Sec Hotspot 首页  收藏本站  技术博客  RSS
统计信息
已收录文章数量:8263 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
本周热门文章
每日安全动态推送(02-14)   2020.02.14 08:35:03  55
威胁情报周报(2020.2.14)   2020.02.14 17:54:01  42
WiFi6来了,一个时代开启!   2020.02.17 10:47:06  39
Apache Tomcat AJP协议高危漏洞风险提示   2020.02.20 16:48:12  34
2月春风起|DSRC与白帽黑客线上复工   2020.02.14 20:16:46  34
[代码审计] - 云购CMS代码审计   2020.02.14 16:45:54  34
等保测评2.0:Windows安全审计   2020.02.15 18:00:01  33
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
使用cryptsetup加密磁盘
本文来自公众号:弥天安全实验室   2019.11.04 12:24:27

网安引领时代,弥天点亮未来




环境介绍

LUKS(Linux Unified Key Setup)为Linux硬盘分区加密提供了一种标准,它不仅能通用于不同的Linux发行版本,还支持多用户/口令。 因为它的加密密钥独立于口令,所以如果口令失密,我们可以迅速改变口令而无需重新加密真个硬盘。 通过提供一个标准的磁盘上的格式,它不仅方便之间分布的兼容性,而且还提供了多个用户密码的安全管理。 必须首先对加密的卷进行解密,才能挂载其中的文件系统。

使用过程

我以 centos7系统 为例,演示如何使用LUKS来加密电脑磁盘


1、首先,需要在系统上挂载一块新的硬盘

点击“虚拟机”菜单选项的【设置】,点击【添加】,给系统新增一块硬盘


2、在系统的设备目录/dev下,可以看到新增了sdb,然后对sdb硬盘进行简单的分区,分区过程我不赘述,我将这块硬盘分成3个区,其中sdb3分2GB的空间,是我要加密的分区,但目前先不要格式化;

3、下面就进入加密硬盘的操作过程了


第一步,先对分区加密

cryptsetup luksFormat /dev/sdb3 转换为加密格式的分区(但是不能格式化)

输入大写的YES确定

然后输入口令,这里输入的口令需要是四选三的强口令,为了方便,我就输入360@Qax啦


第二步,通过密码将sdb映射出一个新的设备文件。 (映射出的新文件是为了格式化用的)

cryptsetup luksOpen /dev/sdb3 ssydisk  建立加密设备的映射文件格式为 cryptsetup luksOpen  设备分区   新设名称  (映射文件默认在/dev/mapper 目录下)

查看映射的设备名称 /dev/mapper/ssydisk是符号链接 连接的是加密的sdb3分区 (dm -2)



第三步,建立文件系统,命令如下:

mkfs.xfs /dev/mapper/ssydiskmkdir /mnt/ssydiskmount /dev/mapper/ssydisk /mnt/ssydisk

现在向/mnt/ssydisk中写入内容,卸载硬盘之后,再次挂载就需要密码了

/mnt/ssydisk中写入一个文件,写入的内容实际上是存在sdb3这个分区中的

卸载后取消映射文件, 这样别人就不能看了

umount /mnt/sysdiskcryptsetup luksClose ssydisk    取消映射

想要继续恢复使用 按照第二步的操作处理.


这样操作很复杂,方法看起来也很蠢,接下来介绍一个更高级的做法,

通过U盘关联加密硬盘分区:

首先创建一个100M的分区,模拟U盘,来储存key文件

对新加硬盘sdc进行分区100M 建立文件系统挂载到 /mnt/keydir


挂载上相当于U盘插在电脑上了

然后,在U盘中生成sdb3分区的关联密钥

dd if=/dev/random of=/mnt/keydir/keyfile bs=4096 count=1

U盘里的文件关联时候做一下记录创建文件时间的信息,如果被拷贝走文件时间地点信息发生改变就不起作用了,比较安全。


那如何将sdb3加密分区与keyfile进行关联? 使用如下命令:

cryptsetup luksAddKey /dev/sdb3 /mnt/keydir/keyfile   关联key文件命令格式为:cryptsetup luksAddKey   加密设备分区    key文件

然后验证前一个部分设置的密码


接下来需要通过key文件来映射磁盘名称 (也就是编辑配置文件)

命令如下:

vim /etc/crypttabppdisk/dev/sdb3/mnt/keydir/keyfile   (写完的映射文件重启生效)
格式:映射名称 加密设备 key文件


然后,让我的优盘先进行永久挂载,再挂载我们的映射文件。 (因为读取有顺序,永久挂载的配置文件优先级比临时挂载要高,配置文件中设备的的顺序也体现在系统挂载硬件的过程中,需要先先挂载U盘)

查看U盘的UUID值 (sdc1)

blkid /dev/sdc1

编辑挂载配置文件vim /etc/fstab


这样操作之后,拔掉U盘(不挂载sdc1)就没办法找到key文件,就不能生成 ppdisk ,就何谈最后的挂载呢?


使用过程

用于对Linux系统下硬盘加密


总结思考

如果服务器使用的是Linux系统,可以通过本软件对硬盘加密。




知识分享完了

喜欢别忘了关注我们哦~



学海浩茫,
予以风动,
必降弥天之润!


弥  天

安全实验室