- 综合排序
- 最热优先
- 最新优先
- 来自专栏虚拟化云计算
虚拟机磁盘加密之LUKS
LUKS是一种基于device mapper机制的加密方式。使用加密磁盘前要先mapper映射,映射时需要输入密码,写入和读取磁盘时不需要再输入密码。 LUKS可以选择不同的加密算法,也可以开发使用自己的加密算法。本文使用的虚拟机磁盘就是LUKS的加密磁盘。 1. 创建luks格式的加密磁盘 # MYSECRET=`printf %s "123456" | base64` # qemu-img create -f luks --object secret,data =$MYSECRET,id=sec0,format=base64,qom-type=secret -o key-secret=sec0 encrypt.luks 1G 2. " /> <target bus="virtio" dev="vdb" /> <encryption format='<em>luks</em>'> <secret type='passphrase' uuid
2.5K20发布于 2018-07-23 - 来自专栏巫山跬步
用LUKS为云盘敏感数据上锁
1、创建LUKS卷 我们通过luksFormat子命令完成LUKS加密卷的创建(格式化)。 '. mount命令表示不认识这个名为crypto_LUKS的文件系统,即LUKS格式化后的块设备(硬盘卷)是不能执行挂载的。 5、添加/变更LUKS卷密码 LUKS支持多个密码(Keyslot),执行管理操作(如解锁、变更密码)时,只需要输入任意其中一个即可完成授权。 至此,我们完成介绍了LUKS加密块设备的常见操作,后面我们看看LUKS的性能。 0x04 LUKS性能分析与最佳实践 对于上述加密后的硬盘,其访问性能是否会变慢?这几乎每个人关心的问题。 LUKS一般在LVM(卷管理软件)之下,及LVM on LUKS,先对所有的盘加密,再通过LVM统一管理各个加密卷,这是最简单直接的方案。
7.6K6010发布于 2021-01-10 - 来自专栏运维开发故事
kvm虚拟机磁盘使用luks加密
kvm qcow2磁盘加密 关于luks加密 LUKS 实现了一种独立于平台的标准磁盘格式,用于各种工具。LUKS 用于加密块设备。加密设备的内容是任意的,因此可以加密任何文件系统,包括交换分区。 加密卷的开头有一个未加密的标头,它允许存储多达 8 个 (LUKS1) 或 32 个 (LUKS2)加密密钥以及密码类型和密钥大小等加密参数。 luks加密kvm虚拟机磁盘的实现 在libvirt 4.5版本之前,除了luks加密之外,还支持qcow加密的。 下面还是主要来介绍怎么使用luks来实现磁盘加密吧 将现有的虚拟机磁盘转为加密的磁盘,如果直接创建加密磁盘的新虚拟机不需要执行第二步转换磁盘的操作。 创建大小为20G的luks空磁盘。 磁盘转换为luks磁盘,目标磁盘不存在将无法转换。
2.2K20编辑于 2022-09-15 - 来自专栏运维开发故事
使用luks2对ceph rbd进行加密
关于luks加密 还是再介绍下luks吧,虽然上篇文章已经介绍过,但还是没有刨根问底。 LUKS 有两个版本,LUKS2 具有对标头损坏的弹性等功能,并且默认使用Argon2加密算法,而 LUKS1 使用PBKDF2。 LUKS2支持4KB 加密块大小,而QEMU 中的luks1加密以加密单元扇区为 512 字节的加密块粒度工作,效率较低。 要加密 RBD 镜像,需要将其格式化为受支持的加密格式之一(luks1或者luks2)。格式化操作会将加密的元数据写到rbd镜像中。 使用luks2格式对rbd镜像加密 使用luks对ceph rbd加密我就不介绍了,上篇文章已经介绍过了,这里介绍使用luks2对rbd进行加密 格式化镜像 rbd encryption format
1.3K10编辑于 2022-09-15 - 来自专栏Linux运维
数据加密:LUKS和eCryptfs 磁盘加密与密钥管理
