感谢支持
我们一直在努力

关于开发 Linux系统下的磁盘加密方法

    随着智能手机的计算能力和存储能力的提高,手机中将会存放越来越多的私有数据,这些数据的泄密可能造成严重后果。手机信息安全一直是我们的重点之一,对于一些重要的功能我们要求鉴权后才能使用,但这只能挡住初级的黑客,只能防君子不能防小人,所以我们希望把重要的数据进行加密后再保存。为此,今天花了一点时间去了解Linux 磁盘加密的方法。


  方法一:cryptoloop


  下载并编译util-linux


  http://www.paranoiacs.org/~sluskyb/hacks/util-linux/losetup-combined.patch


  http://ftp.cwi.nl/aeb/util-linux/util-linux-2.12.tar.gz


  http://hydra.azilian.net/util-linux-2.12-kernel-2.6.patch


  tar zxvf util-linux-2.12.tar.gz


  cd util-linux-2.12


  patch -p1 Block Devices>Loopback device support


  BLK_DEV_CRYPTOLOOP


  加载模块


  modprobe cryptoloop


  (以及加密模块)


  创建loop设备


  dd if=/dev/zero of=~/cryptoloop.image bs=1M count=10


  losetup -e aes-256 /dev/loop0 ~/cryptoloop.image


  (提示输入密码)


  创建文件系统并加载


  mkfs.ext3 /dev/loop0


  mkdir /mnt/crypto


  mount -t ext3 ~/cryptoloop.image /mnt/crypto/ -oencryption=aes-256


  (提示输入密码)


  卸载


  umount /mnt/crypto


  losetup -d /dev/loop0


  重新加载


  losetup -e aes-256 /dev/loop0 ~/cryptoloop.image


  mount -t ext3 ~/cryptoloop.image /mnt/crypto/ -oencryption=aes-256


  cryptoloop的实现比较简单,可以看看drivers/block/cryptoloop.c中的代码。loop设备在读写之前会调用lo_do_transfer函数,该函数再调用所安装的transfer插件。cryptoloop就是一种transfer的实现。至于使用哪种transfer及transfer的参数(如密码),这可以通过LOOP_SET_STATUS64的ioctrl系统调用来完成(mount命令就是这样实现的)。


  cryptoloop的缺点是只能针对loop设备,而且对日志型文件系统无效。

  方法二:device-mapper crypto


  下载并编译cryptsetup(已经有了就跳过)


  wget http://www.saout.de/misc/dm-crypt/cryptsetup-0.1.tar.bz2


  cd cryptsetup-0.1


  ./configure;make;make install


  编译内核(已经支持则跳过此步)


  make menuconfig


  Device Drivers > Multi-device support (RAID and LVM)


  CONFIG_BLK_DEV_DM


  CONFIG_DM_CRYPT


  加载模块


  modprobe dm-crypt


  (以及加密模块)


   创建loop设备


  dd if=/dev/zero of=~/dm-crypt.image bs=1M count=10


  losetup /dev/loop0 ~/dm-crypt.image


  建立device-mapper


  cryptsetup -y create dm-crypt /dev/loop0


  (提示输入密码)


  创建文件系统并加载


  mkfs.ext3 /dev/mapper/dm-crypt


  mount /dev/mapper/dm-crypt /mnt/crypto


  卸载


  umount /mnt/crypto/


  cryptsetup remove dm-crypt


  losetup -d /dev/loop0


  重新加载


  cryptsetup -y create dm-crypt /dev/loop0


  mount /dev/mapper/dm-crypt /mnt/crypto


  device-mapper crypto 的实现在drivers/md目录下,相对来说要复杂得多,没有来得及仔细阅读。

  方法三:ecryptfs


  下载并编译


  http://people.redhat.com/~dhowells/keyutils/keyutils-1.2.tar.bz2


  tar jxf keyutils-1.2.tar.bz2


  cd keyutils-1.2


  make;make install


  tar jxf ecryptfs-20070306.tar.bz2


  cd ecryptfs-20070306/ecryptfs-util


  ./configure;make;make install


  编译内核


  make menuconfig


  File systems>Miscellaneous filesystems


  CONFIG_ECRYPT_FS


  加载模块


  modprobe ecryptfs


  (以及加密模块)


  加载


  mkdir /root/crypt


  mkdir /mnt/crypt


  mount -t ecryptfs /root/crypt /mnt/crypt


  (提示输入密码和算法)


   卸载


  umount /mnt/crypt


  重新加载


  mount -t ecryptfs /root/crypt /mnt/crypt


   (提示输入密码和算法)


  看来ecryptfs的特点是能够对目录进行加密,而不必加密整个磁盘。直接读取原始目录中的文件,只能读到加密后的数据,要正确读取数据,只有先把该目录用ecryptfs文件系统格式加载到另外一个目录,之后才能读取。而在加载时要指定密码和加密算法,这就起到保密作用。如果加载时指定错误的密码或加密算法,仍然可以加载而不会出错,但读出的数据是无效的。


  ecryptfs的代码在fs/ecryptfs目录下,只有比较新的kernel版本才有,我用的是linux-2.6.21。它的实现与前面两种方法不同,它完全是按文件系统的方式来实现的。


  以上几种加密方法,在加载时都要输入密码,为了使用上的方便,可以与PAM+libpam-mount插件集成起来,用当前用户的密码作为加密的密码,这样就只需要在登录时输入一次就够了。

赞(0) 打赏
转载请注明出处:服务器评测 » 关于开发 Linux系统下的磁盘加密方法
分享到: 更多 (0)

听说打赏我的人,都进福布斯排行榜啦!

支付宝扫一扫打赏

微信扫一扫打赏