root复制加密卡|教你加密Root文件系统（图【最新4篇】

教你加密Root文件系统（图 篇一

eCryptfs 是在 Linux 内核 2.6.19 版本中引入的一个功能强大的企业级加密文件系统，堆叠在其它文件系统之上（如 Ext2, Ext3, ReiserFS, JFS 等），为应用程序提供透明、动态、高效和安全的加密功能，

本 质上，eCryptfs 就像是一个内核版本的 Pretty Good Privacy（PGP）[3] 服务，插在 VFS（虚拟文件系统层）和 下层物理文件系统之间，充当一个“过滤器”的角色。用户应用程序对加密文件的写请求，经系统调用层到达 VFS 层，VFS 转给 eCryptfs 文件系统组件（后面会介绍）处理，处理完毕后，再转给下层物理文件系统；读请求（包括打开文件）流程则相反。

eCryptfs 的设计受到OpenPGP 规范的影响，使用了两种方法来加密单个文件：

eCryptfs 先使用一种对称密钥加密算法来加密文件的内容，推荐使用 AES-128 算法，密钥 FEK（File Encryption Key）随机产生。有些加密文件系统为多个加密文件或整个系统使用同一个 FEK（甚至不是随机产生的），这会损害系统安全性，因为：a. 如果 FEK 泄漏，多个或所有的加密文件将被轻松解密；b. 如果部分明文泄漏，攻击者可能推测出其它加密文件的内容；c. 攻击者可能从丰富的密文中推测 FEK，

显然 FEK 不能以明文的形式存放，因此 eCryptfs 使用用户提供的口令（Passphrase）、公开密钥算法（如 RSA 算法）或 TPM（Trusted Platform. Module）的公钥来加密保护刚才提及的 FEK。如果使用用户口令，则口令先被散列函数处理，然后再使用一种对称密钥算法加密 FEK。口令/公钥称为 FEFEK（File Encryption Key Encryption Key），加密后的 FEK 则称为 EFEK（Encrypted File Encryption Key）。由于允许多个授权用户访问同一个加密文件，因此 EFEK 可能有多份。

这种综合的方式既保证了加密解密文件数据的速度，又极大地提高了安全性。虽然文件名没有数据那么重要，但是入侵者可以通过文件名获得有用的信息或者确定攻击目标，因此，最新版的 eCryptfs 支持文件名的加密。

项目主页：www.open-

企业级加密文件系统 eCryptfs 篇二

如果您的计算机安装了Win?2000操作系统，那么通过按F8键或当计算机不能启动时，计算机就会进入Win?2000启动的高级选项菜单，在这里您可以选择除正常启动外的8种不同的模式启动Win?2000，那么这些模式分别代表什么意思呢，我们一起来认识一下：

1、安全模式

选用安全模式启动Win?2000时，系统只使用一些最基本的文件和驱动程序（鼠标、监视器、键盘、大容量存储器、基本视频、默认系统服务并且无网络连接）启动。安全模式可以帮助您诊断问题，如果以安全模式启动时没有出现什么问题的话，您就可以将默认设置和最小设备驱动程序排除在导致问题的原因之外。如果新添加的设备或已更改的驱动程序产生了问题，您可以使用安全模式删除该设备或还原所做的更改。如果安全模式启动不能帮助您解决问题，则看来可能需要使用紧急修复磁盘?(ERD)的功能修复系统了。

2、网络安全模式

在启动过程中，只使用基本文件和驱动程序以及网络连接来启动Win?2000，其功能基本与安全模式一样。

3、命令提示符的安全模式

使用基本的文件和驱动程序启动Win?2000。登录后，屏幕出现命令提示符，而不是Windows桌面、开始菜单和任务栏。

4、启用启动日志

启动Win?2000，同时将由系统加载（或没有加载）的所有驱动程序和服务记录到文件中，

文件名为ntbtlog.txt，位于windir目录中。安全模式、网络安全模式和命令提示符的安全模式中，都会将一个加载所有驱动程序和服务的列表添加到启动日志。该日志对于确定系统启动问题的准确原因很有用。

5、启用VGA?模式

使用基本VGA驱动程序启动Win?2000。当安装了使Win?2000不能正常启动的新视频卡驱动程序时，这种模式十分有用。当您在安全模式（安全模式、网络安全模式或命令提示符安全模式）下启动Win?2000时，总是使用基本的视频驱动程序。

6、最近一次的正确配置

选择使用最后一次正确的配置启动?Win?2000是解决问题（如新添加的驱动程序与硬件不相符）的一种方法。但不能解决因损坏或丢失驱动程序或文件所导致的问题。用这种方式启动，Win?2000只恢复注册表项HklmSystemCurrentControlSet下的信息。任何在其他注册表项中所做的更改均保持不变。

7、目录服务恢复模式

不适用于Win?2000?Professional。这是针对Win?2000?Server操作系统的，并只用于还原域控制器上的Sysvol?目录和Active?Directory目录服务。

