以允许使用更大容量的经济型设备,金沙js娱乐场官方网站Linux 会在文件系统层面自行处理加密

以允许使用更大容量的经济型设备,存储在与常规文件系统类似的区域文件中,他们是想从软件包里面对数据进行加密,Linux 会在文件系统层面自行处理加密

金沙js娱乐场官方网站 3

近几年来,从 CR-VISC-V 种类结构位到存款和储蓄巩固作用,西部数据(Western
Digital)在 Linux
内核方面做出了越来越大的进献。近年来几周,其直接在管理的流行代码正是全新的
Linux 文件系统。

怎么样使用DM-Crypt加密Linux文件系统?

金沙js娱乐场官方网站 1

读者平日询问我们的八个分布难点是,怎么样为 Linux
施行豆蔻年华种文件系统加密方法。在深远切磋那么些话题以前,笔者想要注明两点:

先是,很难在互联网找到那方面丰硕多的音讯。于是,作者会向我们介绍多少个好不便于找到的真的很棒的财富(实际上是几篇教程)。

附带,明白这一个难点的技巧细节很关键。这也是本身在本文中所要探索的,之后作者会介绍怎么着兑现加密,然后介绍任何财富。

大家时时说想要加密数码,可是她们时常忽视了三个有史以来的上面:他们究竟想对什么样进展加密?他们是想从软件包里面前境遇数量进行加密,然后将该数量存款和储蓄到硬驱上的单个文件中?譬喻说,他们是想让
LibreOffice 创设整个 .odt
文字管理文书档案,对它实行加密,然后将加密的结果作为单个文件写入到文件系统,就好像下图那样?还是说他俩想让
Linux 在文件系统层面自行管理加密?

金沙js娱乐场官方网站 2

风流倜傥种方式就是从软件包里面加密数据,然后将该数量存储到硬驱上的单个文件中。大概Linux 会在文件系统层面自行管理加密。

以 Linux 管理加密事务为例, LibreOffice
除了读取和写入文件外,什么也不做,就如它近年来所做的那样。 Linux
会加密文件,然后将文件实际写入到磁盘上,解密后回过头来读取文件。那是自身在这里边运用的方法,可是你还要提议其它多数难点。想要提议合适的难题,你就要掌握块存款和储蓄的办事原理。无妨先看一下块存储。

Linux块设备加密之dm-crypt解析 

教您咋样运用dm-crypt给Ubuntu系统文件加密

块级存款和储蓄

操作系统管理地点驱动器时,操作系统使用 filesystem
软件来格式化驱动器,然后读取并写入单个扇区。保存文件时, filesystem 软件弄精晓供给写入的扇区。读取文件时,
filesystem
会弄明白数据在什么扇区上,然后读取那多少个扇区,为你重构文件。想管理文件,
filesystem
使用区别门类的目录,它将那些索引也蕴藏在磁盘上。不相同的 filesystem
软件应用分歧的主意来组织数量,还包蕴分化的平安机制;最终结出就是有了分裂的文件系统,比如ext4 和 NTFS 。

底层细节

大家已交待清楚了块级设备的干活缘故,不要紧设想这几个:操作系统使用其 filesystem 软件,将数据扇区写入到驱动器。 filesystem
软件分明将数据扇区写入到哪个地方、怎样组织它们,包罗创设描述文件名称、组织章程等新闻的元数据。但是filesystem
软件为了实践实际读取并写入到驱动器的操作,就须求有配备驱动程序来抓好在决定设施本身的做事,如下图的右边手所示(驱动程序在
/dev 目录里面包车型地铁文件系统档期的顺序布局中已有象征)。

金沙js娱乐场官方网站 3

filesystem
软件能够在写入数据以前行行加密。可能,坐落于 filesystem
软件与设备驱动程序之间的某部软件能展开加密。

就在 filesystem
软件与设施驱动程序之间的这几个点,加密方面需求做出选取:你是想让 filesystem
软件拓宽加密,然后写入数据吧?依然说,大家其实将三个软件内置到 filesystem 软件与设备驱动程序之间什么?那样一来,
filesystem
会像通常那样运营,不过当它试图访谈设备时,其调用改而由加密软件来拍卖,如上海体育场合的侧边所示。大家在本文中要利用这种方式。可是先不要紧讨论其它几个难题。

