Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

C.2. 使用 dm-crypt/LUKS6bit 來為區塊裝置加密

Linux Unified Key Setup(LUKS)是個區塊裝置加密的規格。它會為資料建置一個 on-disk 的格式,以及一個密碼/金鑰管理政策。
LUKS 透過了 dm-crypt 模組使用 kernel 裝置映射子系統。這提供了一個能夠處理裝置資料加密與解密的低階層映射。用戶層級的作業(比方說建立和存取已加密的裝置)是透過使用 cryptsetup 這項工具來完成的。

C.2.1. LUKS 總覽

  • LUKS 的作用:
    • LUKS 能為整個區塊裝置加密
      • LUKS 適用於保護移動式裝置的內容,例如:
        • 可卸除式的儲存媒介
        • 手提電腦硬碟
    • 已加密區塊裝置的潛在內容能夠是任意的內容。
      • 這對於 swap 裝置加密相當有幫助。
      • 這對於使用特殊格式的區塊裝置,以儲存資料的特定資料庫來說也相當有幫助。
    • LUKS 會使用現有裝置映射的 kernel 子系統。
      • 這與 LVM 所使用的子系統是相同的,因此它已經過充分測試。
    • LUKS 提供了密碼字串強化功能。
      • 這可預防字典攻擊(dictionary attack)。
    • LUKS 裝置包含了多重金鑰槽。
      • 這能讓使用者新增備份用的金鑰/密碼字串。
  • LUKS 無法用於:
    • LUKS 不適用於需要許多(超過八個)使用者皆擁有不同存取金鑰來存取相同裝置的應用程式。
    • LUKS 不適用於需要檔案層級加密的應用程式。
您可透過專案網站於 http://code.google.com/p/cryptsetup/ 取得更多有關於 LUKS 的相關資訊。