前一階段看了一些關(guān)于數(shù)據(jù)安全,系統(tǒng)安全,以及社會(huì)工程學(xué)的書籍,突然覺得數(shù)據(jù)加密是一項(xiàng)十分重要的工作,由其是公司的敏感數(shù)據(jù)、商業(yè)機(jī)密,或者個(gè)人的重要文件都應(yīng)該隨時(shí)進(jìn)行加密;就算是平時(shí)的備份數(shù)據(jù)也要進(jìn)行合理的加密,以保證數(shù)據(jù)安全。VeraCrypt是目前一款比較流行,而且安全性和效能都比較好的軟件,最重要是的開源、免費(fèi),并不斷進(jìn)行更新。 此前我一直在使用Veracrypt的Windows版本,效果不錯(cuò)。Mac、linux也有圖形化的版本,因?yàn)槭褂帽容^簡(jiǎn)單,這里就不進(jìn)行介紹了。這里主要是介紹Veracrypt的Linux console也就是命令行版本的命令的使用,這也是我們平時(shí)在運(yùn)維中的主要操作環(huán)境。 這篇文檔是介紹如何使用Veracrypt命令的第一部分,這里介紹安裝及加密單個(gè)磁盤。后面會(huì)分幾個(gè)部分逐漸深入介紹Veracrypt中相關(guān)的概念、Veracrypt命令的用法及自動(dòng)化處理磁盤的加密和解密等等。
1、在VirtualBox中安裝好CentOS 6.8并升級(jí)到最新版本后,關(guān)機(jī); 2、在該虛擬機(jī)中添加一塊新的磁盤,建議大小為8GB因?yàn)樵谑褂肰eraCrypt加密的時(shí)候,雖然你在新建虛擬磁盤時(shí)設(shè)置了“動(dòng)態(tài)分配”虛擬磁盤大小,但虛擬磁盤所占用的空間大小和你設(shè)置的大小會(huì)一樣大。 如圖:
VeraCrypt最新版本為1.19,單擊此處進(jìn)入項(xiàng)目主頁 在下載頁面找到Linux安裝包,如圖: 
使用wget命令下載安裝包:
解壓文件:
tar -jxvf veracrypt-1.19-setup.tar.bz2解壓后有四個(gè)文件: 
因?yàn)槲野惭b的CentOS是64位的,并且沒有安裝GUI,所以安裝veracrypt-1.19-setup-console-x64
安裝程序彈出提示:?jiǎn)柲闶前惭bveracrypt(選項(xiàng)1)還是將安裝包解壓到/tmp目錄下,這里選擇“1”,并回車:
接下來彈出提示,讓你輸入回車查看用戶許可:
Before you can use, extract, or install VeraCrypt, you must accept theterms of the VeraCrypt License.PRess Enter to display the license terms...單擊回車后就可以看到用戶許可的全文,如果不想看完,可以按q退出; 這時(shí)程序會(huì)問你是否接受許可,輸入yes.
此時(shí),輸入回車就完成安裝。
輸入如下命令:
[root@localhost src]# veracrypt --versionVeraCrypt 1.19如果此時(shí)程序出現(xiàn)如下錯(cuò)誤提示
[root@localhost src]# veracrypt -versionveracrypt: error while loading shared libraries: libfuse.so.2: cannot open shared object file: No such file or directory則需要安裝fuse-libs
現(xiàn)在使用fdisk -l命令就可以看到我們之前添加的那塊8GB的虛擬硬盤:
目前還沒有進(jìn)行分區(qū)操作。 其實(shí)我們也沒有必要對(duì)待加密的整個(gè)磁盤進(jìn)行分區(qū)操作,除非我們只是想加磁盤的一部分進(jìn)行加密操作的話,那么可以先對(duì)磁盤進(jìn)行分區(qū),然后使用veracrypt針對(duì)某一分區(qū)進(jìn)行加密。
創(chuàng)建加密硬盤使用veracrypt -t -c -t的意思是使用文件向?qū)?chuàng)建加密盤,-c的意思是create創(chuàng)建加密盤
向?qū)?huì)提示你輸入加密的磁盤路徑,由于我們這里是加密整塊硬盤,然后只輸入設(shè)備名,不用輸入分區(qū)名:
Enter volume path: /dev/sdb接下來,向?qū)?huì)提示你選擇加密算法和哈希算法,這里我們選擇AES SHA-512:
