我們時(shí)不時(shí)地能看到這樣的頭條新聞：“某公司損失了3千萬(wàn)客戶的個(gè)人社會(huì)安全碼，以及其他個(gè)人敏感信息還有財(cái)務(wù)數(shù)據(jù)!我們不該憤怒嗎？

”通常都是“承包商”（注意為什么從來(lái)都不會(huì)是雇員）在他的（似乎是）帶有千兆硬盤(pán)的筆記本上存儲(chǔ)了所有這些信息，然后這個(gè)筆記本丟失或者被盜走了，但是沒(méi)有人知道準(zhǔn)確的時(shí)間和地點(diǎn)。或者是，某個(gè)供應(yīng)商負(fù)責(zé)運(yùn)輸一大盒備份磁帶，而顯然這個(gè)供應(yīng)商“太窮了”，連帶有防盜鎖的汽車(chē)都買(mǎi)不起。對(duì)我來(lái)說(shuō)，這些解釋都是無(wú)稽之談，甚至是荒謬；承包商怎么會(huì)最先獲得所有的敏感數(shù)據(jù)？為什么他們需要把所有的數(shù)據(jù)放到筆記本上？為什么要讓買(mǎi)不起高安全性能的汽車(chē)的那些人來(lái)運(yùn)送一大盒的敏感信息備份磁帶呢？他們?cè)趺磿?huì)知道丟失了哪些數(shù)據(jù)，怎么會(huì)知道這些數(shù)據(jù)是否被加密或者究竟有沒(méi)有被妥善保護(hù)？ 
還真是有不少無(wú)法回答的問(wèn)題。本文的主題就是如何用加密文件系統(tǒng)在硬盤(pán)中保護(hù)敏感數(shù)據(jù)。這個(gè)方案是提供給那些移動(dòng)用戶和需要在服務(wù)器和工作站中保護(hù)數(shù)據(jù)安全的人們的。我們將使用既簡(jiǎn)單又功能強(qiáng)大的cryptsetup-luks。我們會(huì)創(chuàng)建一個(gè)加密的分區(qū)，只需在裝載時(shí)提供口令。然后你就可以像其他分區(qū)一樣地使用該分區(qū)了。

Debian，Ubuntu，還有Fedora都可以用cryptsetup-luks了。你不需要修改內(nèi)核或者其他任何東西；你只要安裝就行了。

Debian和Ubuntu 系列上：

# aptitude安裝cryptsetup

在Fedora上：

#yum安裝cryptsetup-luks

讓系統(tǒng)做好準(zhǔn)備

不幸的是，cryptsetup不能給你系統(tǒng)中現(xiàn)有的數(shù)據(jù)加密；因此你必須創(chuàng)建加密的分區(qū)，然后將數(shù)據(jù)轉(zhuǎn)移到新建的分區(qū)中。用GParted（Gnome分區(qū)編輯器）來(lái)管理分區(qū)很方便，所有主流的Linux版本上都有GParted。你可以用它重新設(shè)置分區(qū)大小、移動(dòng)、刪除或者創(chuàng)建分區(qū)，并且可以選擇自己喜歡的文件系統(tǒng)格式化方式。它能夠支持你系統(tǒng)內(nèi)核所支持的所有的分區(qū)類(lèi)型以及文件系統(tǒng)，因此如果你機(jī)器上是雙系統(tǒng)的話，你甚至可以在Windows分區(qū)上使用該工具。如果是新的硬盤(pán)分區(qū)上的話，你可以用Gparted live CD。

本文中我們只探討怎樣給數(shù)據(jù)分區(qū)加密。我也知道許多方法可以給其他文件系統(tǒng)的、保存了潛在的敏感信息的那些分區(qū)加密，比如/var和/etc，但是這兩個(gè)都很復(fù)雜并且刁鉆，它們都不能能在啟動(dòng)的時(shí)候加密。因此，我這里只討論現(xiàn)有的比較成熟的這些，因?yàn)楦鶕?jù)我自己的測(cè)試，其他那些方法還無(wú)法穩(wěn)定工作。

