教你加密Root檔案系統（圖精品多篇

教你加密Root檔案系統（圖 篇一

eCryptfs 是在 Linux 核心 2.6.19 版本中引入的一個功能強大的企業級加密檔案系統，堆疊在其它檔案系統之上（如 Ext2, Ext3, ReiserFS, JFS 等），為應用程式提供透明、動態、高效和安全的加密功能，

本 質上，eCryptfs 就像是一個核心版本的 Pretty Good Privacy（PGP）[3] 服務，插在 VFS（虛擬檔案系統層）和 下層物理檔案系統之間，充當一個“過濾器”的角色。使用者應用程式對加密檔案的寫請求，經系統呼叫層到達 VFS 層，VFS 轉給 eCryptfs 檔案系統元件（後面會介紹）處理，處理完畢後，再轉給下層物理檔案系統；讀請求（包括開啟檔案）流程則相反。

eCryptfs 的設計受到OpenPGP 規範的影響，使用了兩種方法來加密單個檔案：

eCryptfs 先使用一種對稱金鑰加密演算法來加密檔案的內容，推薦使用 AES-128 演算法，金鑰 FEK（File Encryption Key）隨機產生。有些加密檔案系統為多個加密檔案或整個系統使用同一個 FEK（甚至不是隨機產生的），這會損害系統安全性，因為：a. 如果 FEK 洩漏，多個或所有的加密檔案將被輕鬆解密；b. 如果部分明文洩漏，攻擊者可能推測出其它加密檔案的內容；c. 攻擊者可能從豐富的密文中推測 FEK，

顯然 FEK 不能以明文的形式存放，因此 eCryptfs 使用使用者提供的口令（Passphrase）、公開金鑰演算法（如 RSA 演算法）或 TPM（Trusted Platform. Module）的公鑰來加密保護剛才提及的 FEK。如果使用使用者口令，則口令先被雜湊函式處理，然後再使用一種對稱金鑰演算法加密 FEK。口令/公鑰稱為 FEFEK（File Encryption Key Encryption Key），加密後的 FEK 則稱為 EFEK（Encrypted File Encryption Key）。由於允許多個授權使用者訪問同一個加密檔案，因此 EFEK 可能有多份。

這種綜合的方式既保證了加密解密檔案資料的速度，又極大地提高了安全性。雖然檔名沒有資料那麼重要，但是入侵者可以通過檔名獲得有用的資訊或者確定攻擊目標，因此，最新版的 eCryptfs 支援檔名的加密。

專案主頁：-

Windows的加密檔案系統 篇二

與其它建立加密檔案系統的方法相比，dm-crypt系統有著無可比擬的優越性：它的速度更快，易用性更強，除此之外，它的適用面也很廣，能夠執行在各種塊裝置上，即使這些裝置使用了RAID和LVM也毫無障礙。dm-crypt系統之所以具有這些優點，主要得益於該技術是建立在2.6版本核心的device-mapper特性之上的。device-mapper是設計用來為在實際的塊裝置之上新增虛擬層提供一種通用靈活的方法，以方便開發人員實現映象、快照、級聯和加密等處理。此外，dm-crypt使用了核心密碼應用程式設計介面實現了透明的加密，並且相容cryptloop系統。

第一步：核心準備

dm -crypt利用核心的密碼應用程式設計介面來完成密碼操作。一般說來，核心通常將各種加密程式以模組的形式載入。對於AES來說，其安全強度已經非常之高，即便用來保護絕密級的資料也足夠了。為了保證使用者的核心已經載入AES密碼模組，請根據如下命令進行檢查：