由于我們將加密磁盤用于Linux系統(tǒng)的,因此選擇Linux Ext4
由于我這里用于演示的密碼太短,系統(tǒng)提示我當(dāng)前密碼很容易被暴力破解,建議使用20個(gè)字符以上的密碼,是否還要使用當(dāng)前密碼。這里輸入yes 接著系統(tǒng)會(huì)讓你再次輸入一次密碼:Re-enter password:
接下來系統(tǒng)會(huì)讓你輸入PIM。
Enter PIM:這個(gè)PIM是什么?我上網(wǎng)查了一下,就是Personal Iterations Multiplier”的縮寫。通俗地說就是:你可以自定義“加密盤的頭部密鑰生成時(shí)的迭代次數(shù)”。這個(gè)“迭代次數(shù)”越大,計(jì)算頭部密鑰的時(shí)間就越長(zhǎng),因此掛載加密盤的過程就越慢;表面上看,這是一個(gè)缺點(diǎn)。但其好處在于:如果某個(gè)攻擊者想要采用暴力破解的方式對(duì)“頭部”進(jìn)行窮舉解密,每次一次嘗試也同樣需要花很長(zhǎng)時(shí)間(同樣要迭代 N 次)。所以,當(dāng) N 足夠大,暴力破解就變得不可行。 如果你設(shè)置的密碼過于簡(jiǎn)短,那么 VeraCrypt 會(huì)強(qiáng)制讓你輸入一個(gè)比較大的 PIM 數(shù)值(大于 485, 但是要小于2147468)。 如果你創(chuàng)建加密盤的時(shí)候,指定了 PIM 數(shù)值,那么在掛載的時(shí)候,需要輸入【相同的】PIM 數(shù)值。 如果輸入的數(shù)值與創(chuàng)建時(shí)指定的 PIM 數(shù)值不一致,則掛載失敗。 這里我們直接回車就可以.
接下來,指定keyfile
這里我們先不指定,所以直接回車。
在鍵盤上隨意輸入字符,如果不知道輸入的數(shù)量夠不夠,可以回車,向?qū)Ь蜁?huì)提示你還剩多少個(gè)字符沒有輸入了:
Please type at least 320 randomly chosen characters and then press Enter:Characters remaining: 277Characters remaining: 172Characters remaining: 88Characters remaining: 31當(dāng)輸入的隨機(jī)字符數(shù)量符合要求后,向?qū)Ь烷_始創(chuàng)建加密盤了:
Done: 9.946% Speed: 89 MB/s Left: 81 s全部完成后會(huì)有如下提示
Done: 100.000% Speed: 88 MB/s Left: 0 sThe VeraCrypt volume has been successfully created.掛載由veracrypt加密的磁盤和掛載普通磁盤的命令不一樣,不能使用mount。 在未掛載前使用fdisk -l命令查看的話,磁盤還是沒有分區(qū)和格式化的狀態(tài):
在這種狀態(tài)下是沒有辦法使用mount命令的。
正確的方法是使用命令 veracrypt /dev/sdb /mnt:
這時(shí)系統(tǒng)會(huì)提示是輸入加密磁盤時(shí)預(yù)留的密碼,后三項(xiàng)可以直接回車略過。
這里再使用fdisk -l命令查看的話,在原來的磁盤/dev/sda、/dev/sdb的基礎(chǔ)上會(huì)多出一個(gè)/dev/mapper/veracrypt1磁盤,這就是掛載上來加密磁盤:
使用 df -h命令查看可以看到/dev/mapper/veracrypt1已經(jīng)掛載到/mnt目錄上了。
沒有問題,掛載成功。
既然掛載加密磁盤有專用的命令,那么卸載加密磁盤也一定有專用的命令:
veracrypt -d /mnt如果要卸載系統(tǒng)中掛載的全部veracrypt加密磁盤,則使用:
veracrypt -d不指定掛載目錄即可。 再次查看系統(tǒng)中已經(jīng)掛載的磁盤:
[root@localhost ~]# df -hFilesystem Size Used Avail Use% Mounted on/dev/sda3 47G 1001M 43G 3% /tmpfs 939M 0 939M 0% /dev/shm/dev/sda1 976M 80M 845M 9% /bootveracrypt加密磁盤已經(jīng)被卸載掉了。
新聞熱點(diǎn)
疑難解答
圖片精選
