可以简单用于可移动存储。也可用于内置硬盘或分区。

注意:在磁盘(分区)上部署块设备级加密前切记使用密码学级别的随机数据先行填充!如此一来在无法解密的情况下取证者便无法区分已用空间和可用空间,且在紧急时只要使用随机数据填充卷头以破坏主密钥便可安全地销毁数据。

1.进行准备工作。

进入系统安装向导,到配置磁盘步骤时,选“手动向导”。观察设备上已有的分区,不需要安装双系统的情况下,删除所有分区;如果安装双系统,则最好提前准备好空闲空间。

注意:请勿删除作为安装引导介质的u盘上的分区。

2.配置不加密的 boot 分区。

在空余空间在上面建立一个400MB左右的分区(ext4),用作 boot 分区,挂载点为 /boot ,并设置挂载选项:user_xattrnodevnoexecnosuidrelatimenodiratime

提示:如果电脑上有固态硬盘可用,boot 分区应放在固态硬盘上并添加 discard 挂载选项。如 boot 分区内无 ext4 文件系统,则需要将其格式化为 ext4 文件系统。boot 分区不加密。

注意:在加密卷中的任何文件系统都不要开启 discard!开启 discard 会破坏加密卷的安全性!

3.建立加密物理卷。

建立一个大分区,设置用途为“加密物理卷”,密码句加密。之后返回分区主界面,点“配置加密卷”,应用已有的变化,选择刚生成的大分区,用作加密设备。详细配置加密选项,一般保持默认即可。此后,确认写入磁盘并配置加密卷。确认后再下一个界面选择“完成”。之后进入清除数据的过程,待数据抹除后,要求设置口令。为了达到较好的加密效果,口令不应设置过短。为了防止遗忘口令,可将口令先记在安全的地方。完成后,返回分区主界面,可以看到第一行#1 已经变成了刚创建的加密卷,点击进入该加密物理卷,在其中设置 lvm 物理卷。如果设备上有多个磁盘会被新系统使用,建议在每个磁盘上都建一个加密物理卷。

提示:如果这步操作正确,此时,加密卷将变成 /dev/mapper/xxx

4.在已建立的加密物理卷中建立加密的逻辑卷。

返回分区主界面,点“配置逻辑卷管理器”。进入后默认已经选中刚才设置好的 lvm 物理卷,此时需要在上面创建卷组,点击“创建卷组”,创建完毕后,进入刚创建的卷组,根据需要在其中添加逻辑卷,此处的“逻辑卷”用于替代磁盘分区。为了让系统能正常运行,至少需要建立三个逻辑卷对应三个系统分区:根目录分区( / )、家目录分区( /home )、交换分区(swap)。需要注意的是,逻辑卷不是分区,分区在物理上是连续的,但逻辑卷未必,物理卷内也不存在分区。此时建立的逻辑卷的功能就相当于无逻辑卷的情况下各分区的功能,此时为各逻辑卷分配的空间大小就是为各个用户所需目录的空间大小。各逻辑卷不必放在同一块硬盘上。有多块硬盘可用的情况下,家目录分区、交换分区可放在机械硬盘上,/boot 分区和根文件系统则可以放在固态硬盘上的逻辑卷中。分布在不同硬盘上的不同物理卷则存储在加密的 LUKS 之内。

加密物理卷的大部分空间都要给根目录分区和家目录分区。家目录主要存放用户可以随意修改的文件,用户自行准备的电子书、视频、音频等各种文件也会存在此处,建议分配较多空间给家目录分区。根目录则主要包含系统运行所必须的各种文件,也不应分配太小。所有可用于安装 GNU/Linux 系统空间的 10% 分给根目录分区,交换分区的大小可设为电脑内存容量的 1~1.5 倍。

建立好逻辑卷后,返回主页面,分别对创建出来的3个逻辑卷,配置分区用途、挂载选项以及挂载点等:(1)根目录分区的用途设置为 ext4 文件系统,挂载选项可选user_xattrnodiratime, relatime,挂载点为/;(2)家目录分区用途设置为 ext4 文件系统,挂载选项可选user_xattrnodiratimerelatimenodevnosuid,挂载点为 /home;(3)交换分区的用途设置为交换空间,无所谓挂载选项。交换分区无挂载点,也无可启动标志。完成所有物 理加密卷以及其下的所有卷组、逻辑卷的配置后,点击手动分区设置的主界面上的“完成分区并写入磁盘”,然后确认一下分区方案并确定,待读条完毕后,进行接下来的系统安装操作。

提示:每配置好一个分区可点击页面上的“分区设置完成”返回手动分区设置的主界面。

5.待系统安装流程完毕,引导程序提示可重启进入系统时,还可以将tmpfs /media tmpfs nodev,size=1%,mode=0755 0 0写入目标系统的fstab中。

同时按住 ctrl 、alt 和 f3(f3以后的也可),进入其他的终端界面。先输入# chroot target,将当前用户环境的根目录改为即将完成安装的目标系统的根目录,接着输入#nano /etc/fstab,进入文件后,将tmpfs /media tmpfs nodev,size=1%,mode=0755 0 0写在fstab的文件底部。之后同时按住ctrlS键保存;再同时按住ctrlX键退出编辑。也可直接退出编辑并在退出前确认保存(软件会提示是否保存,按Y键 ,再按回车即可保存)。最后再同时住ctrl``altf2返回引导程序界面,之后根据提示重启进入系统。

提示:返回引导程序界面前,可以在当前界面中顺带完成随机 MAC 的配置,配置方法参考此文

至此,基于 luks 的 lvm 加密已经完成,应用全部操作。