为什么Linux中没有安装后加密机制？

Question

我知道它可以用额外的硬盘来完成(LUKS)，这需要大量的手工工作。在Windows中，这仅仅是对硬盘进行加密/解密的一次点击。Ubuntu提供了一种在安装过程中加密的方法，但是谁能解释为什么在安装操作系统之后，Linux中没有可行的加密机制/工具？操作系统架构中是否存在固有的瓶颈，还是说还没有人开发出瓶颈呢？

Answer 1

首先，我需要说，我不知道Windows如何处理加密硬盘驱动器。

表面上看，这仅仅是因为还没有人编写代码来做到这一点。

下一个显而易见的问题是:为什么没有人这么做？

我想解决这个问题的部分原因在于很少的需要，部分在于任务的复杂性。

至于“非常不需要”部分:大多数人自己安装Linux，并且可以在安装过程中轻松地设置加密，所以只有那些为自己安装了Linux的机器(或后来意识到需要)的人才需要这样的特性。

Answer 2

你的问题有点小题大做。如果按下GUI上的按钮就是所谓的“可行的加密机制”，那么Linux在这方面可能确实会失败，但它只是意味着Linux不适合您，而不是说加密机制不可行。

Linux提供了几种加密工具，不需要手头有备用磁盘。在他的评论中，豪克拉格引用了卢克西奇，它可以加密您的分区，但需要首先卸载它。但是其他系统可以在安装的设备上运行，例如ext4加密、EncFS和eCryptfs。

这是非常极端的，但是使用eCryptfs，您甚至可以对整个目录进行加密。我不确定这是否明智，所以不要在工作中或在任何有价值的东西上尝试，但对于好奇的人来说，以下是步骤：

# mount -t ecryptfs dir dir                # Yes, mount it onto itself
(answer the questions; DO enable plaintext passthrough)
# cd dir
# find -type f -not -name my_temporary_file \( \
    -exec cp -a {} my_temporary_file ";" \
    -exec mv my_temporary_file {} ";" \
    -o -printf "Error while encrypting %p\n" \
\)

哇哦！所有原始文件现在都是加密的(您可以卸载目录并检查其内容)。注意，由于它是通过复制每个文件来进行的，所以您必须在分区上为dir中最大的文件留出足够的空间。