Linux文件系统如何加密

2. 使用eCryptfs

如果你不需要加密整个磁盘，而是想保护某个特定目录（比如家目录下的隐私文件夹），eCryptfs这类堆叠式加密文件系统就非常合适。它直接在现有文件系统之上提供加密层。

步骤：

1. 安装eCryptfs工具：

   sudo apt-get install ecryptfs-utils  # Debian/Ubuntu
   sudo yum install ecryptfs-utils     # CentOS/RHEL

2. 挂载加密目录：
   假设你想加密~/private目录，可以这样操作：

   sudo mount -t ecryptfs ~/private ~/private

   执行命令后，系统会交互式地引导你设置加密算法、密钥类型等参数。

3. 自动挂载：
   同样，可以通过编辑/etc/fstab文件来实现该加密目录的自动挂载。

3. 使用EncFS

EncFS与eCryptfs类似，也是一种用户空间的加密文件系统。它的一个亮点是跨平台兼容性相对更好，如果你需要在不同系统间访问加密数据，可以优先考虑它。

步骤：

1. 安装EncFS：

   sudo apt-get install encfs  # Debian/Ubuntu
   sudo yum install encfs     # CentOS/RHEL

2. 创建加密目录：
   EncFS通常需要两个目录：一个存放加密后的原始数据（如~/encrypted），一个作为访问数据的明文挂载点（如~/plain）。

   mkdir ~/encrypted
   mkdir ~/plain
   encfs ~/plain ~/encrypted

   首次运行时会提示设置密码和加密选项。

3. 自动挂载：
   配置文件通常位于~/.encfs6.xml，可以在其中管理自动挂载的相关设置。

4. 使用dm-crypt

dm-crypt是Linux内核自带的设备映射器加密子系统，它实际上是LUKS的底层基础。直接使用dm-crypt可以进行更底层的配置，常与LUKS结合以增强灵活性，例如在LVM（逻辑卷管理）环境中。

步骤：

1. 加密磁盘：
   这一步与LUKS操作相同。

   sudo cryptsetup luksFormat /dev/sdX

2. 打开加密卷：

   sudo cryptsetup luksOpen /dev/sdX my_encrypted_volume

3. 创建物理卷并扩展卷组（如果需要）：
   如果使用LVM，可以将解密后的设备初始化为物理卷，并加入现有卷组。

   sudo pvcreate /dev/mapper/my_encrypted_volume
   sudo vgextend my_vg /dev/mapper/my_encrypted_volume

4. 创建逻辑卷并格式化：
   在卷组上创建逻辑卷，并进行格式化。

   sudo lvcreate -l 100%FREE -n my_lv my_vg
   sudo mkfs.ext4 /dev/my_vg/my_lv

5. 挂载逻辑卷：

   sudo mount /dev/my_vg/my_lv /mnt/encrypted

注意事项：

• 性能影响：所有加密操作都会带来额外的CPU开销，可能显著影响I/O密集型应用的性能，部署前需评估。
• 数据备份：这是铁律。在进行任何加密操作前，务必确保重要数据已备份。密钥丢失或操作失误都可能导致数据无法挽回。
• 密钥管理：定期更新加密密钥是提高长期安全性的好习惯。

总而言之，选择哪种方案，关键看你的具体需求。LUKS/dm-crypt组合是整盘加密的工业标准，而eCryptfs和EncFS则为目录级加密提供了灵活轻量的选择。理解它们的特点，才能为你的数据找到最合适的那把“锁”。