1.介绍

当我们有重要文件需要保护时，可以采用Linux统一密钥设置（Linux Unified Key Setup,LUKS）就是这样一个加密技术，它允许Linux的分区进行加密。

LUKS具有如下功能：

可以使用LUSK加密整个块设备，非常适合于保护可移动存储介质或者笔记本磁盘的数据。

一旦被加密，块设备上的内容看起来就像是随机的，所以它对于交换设备的加密非常有用。

LUSK使用了现有的设备映射内核子系统。

它提供了一个密码加强器，有助于防止针对密码的字典攻击。

2.实验准备工作

准备一个安装好的Linux的系统，安装的系统必须将/data目录创建在独立的分区上。（配置LUSK时，将删除加密分区上的所有数据，在使用LUSK之前，一定要将数据备份到外部资源上。）

这里我们使用的银河麒麟服务器版（下载地址：https://www.ubuntukylin.com/）：

安装cryptsetup

sudo apt-get update

sudo apt-get install cryptsetup

3.操作指南

转换到运行级别1（运行级别1：单用户工作状态，root权限，用于系统维护，禁止远程登陆），在shell提示符或者终端上输入以下命令。

sudo telinit 1（执行后如图：）

使用如下命令卸载当前/data分区：

umount /data

如果有其他进程正在控制/data目录，那么上述命令会执行失败。可使用fuser命令查找并杀死这样的进程：

fuser -mvk /data

执行如下命令检查/data分区当前没有被挂载

grep /data /proc/mounts

现在，在分区中放入一些随机数据：

shred -v --iteratinotallow=1 /dev/sda4 (这里的da4是磁盘的设备名)

上述命令可能会需要一些时间才能完成，时间长短取决你设备的写入速度。

一旦命令执行完毕，则初始化分区：

cryptsetup --verbose --verify-passphrase luksFormat /dev/sda4

映射分区：

cryptsetup luksOpen /dev/sda4 data

检查并确定设备是否存在：

ls -l /dev/mapper |grep dada

创建文件系统

mkfs.ext3 /dev/mapper/data

然后挂载文件系统

mount /dev/mapper/data /data

确认文件系统仍然可见：

df -h |grep data

在/etc/crypttab文件输入如下行：

data /dav/sda4 none

修改/etc/fstab文件，删除/data所在行，并增加如下行：

/dev/mapper/data /data ext3 defaults 1 2

上述命令完成后，执行如下命令恢复默认的SELinux安全设置

/sbin/restorecon -v -R /data

重新启动：

shutdown -r now

重启后，系统会提示我们输入LUKS密码。

现在我们已经成功创建了一个加密分区。即使关机的情况下他人拿走你的磁盘，你的数据依然安全。