你用一種文件系統(tǒng)將分區(qū)格式化并沒(méi)有什么關(guān)系，所有東西都可以重寫(xiě)，加密后文件格式也是可變的。

你將用密碼來(lái)保護(hù)你的加密分區(qū)。如果你把密碼弄丟了，那就太不幸了，你就無(wú)法取回這些數(shù)據(jù)了。

給分區(qū)加密

有了新的空白分區(qū)后，你可以用cryptsetup命令來(lái)給它加密。注意一定確保是在加密要保護(hù)的那個(gè)分區(qū)：

# cryptsetup --verbose --verify-passphrase -c aes-cbc-plain luksFormat /dev/sda2

當(dāng)心！

這將把不可逆轉(zhuǎn)地改寫(xiě)/dev/sda2 上的數(shù)據(jù)。

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful. 
以上命令創(chuàng)建加密的分區(qū)。現(xiàn)在我們需要?jiǎng)?chuàng)建可以裝載的邏輯分區(qū)，并給它命名。本例中，我們給它命名為sda2，你也可以叫它test、fred、我的秘密分區(qū)或者任何你喜歡的名字：

# cryptsetup luksOpen /dev/sda2 sda2
Enter LUKS passphrase:
key slot 0 unlocked.
Command successful.

如下命令將顯示/dev/mapper路徑中的隱藏設(shè)備：

$ ls -l /dev/mapper
total 0
crw-rw---- 1 root root  10, 63 2007-06-09 18:38 control
brw-rw---- 1 root disk 254,  0 2007-06-09 19:46 sda2

現(xiàn)在把文件系統(tǒng)放到邏輯分區(qū)上：

# mkfs.ext3 /dev/mapper/sda2

你需要做一個(gè)裝載點(diǎn)，這樣你就能裝載并且使用這個(gè)新的、加密過(guò)的分區(qū)了。記住，你必須從/dev/mapper/路徑下使用該設(shè)備。我會(huì)把它放在根目錄下。注意哪些需要根權(quán)限的操作：

$ mkdir /home/me/crypted
# mount /dev/mapper/sda1  /home/me/crypted

確保它被裝載了，編寫(xiě)一個(gè)測(cè)試文件：

# df -H
[...]
Filesystem             Size   Used  Avail Use% Mounted on
/dev/mapper/sda2       7.9G   152M   7.3G   3% /home/carla/crypted
# cd /home/me/crypted
# nano test
# ls
lost+found  test

讓它對(duì)用戶可用

到目前為止一切順利！但還有一個(gè)大問(wèn)題：只有本地才能訪問(wèn)該分區(qū)。我們得讓普通用戶也能使用它。你可以在/etc/fstab中能夠管理這個(gè)虛擬分區(qū)，就像管理其他分區(qū)一樣。往/etc/fstab中加入一行，以便允許沒(méi)有特殊權(quán)限的用戶來(lái)加載或者卸載該分區(qū)：

/dev/mapper/sda2  /home/carla/crypted  ext3 user,atime,noauto,rw,dev,exec,suid   0 0

這樣Carla可以自己加載這個(gè)分區(qū)了：

$ mount ~/crypted

但是Carla仍然無(wú)法往其中寫(xiě)入數(shù)據(jù)。因此我們?cè)俅涡枰O(shè)置本地權(quán)限，把正確的權(quán)限和許可方如已經(jīng)加載的隱藏設(shè)備：

# chown carla:carla /home/carla/crypted/
# chmod 0700 /home/carla/crypted/

好了那么，很多人都可以像Carlas一樣了！但是我們需要讓Carla讀寫(xiě)一些加密的文件夾，而讓其他人無(wú)法讀寫(xiě)這些文件夾。

你可以卸載并且手動(dòng)關(guān)閉加密分區(qū)：

{GetProperty(Content)}nbsp; umount crypted
# cryptsetup luksClose sda2

只有在打開(kāi)加密設(shè)備的時(shí)候，你才需要輸入LUKS密碼。記住，如果丟了密碼，你就完蛋了。你可以刪除分區(qū)重新再來(lái)，但是數(shù)據(jù)是無(wú)法恢復(fù)的。打開(kāi)加密設(shè)備并加載以后，你就可以像使用其它分區(qū)一樣使用它了。

你得用本地權(quán)限來(lái)運(yùn)行cryptsetup。這對(duì)用戶來(lái)說(shuō)可能不是很方便。我們也有很多針對(duì)這個(gè)問(wèn)題的解決方法。其中一種就是使用sudo；Ubuntu用戶有現(xiàn)成的全功能的sudo。另一種方法是把它設(shè)置成在系統(tǒng)啟動(dòng)的時(shí)候開(kāi)啟，并在系統(tǒng)關(guān)閉的時(shí)候關(guān)閉。或者你也可能想要?jiǎng)?chuàng)建一些桌面圖標(biāo)，以便讓用戶可以隨時(shí)按需要啟動(dòng)和關(guān)閉它。