром Linux.

Мне нужно иметь сценарий shell / bash, который будет вызываться на машине Linux для выполнения Full Disk Encryption.

Любая помощь / понимание или предложение будут иметь большую помощь.

1
Поскольку вы не указали, на какой дистрибутив вы хотите установить его. Я бы, наверное, просто пошел с LUKS. http://www.cyberciti.biz/hardware/howto-linux-hard-disk-encryption-with-luks-cryptsetup-command/ RoraΖ 9 лет назад 0

2 ответа на вопрос

0
SYANiDE

In short, FDE would be an issue you would want to address during the install. If your partitioning schema uses LVS you could set up an encrypted volume using LUKS and copy system files to it, and reassign mount points in your /etc/fstab file, but this is ill advised, and very likely error-prone.

Now that your install is already 'mature' (in the sense that it's already installed and broken in), you might be better off concentrating on encrypting your home folder instead. For such operations you might look into cryptsetup or encryptfs. With full-disk encryption, a running machine is already in the auth'ed environment, whereas home folder encryption at least has the benefit of keeping the volume in question encrypted as long as the user isn't logged in.

But in summary, your best option to look into if still wanting full disk encryption (or at least partition encryption at this point in your install's maturity) would be LUKS.

Конечно, без проблем. Рад, что я могу помочь. SYANiDE 9 лет назад 0
Привет, у меня есть вопрос еще раз, для "cryptsetup" и "encryptfs" нам нужно установить настройки для работы из интерфейса командной строки. Есть ли такое приложение, установленное по умолчанию в Linux, которое может дать мне доступ к "dm-crypt". Govind Karmakar 9 лет назад 0
По сути, мне нужно создать сценарий оболочки для выполнения этой работы, желательно без установки каких-либо других настроек в конечной точке. Спасибо!! Govind Karmakar 9 лет назад 0
Создание сценариев создания и автоматического монтирования управляемого раздела dm-crypt. Посмотрите на следующую статью: http://bash.cyberciti.biz/security/linux-opens-luks-partition-mount-dm-crypt-partition/ SYANiDE 9 лет назад 0
спасибо за помощь, я могу зашифровать диск с помощью dm-crypt & cryptsetup, но он форматирует раздел перед его шифрованием, есть ли другой способ зашифровать диск без форматирования, так как машины уже установлены, поэтому переустановка или форматирование невозможно. Govind Karmakar 9 лет назад 0
Насколько я знаю, нет. Полнодисковое шифрование - это аспект, который вы захотите рассмотреть во время установки или создания раздела / тома. Это не может быть применено как запоздалая мысль. SYANiDE 9 лет назад 0
0
linuxdev2013

install cryptsetup-rencrypt (not installed by default) highly advise using from a chroot environment tho

Это может иметь решимость быть * окончательным * ответом, но было бы неплохо узнать больше деталей. Что это за пакет? Как мне это использовать? Я использую это от системы, которую я хочу зашифровать или от отдельной живой загрузки? Journeyman Geek 9 лет назад 0
пакет называется «cryptsetup-reencrypt» и в работающей системе (при условии, что он не является корневым диском или включительно), либо из второй системы или с носителя (он же установщик на usb / dvd) установите пакет на usb экземпляр, если это необходимо, и запустите его на диске / разделе / ​​lvm по своему желанию - в моем случае 1) запустите его экземпляр usb 2) установите cryptsetup-reencrypt 3) запустите sudo cryptsetup-reencrypt / dev / sdXY linuxdev2013 9 лет назад 0
Это должно быть в вашем ответе;) Journeyman Geek 9 лет назад 0
@JourneymanGeek технически это не так, что это не для всех пользователей, даже linuxdev2013 9 лет назад 0

Похожие вопросы