8、调试模式

启动Win?2000，同时将调试信息通过串行电缆发送到其他计算机。如果正在或已经使用远程安装服务在您的计算机上安装Win?2000，您可以看到与使用远程安装服务恢复系统相关的附加选项。

如何应用dmcrypt构建加密文件系统（EFS 篇三

从系统 安全 角度来看，为需要保护的文件或文件夹对象设置用户访问权限和许可，基本上可以有效地保护数据，但经常出现的安全问题是：未被授权的用户可以使用 Windows 2000之外的操作系统或忽略NTFS权限的程序来入侵文件或文件夹对象，此时，入侵者甚至可以获

从系统安全角度来看，为需要保护的文件或文件夹对象设置用户访问权限和许可，基本上可以有效地保护数据，但经常出现的安全问题是：未被授权的用户可以使用Windows2000之外的操作系统或忽略NTFS权限的程序来入侵文件或文件夹对象。此时，入侵者甚至可以获得文件或文件夹对象所在物理驱动器的访问和控制权，在其上安装其他的操作系统，并以管理员的身份访问该驱动器上的任何数据。为了防止上述安全问题，Windows 2000提供了内置的加密文件系统(EncryptingFiles System，简称EFS)。EFS文件系统不仅可以阻止入侵者对文件或文件夹对象的访问，而且还保持了操作的简捷性。

加密与解密操作

加密文件系统通过为指定NTFS文件与文件夹加密数据，从而确保用户在本地计算机中安全存储重要数据。由于EFS与文件集成，因此对计算机中重要数据的安全保护十分有益。

1、加密操作

(1)利用Windows 2000资源管理器选中待设置加密属性的文件或文件夹(如文件夹为“Windows2000”)。

(2)单击鼠标右键，选择“属性”，启动“Windows2000属性”对话框窗口。

(3)单击“常规”选项卡中的[高级]按钮，启动“高级属性”对话框。

(4)选择“压缩或加密属性”框中的“加密内容以便保护数据”复选框(如附图所示)，单击[确定]按钮，即可完成文件或文件夹的加密，

2、解密操作

(1)利用Windows 2000资源管理器选中待设置加密属性的文件或文件夹(如文件夹为“Windows2000”)。

(2)单击鼠标右键，选择“属性”，启动“Windows2000属性”对话框窗口。

(3)单击“常规”选项卡中的[高级]按钮，启动“高级属性”对话框。

(4)清除“高级属性”对话框“压缩或加密属性”框中的“加密内容以便保护数据”复选框中的“√”。

注意：

1、不能加密或解密FAT文件系统中的文件与文件夹。

2、加密数据只有存储在本地磁盘中才会被加密，而当其在网络上传输时，则不会加密。

加密文件或文件夹的操作

加密文件与普通文件相同，也可以进行复制、移动以及重命名等操作，但是其操作方式可能会影响加密文件的加密状态。

1、复制加密文件

(1)在Windows2000资源管理器中选中待复制的加密文件(如Windows2000)。

(2)用鼠标右键单击加密文件，选择“复制”。

(3)切换到加密文件复制的目标位置，单击鼠标右键，选择“粘贴”，即可完成。

2、移动加密文件

(1)在Windows2000资源管理器中选中待复制的加密文件(如Windows2000)。

(2)用鼠标右键单击加密文件，选择“剪切”。

(3)切换到加密文件待移动的目标位置，单击鼠标右键，选择“粘贴”，即可完成。

注意：对加密文件进行复制或移动时，加密文件有可能被解密，尤其要注意的是，加密文件复制或移动到FAT文件系统中时，文件自动解密，所以建议对加密文件进行复制或移动后应重新进行加密。

原文转自

Windows的加密文件系统 篇四

与其它创建加密文件系统的方法相比，dm-crypt系统有着无可比拟的优越性：它的速度更快，易用性更强，除此之外，它的适用面也很广，能够运行在各种块设备上，即使这些设备使用了RAID和LVM也毫无障碍。dm-crypt系统之所以具有这些优点，主要得益于该技术是建立在2.6版本内核的device-mapper特性之上的。device-mapper是设计用来为在实际的块设备之上添加虚拟层提供一种通用灵活的方法，以方便开发人员实现镜像、快照、级联和加密等处理。此外，dm-crypt使用了内核密码应用编程接口实现了透明的加密，并且兼容cryptloop系统。

第一步：内核准备

dm -crypt利用内核的密码应用编程接口来完成密码操作。一般说来，内核通常将各种加密程序以模块的形式加载。对于AES来说，其安全强度已经非常之高，即便用来保护绝密级的数据也足够了。为了保证用户的内核已经加载AES密码模块，请根据如下命令进行检查：

