cryptsetup – 分区加密工具

cryptsetup是linux下的一个分区加密工具，和之前介绍过的eCryptfs不同的是：eCryptfs是文件系统级别的加密，而cryptsetup是分区级别的，比文件系统级别工作在更底层的位置，是在经过加密的块设备上，再创建文件系统，再挂载使用。这应该是纯软件能达到的最底层的加密了吧。
我折腾这玩意，是因为上篇文章说到，我要把/home的数据备份到另一个硬盘，而那个硬盘的物理安全性并不能得到充分地保证，所以只有通过加密来确保数据的安全了。如果当年陈老师也用这玩意的话，想必不会捅出这么大的篓子，呵呵。

废话不说，简单说说安装和使用的方法。
如果你是用ubuntu这类发行版的话，安装部分就很简单了，基本就是直接安装cryptsetup这个包，就完事了。
但是如果你和我一样也是用自己编译内核的发行版，比如gentoo的话，使用中可能会出现以下错误：

/proc/misc: No entry for device-mapper found
Is device-mapper driver missing from kernel?
Failure to communicate with kernel device-mapper driver.
Cannot initialize device-mapper. Is dm_mod kernel module loaded?
Command failed with code 22: Cannot initialize device-mapper. Is dm_mod kernel module loaded?

这时候你不要急着去安装 device-mapper ，因为现在 device-mapper 已经并入到更强大的 lvm2 里面了，所以你要确保装了 lvm2 和在内核选项里选择了CONFIG_DM_CRYPT，如下：

-> Device Drivers  -> Multiple devices driver support    -> Device mapper support      -> Crypt target support

另外，还建议选取大文件支持的CONFIG_LBDAF和CONFIG_CRYPTO_AES两个内核选项，我这边不选取前者，会无法打开加密分区（虽然说LBDAF是2T+的单文件支持，而我的硬盘一共只有80G）；后者是一个内核里的加密算法API，我们就用这个算法来加密（也可以用其他的算法）。

说说怎么使用：
建立一个加密的分区，很简单，执行下面的命令：

sudo cryptsetup --verbose --verify-passphrase -c aes-cbc-plain luksFormat /dev/sdb1

我的外接硬盘在 /dev/sdb1 ，因为这个命令会摧毁这个分区的所有数据，所以程序会让你确认，输入大写的YES，回车，就会让你输入两次密码，输完就搞定了。
话外音：其实cryptsetup不仅支持用密码加密，还支持用文件来加密，可以是任意类型的文件，不过解密的时候，要确保文件一个字节都不差，用这个特性可以方便地构建解密U盘。

好了，加密完分区以后，要使用的话，可以这样：

sudo cryptsetup luksOpen /dev/sdb1 back

其中最后的“back”，可以是任意字符串，程序会提示输入之前设置的密码，输对密码以后，文件系统里就会多出一个 /dev/mapper/back ，接下来就可以像使用 /dev/sdXX 一样地使用这个 /dev/mapper/back 了。
比如，建立一个ext4文件系统，挂载，复制文件之类：

sudo mkfs.ext4 /dev/mapper/backsudo mount /dev/mapper/back /mnt/back/sudo cp XXX /mnt/back/....

使用完以后，可以这样显式地关闭加密分区：

sudo cryptsetup luksClose /dev/mapper/back

看看如果别人偷你加密后的硬盘，想挂载看你的艳照时，会怎么样？哈哈：

$ sudo mount /dev/sdb1 /mnt/back/mount: unknown filesystem type 'crypto_LUKS'