教你加密Root文件系統（圖精品多篇

教你加密Root文件系統（圖 篇一

eCryptfs 是在 Linux 內核 2.6.19 版本中引入的一個功能強大的企業級加密文件系統，堆疊在其它文件系統之上（如 Ext2, Ext3, ReiserFS, JFS 等），爲應用程序提供透明、動態、高效和安全的加密功能，

本 質上，eCryptfs 就像是一個內核版本的 Pretty Good Privacy（PGP）[3] 服務，插在 VFS（虛擬文件系統層）和 下層物理文件系統之間，充當一個“過濾器”的角色。用戶應用程序對加密文件的寫請求，經系統調用層到達 VFS 層，VFS 轉給 eCryptfs 文件系統組件（後面會介紹）處理，處理完畢後，再轉給下層物理文件系統；讀請求（包括打開文件）流程則相反。

eCryptfs 的設計受到OpenPGP 規範的影響，使用了兩種方法來加密單個文件：

eCryptfs 先使用一種對稱密鑰加密算法來加密文件的內容，推薦使用 AES-128 算法，密鑰 FEK（File Encryption Key）隨機產生。有些加密文件系統爲多個加密文件或整個系統使用同一個 FEK（甚至不是隨機產生的），這會損害系統安全性，因爲：a. 如果 FEK 泄漏，多個或所有的加密文件將被輕鬆解密；b. 如果部分明文泄漏，攻擊者可能推測出其它加密文件的內容；c. 攻擊者可能從豐富的密文中推測 FEK，

顯然 FEK 不能以明文的形式存放，因此 eCryptfs 使用用戶提供的口令（Passphrase）、公開密鑰算法（如 RSA 算法）或 TPM（Trusted Platform. Module）的公鑰來加密保護剛纔提及的 FEK。如果使用用戶口令，則口令先被散列函數處理，然後再使用一種對稱密鑰算法加密 FEK。口令/公鑰稱爲 FEFEK（File Encryption Key Encryption Key），加密後的 FEK 則稱爲 EFEK（Encrypted File Encryption Key）。由於允許多個授權用戶訪問同一個加密文件，因此 EFEK 可能有多份。

這種綜合的方式既保證了加密解密文件數據的速度，又極大地提高了安全性。雖然文件名沒有數據那麼重要，但是入侵者可以通過文件名獲得有用的信息或者確定攻擊目標，因此，最新版的 eCryptfs 支持文件名的加密。

項目主頁：-

Windows的加密文件系統 篇二

與其它創建加密文件系統的方法相比，dm-crypt系統有着無可比擬的優越性：它的速度更快，易用性更強，除此之外，它的適用面也很廣，能夠運行在各種塊設備上，即使這些設備使用了RAID和LVM也毫無障礙。dm-crypt系統之所以具有這些優點，主要得益於該技術是建立在2.6版本內核的device-mapper特性之上的。device-mapper是設計用來爲在實際的塊設備之上添加虛擬層提供一種通用靈活的方法，以方便開發人員實現鏡像、快照、級聯和加密等處理。此外，dm-crypt使用了內核密碼應用編程接口實現了透明的加密，並且兼容cryptloop系統。

第一步：內核準備

dm -crypt利用內核的密碼應用編程接口來完成密碼操作。一般說來，內核通常將各種加密程序以模塊的形式加載。對於AES來說，其安全強度已經非常之高，即便用來保護絕密級的數據也足夠了。爲了保證用戶的內核已經加載AES密碼模塊，請根據如下命令進行檢查：

#cat /proc/crypto

否則，可以使用modprobe來手工加載AES模塊，命令如下所示：

#modprobe aes

接下來，用戶安裝dmsetup軟件包，該軟件包含有配置device-mapper所需的工具，如下命令所示：

#yum install dmsetup cryptsetup

爲檢查dmsetup軟件包是否已經建立了設備映象程序，鍵入下列命令進行：

#ls -l /dev/mapper/control

然後，需要使用如下命令加載dm-crypt內核模塊：

#modprobe dm-crypt

dm-crypt加載後，它會用evice-mapper自動註冊。如果再次檢驗的話，device-mapper已能識別dm-crypt，並且把crypt 添加爲可用的對象。執行完上述步驟後，用戶應該可以根據如下命令看到crypt的下列輸出：

#dmsetup targets

這說明系統已經爲裝載加密設備做好了準備。下面，我們先來建立一個加密設備。

第二步：創建加密設備

要創建作爲加密設備裝載的文件系統，有兩種選擇：一是建立一個磁盤映像，然後作爲回送設備加載；二是使用物理設備。無論那種情況，除了在建立和捆綁回送設備外，其它操作過程都是相似的。

建立回送磁盤映象

如果用戶沒有用來加密的物理設備（比如存儲棒或另外的磁盤分區），作爲替換，你可以利用命令dd來建立一個空磁盤映象，然後將該映象作爲回送設備來裝載，照樣能用。下面我們以實例來加以介紹：