#cat /proc/crypto

否则，可以使用modprobe来手工加载AES模块，命令如下所示：

#modprobe aes

接下来，用户安装dmsetup软件包，该软件包含有配置device-mapper所需的工具，如下命令所示：

#yum install dmsetup cryptsetup

为检查dmsetup软件包是否已经建立了设备映象程序，键入下列命令进行：

#ls -l /dev/mapper/control

然后，需要使用如下命令加载dm-crypt内核模块：

#modprobe dm-crypt

dm-crypt加载后，它会用evice-mapper自动注册。如果再次检验的话，device-mapper已能识别dm-crypt，并且把crypt 添加为可用的对象。执行完上述步骤后，用户应该可以根据如下命令看到crypt的下列输出：

#dmsetup targets

这说明系统已经为装载加密设备做好了准备。下面，我们先来建立一个加密设备。

第二步：创建加密设备

要创建作为加密设备装载的文件系统，有两种选择：一是建立一个磁盘映像，然后作为回送设备加载；二是使用物理设备。无论那种情况，除了在建立和捆绑回送设备外，其它操作过程都是相似的。

建立回送磁盘映象

如果用户没有用来加密的物理设备（比如存储棒或另外的磁盘分区），作为替换，你可以利用命令dd来建立一个空磁盘映象，然后将该映象作为回送设备来装载，照样能用。下面我们以实例来加以介绍：

#dd if=/dev/zero f=/virtual.img bs=1M count=100

这里我们新建了一个大小为100 MB的磁盘映象，该映象名字为virtual.img。要想改变其大小，可以改变count的值。

接下来，我们利用losetup命令将该映象和一个回送设备联系起来：

#losetup /dev/loop0 /virtual.img

现在，我们已经得到了一个虚拟的块设备，其位于/dev/loop0，并且我们能够如同使用其它设备那样来使用它，

设置块设备

准备好了物理块设备（例如/dev/hda1），或者是虚拟块设备（像前面那样建立了回送映象，并利用device-mapper将其作为加密的逻辑卷加载），我们就可以进行块设备配置了。

下面我们使用cryptsetup来建立逻辑卷，并将其与块设备捆绑：

#cryptsetup -y create ly_EFS device_name

其中，ly_EFS是新建的逻辑卷的名称。并且最后一个参数device_name必须是将用作加密卷的块设备。所以，如果要使用前面建立的回送映象作为虚拟块设备的话，应当运行以下命令：

#cryptsetup -y create ly_EFS /dev/loop0

无论是使用物理块设备还是虚拟块设备，程序都会要求输入逻辑卷的口令，-y的作用在于要你输入两次口令以确保无误。这一点很重要，因为一旦口令弄错，就会把自己的数据锁住， 为了确认逻辑卷是否已经建立，可以使用下列命令进行检查一下：

#dmsetup ls

只要该命令列出了逻辑卷，就说明已经成功建立了逻辑卷。不过根据机器的不同，设备号可能有所不同。device-mapper会把它的虚拟设备装载到/dev/mapper下面，所以，你的虚拟块设备应该是/dev/mapper/ly_EFS ，尽管用起来它和其它块设备没什么不同，实际上它却是经过透明加密的。

如同物理设备一样，用户也可以在虚拟设备上创建文件系统：

#mkfs.ext3 /dev/mapper/ly_EFS

现在为新的虚拟块设备建立一个装载点，然后将其装载。命令如下所示：

#mkdir /mnt/ly_EFS

#mount /dev/mapper/ly_EFS /mnt/ly_EFS

用户能够利用下面的命令查看其装载后的情况：

#df -h /mnt/ly_EFS

通过上述的步骤后，用户看到装载的文件系统，尽管看起来与其它文件系统无异，但实际上写到/mnt/ly_EFS/下的所有数据，在数据写入之前都是经过透明的加密处理后才写入磁盘的，因此，从该处读取的数据都是些密文。

卸载加密设备

要卸载加密文件系统，和平常的方法没什么两样：

#umount /mnt/ly_EFS

即便已经卸载了块设备，在dm-crypt中仍然视为一个虚拟设备。如若不信，用户可以再次运行命令dmsetup ls来验证一下，将会看到该设备依然会被列出。因为dm-crypt缓存了口令，所以机器上的其它用户不需要知道口令就能重新装载该设备。为了避免这种情况发生，用户必须在卸载设备后从dm-crypt中显式的删除该设备。命令具体如下所示：

#cryptsetup remove ly_EFS

此后，它将彻底清除，要想再次装载的话，用户必须再次输入口令。

重新装载加密设备

在卸载加密设备后，用户很可能还需作为普通用户来装载它们。为了简化该工作，需要在/etc/fstab文件中添加下列内容：

/dev/mapper/ly_EFS /mnt/ly_EFS ext3 noauto,noatime 0 0

此外，用户也可以通过建立脚本来替我们完成dm-crypt设备的创建和卷的装载工作，方法是用实际设备的名称或文件路径来替 换/dev/DEVICENAME：