附带说一下,假诺你想看看设备驱动程序在 Linux
系统的 /dev 目录中什么存在,能够参照本文:

。它满含编制程序方面,不过风流洒脱旦您不是编程员,就点击到第 2 页,向下滚动鼠标,找到标为 Hello, World! Using /dev/hello_world
的章节,阅读第风流倜傥段,上边作了切实可行周详的疏解。)

若是你想加密整个分区,能够伪造加密整个驱动器。但是这里存在贰个小标题。假使Computer从该驱动器运营,驱动器就供给一个细微的分区
特意用来贮存运营代码。该运转代码是机器代码,计算机读入后推行,本事运转Computer。假诺一切硬驱经过了加密,包涵那有些数目,计算机就须求某种形式来解读
数据。可是计算机还平昔不装入文件系统,所以它没办法读取解密它的顺序。见到标题之所在了吗?解密代码需求在
BIOS
自个儿里面。但是超越56%Computer未有这种代码。而那意味运营记录其实不能够被加密。不过大家早就研商了缓解那么些难题的各个措施(参阅:

),比方把运转代码放在可活动 USB 驱动器下面。

远程驱动器

设若你的驱动器是长途驱动器,有二种方式能够访谈数据;那对于你打探能够运用哪一类类型的加密很关键。三种办法是:

• 块级存款和储蓄 就好像使用本地驱动器那样,由此你的 filesystem
软件可以读取并从来写入到长途磁盘上的扇区。

• 文件级存储,你的操作系统将文件发送到远程服务器,远程服务器有温馨的操作系统和 filesystem
软件;该远程服务器进而将文件写入到其磁盘上。

假定是文本级存款和储蓄,你在加密地点并未有太多的取舍。如若你想加密数码,就必要在您的应用程序中加密它,然后将数据发送到远程服务器上囤积起来。

但万一是块级远程存款和储蓄,确实有多少个艺术。举个例子说,假如你选取云托管服务,因此你能将分歧的卷连接到分配的服务器,你平常能够动用块级存储。卷未必
物理连接到您的托管服务器;然而,服务器能够访谈它们,好像它们正是本地卷这样,况兼格式化卷,读取和写入单个扇区,就就如驱动器是本土挂载的。那意味
着,若是是块级远程存储,你能够在文件系统层面执行加密,就恍如在地方Computer和地点驱动器上施行加密那么。

软件

     
未来我们精晓了想要达成的职分;难题是,你该怎么促成吗?事实上,
Linux
内置了三个软件包,使用自身事情未发生前介绍的这种办法,即把软件内置到 filesystem 软件与设施驱动程序之间。该软件名叫 dm-crypt 。而 dm-crypt
能够加密数据,然后利用豆蔻梢头种名字为 LUKS
的存款和储蓄格式,将数据写入到存款和储蓄设备(通过设备驱动程序)上。

LUKS ( Linux
统生龙活虎密钥设置)是驱动器本身下边所用的格式,它事实上用来替代 ext4 之类的文件系统。 dm-crypt 系统坐落于 filesystem 软件与器材驱动程序之间; filesystem 软件读取和写入 ext4 ,而 ext4 数据经过
dm-crypt 加以推送,然后 dm-crypt 将数据以 LUKS
格式存款和储蓄到驱动器上。因此,实际上 ext4 或 NTFS 之类的文件系统就在经过加密的 LUKS 格式的“上面”。

请用心: dm-crypt
是子系统的名称,你能够利用过多工具来管理它。没有名叫 dm-crypt 的单个命令。你能够运用部分顺序来保管 dm-crypt :

• cryptsetup :
这些命令路程序为您提供了尾巴部分访谈权,以便管理创设 dm-crypt 管理的设施那风度翩翩职务。

• cryptmount :
这些顺序提供了越多的机能特色,更易于使用一些,具体可参谋N年前的那篇随笔:

此外职能特色

dm-crypt
系统的三个亮点在于,它没必要直接管理磁盘驱动程序。相反,它能够将享有数据保存到单个文件中,并非行使
LUKS 和成套磁盘分区。那就象征,你能够让
dm-crypt
创制单个文件,然后你能够在单个文件之中创设整个文件系统。之后,你可以将该单个文件作为独立的驱动器来挂载,然后从其余软件来探问它,就疑似您相比别的任何驱动器那样。

云驱动器

由于局地云服务提供商(比方亚马逊(Amazon卡塔尔网络服务)为您提供了宏观的根访问权,可以访谈连接到你服务器的块设备,你能够充足利用
dm-crypt ;能够用 LUKS 格式来格式化块设备,然后将它策动用于你的 dm-crypt 系统;之后,你一点一滴能够用 ext4
文件系统来格式化它。最后结果便是一心加密的驱动器驻留在云端,你能够活动管理这么些驱动器。想不想试生龙活虎试?那篇教程就介绍了利用
cryptsetup 程序来加密:

除此以外一些云服务提供商不像 AWS
那样令你能够平素访谈块设备。比方说, Digital
Ocean 就分歧意你直接访问;可是你还是能够创设二个文件,安装 dm-crypt
来行使极度文件,然后在文件之中创设三个所谓的“容器”,它表示了文件系统。实际上,这一个进程与你在友好的本土机械上开创多个加密的器皿文件如出生龙活虎辙。这里有大器晚成篇来自
Digital Ocean 网址的教程:
,介绍了创办 dm-crypt LUKS
容器文件。在该课程中要细心:就像使用块设备那样,你能够成立整个文件系统(比方ext4
),不过在那,该文件系统驻留在容器文件之中。

地面驱动器

而那就引出了大家什么在该地完毕那总体的话题。在亚马逊上成立加密驱动器的上述教程涉及的手续与在您和睦的硬驱上本土创造加密驱动器多个样。不过另大器晚成篇教程(

)给出了日益的证实,以便在你和睦的硬驱上地点创立,它也应用 cryptsetup 。

风姿罗曼蒂克旦你想创制多个当地容器驱动器,含有整个经过加密的文件系统,只要根据上边Digital Ocean 教程中的步骤即可。

只怕,要是您想利用另一个顺序 cryptmount
来加密整个分区或创办容器文件,请关切那篇教程:
。小编 Carla Schroder 给出了多少个引人注指标步子。

结束语

正是那样。想通晓什么样加密,主要的一点是先要完全掌握您其实试图完毕什么职务:让应用程序加密和平解决密数据,仍旧让操作系统管理加密;是加密整个
分区,还是仅仅加密个别文件;是还是不是想创立保存加密文书的器皿。之后,你能够依据自个儿在本文中付出链接的多少个科目中涉及的步骤,顺遂达成加密。

本文永远更新链接地址:

读者平时询问大家的叁个布满难题是,怎么样为 Linux
实践意气风发种文件系统加密方法。在深切研讨那么些话题之…

但是,新的 Western Digital 付加物实际不是要改成与 Linux 上的
EXT4,Btrfs,XFS 和 ZFS 之类竞争的通用文件系统。这几个新的文件系统 Zonefs
适用于优质用例,并在分区块设备上运转。

Western Digital 的 达米恩 Le Moal 针对 Zonefs 进行描述称,“zonefs 不是
POSIX 包容文件系统。其指标是通过运用基于效率更丰硕的文书的 API
替换原始块设备文件访问,进而简化应用程序中分区块设备支撑的落到实处,制止注重直接的块设备文件
ioctl。这种格局的三个示范是,通过同意将 SSTables
存款和储蓄在与健康文件系统近似的区域文件中,实际不是作为分区设备的扇区范围来存款和储蓄,进而在分区块设备上贯彻LSM(log-structured merge)树构造(举例在 罗克sDB 和 LevelDB
中运用)。引进越来越高端别的布局“one file is one
zone”则足以帮助缩短应用程序中所需的修改量,同一时候同意选拔含有除
C 语言之外的各样编制程序语言的分区块设备。”

其实,Western Digital
一向在对分区存款和储蓄举办多量入股,以允许利用越来越大容积的经济型设备。有关分区存储的越多背景新闻方可在 Western
Digital
博客找到。