#dd if=/dev/zero f=/ bs=1M count=100

這裏我們新建了一個大小爲100 MB的磁盤映象，該映象名字爲。要想改變其大小，可以改變count的值。

接下來，我們利用losetup命令將該映象和一個回送設備聯繫起來：

#losetup /dev/loop0 /

現在，我們已經得到了一個虛擬的塊設備，其位於/dev/loop0，並且我們能夠如同使用其它設備那樣來使用它，

設置塊設備

準備好了物理塊設備（例如/dev/hda1），或者是虛擬塊設備（像前面那樣建立了回送映象，並利用device-mapper將其作爲加密的邏輯卷加載），我們就可以進行塊設備配置了。

下面我們使用cryptsetup來建立邏輯卷，並將其與塊設備捆綁：

#cryptsetup -y create ly_EFS device_name

其中，ly_EFS是新建的邏輯卷的名稱。並且最後一個參數device_name必須是將用作加密卷的塊設備。所以，如果要使用前面建立的回送映象作爲虛擬塊設備的話，應當運行以下命令：

#cryptsetup -y create ly_EFS /dev/loop0

無論是使用物理塊設備還是虛擬塊設備，程序都會要求輸入邏輯卷的口令，-y的作用在於要你輸入兩次口令以確保無誤。這一點很重要，因爲一旦口令弄錯，就會把自己的數據鎖住， 爲了確認邏輯卷是否已經建立，可以使用下列命令進行檢查一下：

#dmsetup ls

只要該命令列出了邏輯卷，就說明已經成功建立了邏輯卷。不過根據機器的不同，設備號可能有所不同。device-mapper會把它的虛擬設備裝載到/dev/mapper下面，所以，你的虛擬塊設備應該是/dev/mapper/ly_EFS ，儘管用起來它和其它塊設備沒什麼不同，實際上它卻是經過透明加密的。

如同物理設備一樣，用戶也可以在虛擬設備上創建文件系統：

#3 /dev/mapper/ly_EFS

現在爲新的虛擬塊設備建立一個裝載點，然後將其裝載。命令如下所示：

#mkdir /mnt/ly_EFS

#mount /dev/mapper/ly_EFS /mnt/ly_EFS

用戶能夠利用下面的命令查看其裝載後的情況：

#df -h /mnt/ly_EFS

通過上述的步驟後，用戶看到裝載的文件系統，儘管看起來與其它文件系統無異，但實際上寫到/mnt/ly_EFS/下的所有數據，在數據寫入之前都是經過透明的加密處理後才寫入磁盤的，因此，從該處讀取的數據都是些密文。

卸載加密設備

要卸載加密文件系統，和平常的方法沒什麼兩樣：

#umount /mnt/ly_EFS

即便已經卸載了塊設備，在dm-crypt中仍然視爲一個虛擬設備。如若不信，用戶可以再次運行命令dmsetup ls來驗證一下，將會看到該設備依然會被列出。因爲dm-crypt緩存了口令，所以機器上的其它用戶不需要知道口令就能重新裝載該設備。爲了避免這種情況發生，用戶必須在卸載設備後從dm-crypt中顯式的刪除該設備。命令具體如下所示：

#cryptsetup remove ly_EFS

此後，它將徹底清除，要想再次裝載的話，用戶必須再次輸入口令。

重新裝載加密設備

在卸載加密設備後，用戶很可能還需作爲普通用戶來裝載它們。爲了簡化該工作，需要在/etc/fstab文件中添加下列內容：

/dev/mapper/ly_EFS /mnt/ly_EFS ext3 noauto,noatime 0 0

此外，用戶也可以通過建立腳本來替我們完成dm-crypt設備的創建和卷的裝載工作，方法是用實際設備的名稱或文件路徑來替 換/dev/DEVICENAME：

企業級加密文件系統 eCryptfs 篇三

如果您的計算機安裝了Win 2000操作系統，那麼通過按F8鍵或當計算機不能啓動時，計算機就會進入Win 2000啓動的高級選項菜單，在這裏您可以選擇除正常啓動外的8種不同的模式啓動Win 2000，那麼這些模式分別代表什麼意思呢，我們一起來認識一下：

1、安全模式

選用安全模式啓動Win 2000時，系統只使用一些最基本的文件和驅動程序（鼠標、監視器、鍵盤、大容量存儲器、基本視頻、默認系統服務並且無網絡連接）啓動。安全模式可以幫助您診斷問題，如果以安全模式啓動時沒有出現什麼問題的話，您就可以將默認設置和最小設備驅動程序排除在導致問題的原因之外。如果新添加的設備或已更改的驅動程序產生了問題，您可以使用安全模式刪除該設備或還原所做的更改。如果安全模式啓動不能幫助您解決問題，則看來可能需要使用緊急修復磁盤 (ERD)的功能修復系統了。

2、網絡安全模式

在啓動過程中，只使用基本文件和驅動程序以及網絡連接來啓動Win 2000，其功能基本與安全模式一樣。

3、命令提示符的安全模式

使用基本的文件和驅動程序啓動Win 2000。登錄後，屏幕出現命令提示符，而不是Windows桌面、開始菜單和任務欄。

4、啓用啓動日誌

啓動Win 2000，同時將由系統加載（或沒有加載）的所有驅動程序和服務記錄到文件中，

文件名爲，位於windir目錄中。安全模式、網絡安全模式和命令提示符的安全模式中，都會將一個加載所有驅動程序和服務的列表添加到啓動日誌。該日誌對於確定系統啓動問題的準確原因很有用。