#cat /proc/crypto

否則，可以使用modprobe來手工載入AES模組，命令如下所示：

#modprobe aes

接下來，使用者安裝dmsetup軟體包，該軟體包含有配置device-mapper所需的工具，如下命令所示：

#yum install dmsetup cryptsetup

為檢查dmsetup軟體包是否已經建立了裝置映象程式，鍵入下列命令進行：

#ls -l /dev/mapper/control

然後，需要使用如下命令載入dm-crypt核心模組：

#modprobe dm-crypt

dm-crypt載入後，它會用evice-mapper自動註冊。如果再次檢驗的話，device-mapper已能識別dm-crypt，並且把crypt 新增為可用的物件。執行完上述步驟後，使用者應該可以根據如下命令看到crypt的下列輸出：

#dmsetup targets

這說明系統已經為裝載加密裝置做好了準備。下面，我們先來建立一個加密裝置。

第二步：建立加密裝置

要建立作為加密裝置裝載的檔案系統，有兩種選擇：一是建立一個磁碟映像，然後作為回送裝置載入；二是使用物理裝置。無論那種情況，除了在建立和捆綁回送裝置外，其它操作過程都是相似的。

建立回送磁碟映象

如果使用者沒有用來加密的物理裝置（比如儲存棒或另外的磁碟分割槽），作為替換，你可以利用命令dd來建立一個空磁碟映象，然後將該映象作為回送裝置來裝載，照樣能用。下面我們以例項來加以介紹：

#dd if=/dev/zero f=/ bs=1M count=100

這裡我們新建了一個大小為100 MB的磁碟映象，該映象名字為。要想改變其大小，可以改變count的值。

接下來，我們利用losetup命令將該映象和一個回送裝置聯絡起來：

#losetup /dev/loop0 /

現在，我們已經得到了一個虛擬的塊裝置，其位於/dev/loop0，並且我們能夠如同使用其它裝置那樣來使用它，

設定塊裝置

準備好了物理塊裝置（例如/dev/hda1），或者是虛擬塊裝置（像前面那樣建立了回送映象，並利用device-mapper將其作為加密的邏輯卷載入），我們就可以進行塊裝置配置了。

下面我們使用cryptsetup來建立邏輯卷，並將其與塊裝置捆綁：

#cryptsetup -y create ly_EFS device_name

其中，ly_EFS是新建的邏輯卷的名稱。並且最後一個引數device_name必須是將用作加密卷的塊裝置。所以，如果要使用前面建立的回送映象作為虛擬塊裝置的話，應當執行以下命令：

#cryptsetup -y create ly_EFS /dev/loop0

無論是使用物理塊裝置還是虛擬塊裝置，程式都會要求輸入邏輯卷的口令，-y的作用在於要你輸入兩次口令以確保無誤。這一點很重要，因為一旦口令弄錯，就會把自己的資料鎖住， 為了確認邏輯卷是否已經建立，可以使用下列命令進行檢查一下：

#dmsetup ls

只要該命令列出了邏輯卷，就說明已經成功建立了邏輯卷。不過根據機器的不同，裝置號可能有所不同。device-mapper會把它的虛擬裝置裝載到/dev/mapper下面，所以，你的虛擬塊裝置應該是/dev/mapper/ly_EFS ，儘管用起來它和其它塊裝置沒什麼不同，實際上它卻是經過透明加密的。

如同物理裝置一樣，使用者也可以在虛擬裝置上建立檔案系統：

#3 /dev/mapper/ly_EFS

現在為新的虛擬塊裝置建立一個裝載點，然後將其裝載。命令如下所示：

#mkdir /mnt/ly_EFS

#mount /dev/mapper/ly_EFS /mnt/ly_EFS

使用者能夠利用下面的命令檢視其裝載後的情況：

#df -h /mnt/ly_EFS

通過上述的步驟後，使用者看到裝載的檔案系統，儘管看起來與其它檔案系統無異，但實際上寫到/mnt/ly_EFS/下的所有資料，在資料寫入之前都是經過透明的加密處理後才寫入磁碟的，因此，從該處讀取的資料都是些密文。

