Linux分卷如何加密文件

在Linux中加密分卷文件：两种主流方案详解

在Linux系统管理中，对存储卷进行加密是保护敏感数据免遭未授权访问的关键安全实践。本文将深入解析两种经过广泛验证的主流加密方案：LUKS磁盘级加密与GPG文件级加密，帮助您根据具体场景选择最合适的工具。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

方法一：使用LUKS（Linux Unified Key Setup）加密分卷

LUKS是Linux内核原生支持的磁盘加密标准，它提供了分区级别的透明加密，非常适合加密整个硬盘、USB驱动器或大容量数据分区。其采用标准化头格式，兼容性好，管理方便。

1. 创建分卷：首先，使用fdisk、parted或gdisk等分区工具在目标磁盘（例如/dev/sdb）上创建新的分区。

   sudo fdisk /dev/sdX

   根据命令行提示，完成新分区的创建与写入。

2. 格式化分区：将新创建的分区格式化为ext4、XFS或Btrfs等Linux常用文件系统。

   sudo mkfs.ext4 /dev/sdXY

3. 挂载分区：创建一个临时挂载点，并将未加密的分区挂载上去，为后续加密初始化做准备。

   sudo mkdir /mnt/encrypted
   sudo mount /dev/sdXY /mnt/encrypted

4. 加密分区：核心加密步骤。使用cryptsetup工具对分区进行LUKS格式化，建立加密层。

   sudo cryptsetup luksFormat /dev/sdXY

   命令执行后会提示您设置并确认一个高强度的密码短语，此密码是解锁加密卷的唯一凭证。

5. 打开加密卷：加密完成后，需要“解锁”该分区，将其映射到/dev/mapper/目录下的一个逻辑设备（如encrypted_volume）。

   sudo cryptsetup luksOpen /dev/sdXY encrypted_volume

6. 格式化加密卷：对映射出来的逻辑设备（/dev/mapper/encrypted_volume）创建文件系统。

   sudo mkfs.ext4 /dev/mapper/encrypted_volume

7. 挂载加密卷：最后，将已格式化的加密卷挂载到系统目录，即可像普通磁盘一样安全地存取数据。

   sudo mount /dev/mapper/encrypted_volume /mnt/encrypted

8. 卸载加密卷：数据操作完毕后，为确保安全，需按顺序卸载文件系统并关闭LUKS设备映射。

   sudo umount /mnt/encrypted
   sudo cryptsetup luksClose encrypted_volume

方法二：使用GnuPG（GPG）加密分卷

如果您需要加密的是特定的大型文件（如备份归档），并希望结合分卷功能以便于存储或网络传输，那么采用GPG进行非对称加密配合分卷工具是更灵活的选择。此方法在文件层面操作，适用于安全备份与分享场景。

1. 创建分卷：首先，在目标磁盘上准备好存储空间，创建分区并完成格式化。

   sudo fdisk /dev/sdX

   按照交互提示完成所需分区的创建。

2. 格式化分区：将新分区格式化为所需的文件系统。

   sudo mkfs.ext4 /dev/sdXY

3. 挂载分区：创建挂载点并挂载分区，作为后续加密与分卷操作的工作目录。

   sudo mkdir /mnt/encrypted
   sudo mount /dev/sdXY /mnt/encrypted

4. 加密文件：进入挂载目录，使用GPG命令对目标文件进行加密。您需要指定接收者的公钥（通常通过邮箱识别）。

   gpg --output encrypted_file.gpg --encrypt --recipient your_email@example.com file_to_encrypt

5. 分卷加密文件：得到单个加密文件后，可利用split命令将其分割成指定大小的多个部分（例如每卷1GB），便于管理或传输。

   split -b 1G encrypted_file.gpg encrypted_file.gpg.part.

6. 合并分卷：当需要恢复原始文件时，使用cat命令将所有分卷片段按命名顺序合并，还原成完整的GPG加密文件。

   cat encrypted_file.gpg.part.* > encrypted_file.gpg

7. 解密文件：最后，持有对应私钥的授权用户可以使用GPG对合并后的加密文件进行解密，获取原始明文内容。

   gpg --output decrypted_file --decrypt encrypted_file.gpg

注意事项

• 安全性：密码或密钥是加密体系的安全基石。务必使用足够复杂且唯一的密码，并考虑使用密码管理器妥善保管。对于LUKS，还可添加密钥文件或使用TPM增强安全性。
• 备份：在执行任何加密或格式化操作前，务必确认关键数据已存在完整、可用的备份。加密过程不可逆，操作失误可能导致永久性数据丢失。
• 权限管理：确保只有授权的用户账户或服务进程拥有加密卷或加密文件的访问与挂载权限。合理配置文件系统权限是防止数据泄露的重要补充措施。

通过上述两种方法的详细步骤与对比，您可以根据数据的使用模式（整盘加密 vs. 文件加密）、便携性需求及安全级别，在Linux系统中选择并实施最有效的分卷加密策略，从而为您的数字资产构建可靠的安全防线。