5、啓用VGA 模式

使用基本VGA驅動程序啓動Win 2000。當安裝了使Win 2000不能正常啓動的新視頻卡驅動程序時，這種模式十分有用。當您在安全模式（安全模式、網絡安全模式或命令提示符安全模式）下啓動Win 2000時，總是使用基本的視頻驅動程序。

6、最近一次的正確配置

選擇使用最後一次正確的配置啓動 Win 2000是解決問題（如新添加的驅動程序與硬件不相符）的一種方法。但不能解決因損壞或丟失驅動程序或文件所導致的問題。用這種方式啓動，Win 2000只恢復註冊表項HklmSystemCurrentControlSet下的信息。任何在其他註冊表項中所做的更改均保持不變。

7、目錄服務恢復模式

不適用於Win 2000 Professional。這是針對Win 2000 Server操作系統的，並只用於還原域控制器上的Sysvol 目錄和Active Directory目錄服務。

8、調試模式

啓動Win 2000，同時將調試信息通過串行電纜發送到其他計算機。如果正在或已經使用遠程安裝服務在您的計算機上安裝Win 2000，您可以看到與使用遠程安裝服務恢復系統相關的附加選項。

如何應用dmcrypt構建加密文件系統（EFS 篇四

從系統 安全 角度來看，爲需要保護的文件或文件夾對象設置用戶訪問權限和許可，基本上可以有效地保護數據，但經常出現的安全問題是：未被授權的用戶可以使用 Windows 2000之外的操作系統或忽略NTFS權限的程序來入侵文件或文件夾對象，此時，入侵者甚至可以獲

從系統安全角度來看，爲需要保護的文件或文件夾對象設置用戶訪問權限和許可，基本上可以有效地保護數據，但經常出現的安全問題是：未被授權的用戶可以使用Windows2000之外的操作系統或忽略NTFS權限的程序來入侵文件或文件夾對象。此時，入侵者甚至可以獲得文件或文件夾對象所在物理驅動器的訪問和控制權，在其上安裝其他的操作系統，並以管理員的身份訪問該驅動器上的任何數據。爲了防止上述安全問題，Windows 2000提供了內置的加密文件系統(EncryptingFiles System，簡稱EFS)。EFS文件系統不僅可以阻止入侵者對文件或文件夾對象的訪問，而且還保持了操作的簡捷性。

加密與解密操作

加密文件系統通過爲指定NTFS文件與文件夾加密數據，從而確保用戶在本地計算機中安全存儲重要數據。由於EFS與文件集成，因此對計算機中重要數據的安全保護十分有益。

1、加密操作

(1)利用Windows 2000資源管理器選中待設置加密屬性的文件或文件夾(如文件夾爲“Windows2000”)。

(2)單擊鼠標右鍵，選擇“屬性”，啓動“Windows2000屬性”對話框窗口。

(3)單擊“常規”選項卡中的[高級]按鈕，啓動“高級屬性”對話框。

(4)選擇“壓縮或加密屬性”框中的“加密內容以便保護數據”複選框(如附圖所示)，單擊[確定]按鈕，即可完成文件或文件夾的加密，

2、解密操作

(1)利用Windows 2000資源管理器選中待設置加密屬性的文件或文件夾(如文件夾爲“Windows2000”)。

(2)單擊鼠標右鍵，選擇“屬性”，啓動“Windows2000屬性”對話框窗口。

(3)單擊“常規”選項卡中的[高級]按鈕，啓動“高級屬性”對話框。

(4)清除“高級屬性”對話框“壓縮或加密屬性”框中的“加密內容以便保護數據”複選框中的“√”。

注意：

1、不能加密或解密FAT文件系統中的文件與文件夾。

2、加密數據只有存儲在本地磁盤中才會被加密，而當其在網絡上傳輸時，則不會加密。

加密文件或文件夾的操作

加密文件與普通文件相同，也可以進行復制、移動以及重命名等操作，但是其操作方式可能會影響加密文件的加密狀態。

1、複製加密文件

(1)在Windows2000資源管理器中選中待複製的加密文件(如Windows2000)。

(2)用鼠標右鍵單擊加密文件，選擇“複製”。

(3)切換到加密文件複製的目標位置，單擊鼠標右鍵，選擇“粘貼”，即可完成。

2、移動加密文件

(1)在Windows2000資源管理器中選中待複製的加密文件(如Windows2000)。

(2)用鼠標右鍵單擊加密文件，選擇“剪切”。

(3)切換到加密文件待移動的目標位置，單擊鼠標右鍵，選擇“粘貼”，即可完成。

注意：對加密文件進行復制或移動時，加密文件有可能被解密，尤其要注意的是，加密文件複製或移動到FAT文件系統中時，文件自動解密，所以建議對加密文件進行復制或移動後應重新進行加密。

原文轉自