create:2023-01-24 17:44:44
准备工作
新硬盘4T,无数据。在root用户或sudo状态下执行。
首先创建分区表,由于mbr最大支持只有2T,因此分区表创建为gpt格式。
然后创建一个临时的分区,供后续加密定位使用。格式随意,大小看个人需求。
加密步骤
以上述步骤执行后,执行fdisk -l查看待加密分区设备符号,我的是/dev/sdc1。
# 创建加密分区,注意YES必须是大写的
sudo cryptsetup luksFormat /dev/sdc1
WARNING: Device /dev/sdc1 already contains a 'ntfs' superblock signature.
WARNING!
========
This will overwrite data on /dev/sdc1 irrevocably.
Are you sure? (Type 'yes' in capital letters): YES
Enter passphrase for /dev/sdc1:
Verify passphrase:
# 对加密分区进行解密,解密后的设备名可以自定义,这里用的是 dm-purple
sudo cryptsetup luksOpen /dev/sdc1 dm-purple
# 对解密后的分区执行格式化,以便后续可以存入数据。
sudo mkfs.ext4 /dev/mapper/dm-purple -b 1024 -m 0 -L PURPL3
# -b为最小分配单元,单位是K,预计存储的小文件比较多,选择的小点能省些空间占用;
# -m是linux系统为超级管理员预留容量的百分比,如此大的数据盘没必要预留,选择的0;
# -L是分区的标签,类似windows里面的卷标。
挂载使用
# 解密
sudo cryptsetup luksOpen /dev/sdc1 dm-purple
# 挂载
sudo mount /dev/mapper/dm-purple /mnt/PURPL3
卸载并加密
sudo umount /mnt/PURPL3
sudo cryptsetup luksClose dm-purple
注意事项
1.首次创建加密分区时涉及格式化操作,会删除数据,老硬盘建议先备份出来。
2.对解密分区格式化一次后,以后就不用执行格式化操作了。直接挂载即可。
3.牢记密码。即便是格式化后,想要恢复数据,也得知道密码才行。
写作计划
- 开机自动挂载加密分区
- 密码修改及TPM安全模块用法
- 使用hashcat暴力破解加密分区