搬瓦工linux系统全盘加密和boot分区加密教程

linux全盘加密可以防止泄露重要文件,debian系在安装系统时提供了基于LUKS的磁盘全盘加密,然而/boot分区安装时是不能加密的,我们需要安装完成后,另外使用LUKS1进行/boot分区加密。注意:没有必要,不要折腾boot 加密。默认的系统加密方式已经很安全了。(加密-映射-格式化-挂载)

官方网站

点击直达官方网站

1.查看/boot分区信息

lsblk -pf

假设/dev/sda1 是 /boot 分区

2. 备份/boot分区

mount -oremount,ro /boot
install -m0600 /dev/null /tmp/boot.tar
tar -C /boot --acls --xattrs --one-file-system -cf /tmp/boot.tar .
umount /boot

3.使用LUKS1加密/boot

cryptsetup luksFormat --type luks1 /dev/sda1

4. 映射boot_crypt到加密的boot分区

uuid="$(blkid -o value -s UUID /dev/sda1)"
echo "boot_crypt UUID=$uuid none luks" | tee -a /etc/crypttab
cryptdisks_start boot_crypt

5.在映射设备上创建文件系统,重新格式化

grep /boot /etc/fstab
lsblk -dno uuid /dev/sda1
mkfs.ext2 -m0 -U D388-FE1E /dev/mapper/boot_crypt

6.重新挂载/boot,并且恢复文件

mount -v /boot
tar -C /boot --acls --xattrs -xf /tmp/boot.tar

(如果 /boot/efi 是一个单独的分区,你也需要重新挂载)

7. 在GRUB2启动时使用cryptomount

echo "GRUB_ENABLE_CRYPTODISK=y" >>/etc/default/grub
update-grub
grub-install /dev/sda

到这里,linux系统全盘加密的工作已经完成,linux全盘加密还有其他高级功能,比如luks2降级到luks1,使用秘钥快速启动,使用其他键盘布局。

搬瓦工推荐方案

温馨提醒 如果您有选择困难症,直接选中间的 CN2 GIA-E方案,季付 $49.99,多达 12 个机房任意切换

方案 内存 CPU 硬盘 流量/月 带宽 机房 价格 购买
CN2
(最便宜)
1GB 1核 20GB 1TB 1Gbps DC3 CN2
DC8 ZNET
$49.99/年 购买
CN2 2GB 1核 40GB 2TB 1Gbps $52.99/半年
$99.99/年
购买
CN2 GIA-E
(最推荐)
1GB 2核 20GB 1TB 2.5Gbps DC6 CN2 GIA-E
DC9 CN2 GIA
日本软银 JPOS_1
荷兰 EUNL_9
$49.99/季度
$169.99/年
购买
CN2 GIA-E 2GB 3核 40GB 2TB 2.5Gbps $89.99/季度
$299.99/年
购买
HK 2GB 2核 40GB 0.5TB 1Gbps 中国香港 CN2 GIA $89.99/月
$899.99/年
购买
HK 4GB 4核 80GB 1TB 1Gbps $155.99/月
$1559.99/年
购买
TOKYO 2GB 2核 40GB 0.5TB 1.2Gbps 日本东京 CN2 GIA $89.99/月
$899.99/年
购买
TOKYO 4GB 4核 80GB 1TB 1.2Gbps $155.99/月
$1559.99/年
购买
搬瓦工优惠码:BWH3HYATVBJW

广告栏+++++++蜜糖商店|大哥云| 搬瓦工JMS|红莓网络| Mielink|萌喵加速| 飞鸟云

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注