解除安裝加密裝置

要解除安裝加密檔案系統，和平常的方法沒什麼兩樣：

#umount /mnt/ly_EFS

即便已經解除安裝了塊裝置，在dm-crypt中仍然視為一個虛擬裝置。如若不信，使用者可以再次執行命令dmsetup ls來驗證一下，將會看到該裝置依然會被列出。因為dm-crypt快取了口令，所以機器上的其它使用者不需要知道口令就能重新裝載該裝置。為了避免這種情況發生，使用者必須在解除安裝裝置後從dm-crypt中顯式的刪除該裝置。命令具體如下所示：

#cryptsetup remove ly_EFS

此後，它將徹底清除，要想再次裝載的話，使用者必須再次輸入口令。

重新裝載加密裝置

在解除安裝加密裝置後，使用者很可能還需作為普通使用者來裝載它們。為了簡化該工作，需要在/etc/fstab檔案中新增下列內容：

/dev/mapper/ly_EFS /mnt/ly_EFS ext3 noauto,noatime 0 0

此外，使用者也可以通過建立指令碼來替我們完成dm-crypt裝置的建立和卷的裝載工作，方法是用實際裝置的名稱或檔案路徑來替 換/dev/DEVICENAME：

企業級加密檔案系統 eCryptfs 篇三

如果您的計算機安裝了Win 2000作業系統，那麼通過按F8鍵或當計算機不能啟動時，計算機就會進入Win 2000啟動的高階選項選單，在這裡您可以選擇除正常啟動外的8種不同的模式啟動Win 2000，那麼這些模式分別代表什麼意思呢，我們一起來認識一下：

1、安全模式

選用安全模式啟動Win 2000時，系統只使用一些最基本的檔案和驅動程式（滑鼠、監視器、鍵盤、大容量儲存器、基本視訊、預設系統服務並且無網路連線）啟動。安全模式可以幫助您診斷問題，如果以安全模式啟動時沒有出現什麼問題的話，您就可以將預設設定和最小裝置驅動程式排除在導致問題的原因之外。如果新新增的裝置或已更改的驅動程式產生了問題，您可以使用安全模式刪除該裝置或還原所做的更改。如果安全模式啟動不能幫助您解決問題，則看來可能需要使用緊急修復磁碟 (ERD)的功能修復系統了。

2、網路安全模式

在啟動過程中，只使用基本檔案和驅動程式以及網路連線來啟動Win 2000，其功能基本與安全模式一樣。

3、命令提示符的安全模式

使用基本的檔案和驅動程式啟動Win 2000。登入後，螢幕出現命令提示符，而不是Windows桌面、開始選單和工作列。

4、啟用啟動日誌

啟動Win 2000，同時將由系統載入（或沒有載入）的所有驅動程式和服務記錄到檔案中，

檔名為，位於windir目錄中。安全模式、網路安全模式和命令提示符的安全模式中，都會將一個載入所有驅動程式和服務的列表新增到啟動日誌。該日誌對於確定系統啟動問題的準確原因很有用。

5、啟用VGA 模式

使用基本VGA驅動程式啟動Win 2000。當安裝了使Win 2000不能正常啟動的新視訊卡驅動程式時，這種模式十分有用。當您在安全模式（安全模式、網路安全模式或命令提示符安全模式）下啟動Win 2000時，總是使用基本的視訊驅動程式。

6、最近一次的正確配置

選擇使用最後一次正確的配置啟動 Win 2000是解決問題（如新新增的驅動程式與硬體不相符）的一種方法。但不能解決因損壞或丟失驅動程式或檔案所導致的問題。用這種方式啟動，Win 2000只恢復登錄檔項HklmSystemCurrentControlSet下的資訊。任何在其他登錄檔項中所做的更改均保持不變。

7、目錄服務恢復模式

不適用於Win 2000 Professional。這是針對Win 2000 Server作業系統的，並只用於還原域控制器上的Sysvol 目錄和Active Directory目錄服務。

