lvm加密分区

By admin

February 22, 2012

装好cryptsetup

以装好lvm为前提进行以下操作。

若分区不存在则

cryptsetup create home /dev/vg/home

若已经建立lvm分区则

cryptsetup luksFormat /dev/vg/home

让输入密码就输

完成之后的这个新盘的数据会被清空，加密分区就做好了。

打消了我之前以为可以把普通分区无损转成加密分区的幻想…

需要挂载时

cryptsetup luksOpen /dev/vg/home home

就会建立/dev/mapper/home的映射，或者自己起的其他名字的什么映射，必须通过映射名称来格式化和挂载。

完成之后

mkfs.ext4 /dev/mapper/home

或者用其他需要的分区命令格式化

然后mount这个映射就可以了，例如

mount /dev/mapper/home /home

若需要开机自动挂载

则还需要一个key文件

比如在 vim /root/home

内容是11111111或者其他什么字符串就成

然后

cryptsetup luksAddKey /dev/vg/home /root/home

添加了密钥

需要修改/etc/crypttab文件

home /dev/vg/home /root/home luks

这样应该就可以自动启动挂载了

不过我这启动时有个报错，启动之后用着也没影响

FATAL: Error inserting padlock_sha (/lib/modules/2.6.32-5-amd64/kernel/drivers/crypto/padlock-sha.ko): No such device

google说是内核bug，之后的升级应该能修正

后来我把 padlock-sha加到 /etc/modprob.d/blacklis.conf里

还有warning 报错，说那个key文件是明文，不过总算舒服点，也妨碍使用。

如果不使用密钥加载则修改 /etc/crypttab文件的第三列为 none ，如下

home /dev/vg/home none luks

就会在开机加载该分区时提示让输入密码，还是这样好些，我最后就是这么设置的。

看网上都说加密分区对高io读写的分区性能影响很大，所以这个东西还是就加密点自己的东西，防点儿门事件就够了

主要参考