Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

C.2. 使用 dm-crypt/LUKS 加密块设备

Linux 通用密钥设置(LUKS)是关于块设备加密的具体说明。它为数据建立了一个非磁盘格式以及密码短语/密钥管理策略。
LUKS 通过 dm-crypt 模块使用内核设备映射器子系统。这个协议提供处理设备数据加密和解密底层映射。用户级别操作,比如生成和访问加密的设备,是通过使用 cryptsetup 程序完成的。

C.2.1. LUKS 概要

  • LUKS 做什么:
    • LUKS 加密整个块设备
      • LUKS 因此非常适合保护移动设备的内容,比如:
        • 可移动存储介质
        • 笔记本磁盘驱动器
    • 加密块设备的基本内容是随机的。
      • 这可使其用于加密 swap 设备。
      • 这还对使用特殊格式块设备进行数据存储的某些数据库有用。
    • LUKS 使用现有设备映射器内核子系统。
      • 这与 LVM 使用的子系统相同,因此经过测试。
    • LUKS 提供密码短语增强。
      • 这可以防止字典攻击。
    • LUKS 设备包含多密钥插槽。
      • 这可允许用户添加备份密钥/密码短语。
  • LUKS 不能做什么:
    • LUKS 不适用于需要很多(超过 8 个)用户对同一设备有不同访问密钥的程序。
    • LUKS 不适用于需要文件级别加密的程序。
有关 LUKS 详情可参考其项目网站,地址为:http://code.google.com/p/cryptsetup/