8、除錯模式

啟動Win 2000，同時將除錯資訊通過序列電纜傳送到其他計算機。如果正在或已經使用遠端安裝服務在您的計算機上安裝Win 2000，您可以看到與使用遠端安裝服務恢復系統相關的附加選項。

如何應用dmcrypt構建加密檔案系統（EFS 篇四

從系統 安全 角度來看，為需要保護的檔案或資料夾物件設定使用者訪問許可權和許可，基本上可以有效地保護資料，但經常出現的安全問題是：未被授權的使用者可以使用 Windows 2000之外的作業系統或忽略NTFS許可權的程式來入侵檔案或資料夾物件，此時，入侵者甚至可以獲

從系統安全形度來看，為需要保護的檔案或資料夾物件設定使用者訪問許可權和許可，基本上可以有效地保護資料，但經常出現的安全問題是：未被授權的使用者可以使用Windows2000之外的作業系統或忽略NTFS許可權的程式來入侵檔案或資料夾物件。此時，入侵者甚至可以獲得檔案或資料夾物件所在物理驅動器的訪問和控制權，在其上安裝其他的作業系統，並以管理員的身份訪問該驅動器上的任何資料。為了防止上述安全問題，Windows 2000提供了內建的加密檔案系統(EncryptingFiles System，簡稱EFS)。EFS檔案系統不僅可以阻止入侵者對檔案或資料夾物件的訪問，而且還保持了操作的簡捷性。

加密與解密操作

加密檔案系統通過為指定NTFS檔案與資料夾加密資料，從而確保使用者在本地計算機中安全儲存重要資料。由於EFS與檔案整合，因此對計算機中重要資料的安全保護十分有益。

1、加密操作

(1)利用Windows 2000資源管理器選中待設定加密屬性的檔案或資料夾(如資料夾為“Windows2000”)。

(2)單擊滑鼠右鍵，選擇“屬性”，啟動“Windows2000屬性”對話方塊視窗。

(3)單擊“常規”選項卡中的[高階]按鈕，啟動“高階屬性”對話方塊。

(4)選擇“壓縮或加密屬性”框中的“加密內容以便保護資料”複選框(如附圖所示)，單擊[確定]按鈕，即可完成檔案或資料夾的加密，

2、解密操作

(1)利用Windows 2000資源管理器選中待設定加密屬性的檔案或資料夾(如資料夾為“Windows2000”)。

(2)單擊滑鼠右鍵，選擇“屬性”，啟動“Windows2000屬性”對話方塊視窗。

(3)單擊“常規”選項卡中的[高階]按鈕，啟動“高階屬性”對話方塊。

(4)清除“高階屬性”對話方塊“壓縮或加密屬性”框中的“加密內容以便保護資料”複選框中的“√”。

注意：

1、不能加密或解密FAT檔案系統中的檔案與資料夾。

2、加密資料只有儲存在本地磁碟中才會被加密，而當其在網路上傳輸時，則不會加密。

加密檔案或資料夾的操作

加密檔案與普通檔案相同，也可以進行復制、移動以及重新命名等操作，但是其操作方式可能會影響加密檔案的加密狀態。

1、複製加密檔案

(1)在Windows2000資源管理器中選中待複製的加密檔案(如Windows2000)。

(2)用滑鼠右鍵單擊加密檔案，選擇“複製”。

(3)切換到加密檔案複製的目標位置，單擊滑鼠右鍵，選擇“貼上”，即可完成。

2、移動加密檔案

(1)在Windows2000資源管理器中選中待複製的加密檔案(如Windows2000)。

(2)用滑鼠右鍵單擊加密檔案，選擇“剪下”。

(3)切換到加密檔案待移動的目標位置，單擊滑鼠右鍵，選擇“貼上”，即可完成。

注意：對加密檔案進行復制或移動時，加密檔案有可能被解密，尤其要注意的是，加密檔案複製或移動到FAT檔案系統中時，檔案自動解密，所以建議對加密檔案進行復制或移動後應重新進行加密。

原文轉自