Ubuntu 24 环境下使用 LUKS 技术加密磁盘

在 Ubuntu 24 系统下,使用 LUKS 技术加密 /dev/vdb 磁盘,并在每次启动后手动输入密码挂载的详细操作步骤。

请务必注意:以下操作会格式化 /dev/vdb 磁盘上的所有数据,请提前备份重要数据!确保你操作的是正确的磁盘 /dev/vdb,错误的操作可能导致数据丢失。可以使用 lsblk 命令确认磁盘信息。

步骤 1:安装 cryptsetup 工具步骤

1:安装 cryptsetup 工具

如果你的系统还没有安装 cryptsetup,需要先安装它:

sudo apt update
sudo apt install cryptsetup
步骤 2:加密 /dev/vdb 磁盘

取消挂载 (如果已挂载): 如果 /dev/vdb 已经被挂载,需要先取消挂载。可以使用 mount 命令查看是否已挂载,并使用 sudo umount <挂载点> 命令取消挂载。

格式化磁盘为 LUKS 加密格式: 运行以下命令,这将格式化 /dev/vdb 并设置 LUKS 加密。

sudo cryptsetup luksFormat /dev/vdb

系统会提示你确认操作,输入 YES 并按下回车。

WARNING: About to wipe out filesystem signature on /dev/vdb.

Are you sure you wish to continue? (type YES in capital letters): YES

接下来,系统会提示你输入用于加密的 密码 (passphrase)。请务必记住这个密码,丢失密码将无法恢复数据。你需要输入两次以确认。

步骤 3:打开加密的磁盘 (创建映射)

加密完成后,需要打开加密的磁盘,创建一个映射,才能访问其内容。

sudo cryptsetup open --type luks /dev/vdb encrypted_volume

encrypted_volume 是你为这个加密卷指定的名称,你可以自定义。这个名称将在 /dev/mapper/ 目录下创建一个设备文件 /dev/mapper/encrypted_volume,用于访问解密后的内容。

系统会提示你输入在步骤 2 中设置的密码。

步骤 4:在解密后的设备上创建文件系统

现在,你需要在解密后的设备 /dev/mapper/encrypted_volume 上创建一个文件系统,例如 ext4:

sudo mkfs.ext4 /dev/mapper/encrypted_volume

你可以根据需要选择其他文件系统类型,如 xfs 或 btrfs。

步骤 5:创建挂载点并挂载加密的磁盘

创建挂载点目录: 选择一个你想要挂载加密磁盘的目录,如果不存在则创建它。例如,在 / 目录下创建一个名为 encrypted_data 的目录:

sudo mkdir /disk2

挂载加密的磁盘: 将解密后的设备挂载到创建的挂载点:

sudo mount /dev/mapper/encrypted_volume /disk2

现在,你可以访问 /disk2 目录,并将文件存储在加密的磁盘上了。

步骤 6:卸载加密的磁盘

当你不再需要访问加密的磁盘时,应该先卸载它:

sudo umount /disk2
步骤 7:关闭加密的磁盘映射

卸载后,为了安全,需要关闭加密的磁盘映射:

sudo cryptsetup close encrypted_volume

执行此命令后,/dev/mapper/encrypted_volume 设备文件将被移除,除非再次输入密码打开,否则无法访问磁盘内容。

每次启动后手动挂载的步骤

在系统重启后,加密的磁盘不会自动挂载。你需要手动执行以下步骤来挂载它:

打开加密的磁盘 (输入密码):

sudo cryptsetup open --type luks /dev/vdb encrypted_volume

系统会提示你输入密码。

挂载加密的磁盘:

sudo mount /dev/mapper/encrypted_volume /disk2

总结操作流程

    首次设置:

        安装 cryptsetup。

        使用 sudo cryptsetup luksFormat /dev/vdb 格式化磁盘并设置密码。

        使用 sudo cryptsetup open --type luks /dev/vdb encrypted_volume 打开加密磁盘。

        使用 sudo mkfs.ext4 /dev/mapper/encrypted_volume 创建文件系统。

        创建挂载点并使用 sudo mount /dev/mapper/encrypted_volume /disk2 挂载。

        使用 sudo umount /disk2 卸载。

        使用 sudo cryptsetup close encrypted_volume 关闭加密磁盘。

    每次启动后手动挂载:

        使用 sudo cryptsetup open --type luks /dev/vdb encrypted_volume 输入密码打开加密磁盘。

        使用 sudo mount /dev/mapper/encrypted_volume /disk2 挂载。

重要注意事项:

    数据备份: 在进行任何磁盘操作前,务必备份重要数据。

    密码安全: 请务必记住你设置的密码,丢失密码将无法恢复数据。可以将密码记录在安全的地方。

    磁盘标识: 在执行命令前,务必确认操作的是正确的磁盘 /dev/vdb,可以使用 lsblk 命令查看。

    挂载点选择: 选择一个合适的挂载点,并确保你有权限在该目录下进行操作。

    错误处理: 如果在操作过程中遇到错误,请仔细阅读错误信息,并检查命令是否正确。

通过以上步骤,你就可以在 Ubuntu 24 系统下使用 LUKS 技术加密 /dev/vdb 磁盘,并在每次启动后手动输入密码进行挂载,从而保护磁盘中的数据安全。