阅读量:119
Ubuntu文件系统加密保护的常见方法
1. eCryptfs加密主目录
eCryptfs是Ubuntu默认集成的文件系统级加密工具,适合加密用户主目录,实现登录后自动解密、登出后自动加密的效果。
操作步骤:
- 安装工具:
sudo apt install ecryptfs-utils cryptsetup; - 加密主目录:若未在安装时选择加密,可通过
sudo ecryptfs-migrate-home -u 用户名命令迁移现有主目录(需注销当前用户并以临时管理员身份操作); - 使用说明:加密后,主目录下的所有文件会在写入时自动加密,读取时自动解密,无需手动挂载。
2. LUKS(Linux Unified Key Setup)加密磁盘/分区
LUKS是Linux内核标准的磁盘加密方案,适用于加密整个分区或外部设备(如U盘),安全性高且支持密钥管理。
操作步骤:
- 安装工具:
sudo apt install cryptsetup; - 加密分区:选择目标分区(如
/dev/sdX1),执行sudo cryptsetup luksFormat /dev/sdX1,按提示设置密码; - 打开加密卷:
sudo cryptsetup open /dev/sdX1 加密卷名称; - 格式化与挂载:
sudo mkfs.ext4 /dev/mapper/加密卷名称,然后sudo mount /dev/mapper/加密卷名称 /mnt/挂载点; - 自动挂载:编辑
/etc/crypttab(添加加密卷名称 /dev/sdX1 none luks)和/etc/fstab(添加/dev/mapper/加密卷名称 /mnt/挂载点 ext4 defaults 0 2),实现开机自动挂载。
3. VeraCrypt加密容器/磁盘
VeraCrypt是基于TrueCrypt的开源加密工具,支持加密整个磁盘、分区或创建加密容器(文件形式),兼容Windows和Linux系统。
操作步骤:
- 安装工具:
sudo apt install veracrypt; - 创建加密容器:运行
veracrypt --create,选择“Standard VeraCrypt volume”,设置容器大小、加密算法(如AES)、哈希算法(如SHA-512)和密码; - 挂载容器:通过
veracrypt /path/to/container /mnt/挂载点命令,输入密码后即可像普通文件夹一样访问; - 卸载容器:
veracrypt -d /mnt/挂载点或通过图形界面卸载。
4. GnuPG(GPG)加密单个文件
GnuPG是基于OpenPGP标准的工具,适合加密单个文件或文件夹(需先压缩),常用于敏感文件的安全传输或存储。
操作步骤:
- 安装工具:
sudo apt install gnupg; - 对称加密(简单密码):
gpg -c 文件名(生成文件名.gpg,删除原文件后,用gpg -d 文件名.gpg > 文件名解密); - 非对称加密(公钥/私钥):先生成密钥对(
gpg --full-generate-key),再通过gpg --encrypt --recipient 接收者邮箱 文件名加密,接收者用私钥解密。
5. OpenSSL加密文件
OpenSSL是通用的加密库,支持多种算法(如AES-256),适合快速加密单个文件,无需安装额外工具(Ubuntu默认包含)。
操作步骤:
- 加密文件:
openssl enc -aes-256-cbc -salt -in 文件名 -out 文件名.enc(按提示输入密码,生成加密文件文件名.enc); - 解密文件:
openssl enc -d -aes-256-cbc -in 文件名.enc -out 文件名(输入密码即可解密)。
6. Vaults图形化加密文件夹
Vaults是Ubuntu的图形化加密工具,支持gocryptfs和cryfs两种加密后端,适合普通用户快速创建加密文件夹。
操作步骤:
- 安装工具:
sudo apt install flatpak,然后通过Flathub安装(flatpak install https://dl.flathub.org/repo/appstream/io.github.mpobaschnig.Vaults.flatpakref); - 创建加密文件夹:打开Vaults,点击“+ New Vault”,输入文件夹名称、选择加密后端(如cryfs)、设置密码和存储位置,完成创建;
- 使用说明:加密文件夹需通过Vaults挂载,挂载后像普通文件夹一样使用,关闭后自动加密。