数据加密:LUKS和eCryptfs磁盘加密与密钥管理背景与意义随着数据泄露与设备丢失风险的增加,磁盘加密已成为保障信息安全的关键措施。 LUKS:块设备级加密工作原理:LUKS在块设备层进行加密,所有写入磁盘的数据都会被透明加密,读取时自动解密docs.redhat.comQiita。 定期轮换密钥:利用LUKS的多密钥槽功能,定期更新口令而不影响数据。安全备份密钥:密钥文件需妥善保存,避免单点丢失导致数据不可恢复。 分层加密策略:整盘加密(LUKS)+目录加密(eCryptfs),实现纵深防御。 LUKS更适合整盘或分区加密,提供强大的密钥管理与性能保障;eCryptfs则适合细粒度的文件级保护。
35810编辑于 2025-12-02 - 来自专栏python3
RH413 Unit 3 Create
luks Enter passphrase for /dev/storage/luks-test: luks is the logical name. mount /dev/mapper/luks /mnt/luks/ When finished, unmount the filesystem then lock the encrypted bs=4096 count=1 chmod 600 /root/luks.passwd Add the key file for LUKS using the following command : cryptsetup luksAddKey /dev/storage/luks-test /root/luks.passwd Enter any existing passphrase: /dev/storage/luks-test /root/luks.passwd 1.name: Name device mapper will use for the device 2.the
65330发布于 2020-01-15 - 来自专栏运维开发故事
kvm qcow2和ceph rbd虚拟机磁盘加密
kvm qcow2磁盘加密 关于luks加密 LUKS 实现了一种独立于平台的标准磁盘格式,用于各种工具。LUKS 用于加密块设备。加密设备的内容是任意的,因此可以加密任何文件系统,包括交换分区。 加密卷的开头有一个未加密的标头,它允许存储多达 8 个 (LUKS1) 或 32 个 (LUKS2)加密密钥以及密码类型和密钥大小等加密参数。 luks加密kvm虚拟机磁盘的实现 在libvirt 4.5版本之前,除了luks加密之外,还支持qcow加密的。 下面还是主要来介绍怎么使用luks来实现磁盘加密吧 将现有的虚拟机磁盘转为加密的磁盘,如果直接创建加密磁盘的新虚拟机不需要执行第二步转换磁盘的操作。 创建大小为20G的luks空磁盘。 磁盘转换为luks磁盘,目标磁盘不存在将无法转换。
1.4K30编辑于 2022-09-15 - 来自专栏小站
服务器安全指南 - 自动/远程解锁你的磁盘
在之前的文章中,我们了解了如何使用LUKS给自己的Linux系统全盘加密。 但是启用了 LUKS 后,我们在每次启动时,都需要手动输入密码,对于服务器 / 电脑不在身边或者没有 VNC/IPMI 的情况,就很难实现远程解锁了。 在这里我们介绍两种优雅的方法,让你无需物理接触到电脑即可解锁LUKS。 的设备名,本处为/dev/sda2 blkid -t TYPE=crypto_LUKS -o device # 将LUKS分区绑定到tang server上 clevis luks bind -f - 使用SSH远程输入密码解锁 启动时,因为分区尚未被解锁,所以系统内的OpenSSH服务器肯定也还没有运行,此时我们就需要在引导中添加一个临时SSH服务器来输入密码并解锁LUKS分区。
88630编辑于 2023-11-16 - 来自专栏网站技术分享
自动解锁 Linux 上的加密磁盘
Linux 统一密钥设置Linux Unified Key Setup(LUKS)是一个很好的工具,也是 Linux 磁盘加密的通用标准。 运行以下 clevis 命令: sudo clevis bind luks -d /dev/vdc1 tang '{"url":"http://192.168.1.20"}'The advertisement [ynYN] YEnter existing LUKS password: 输入 Y 接受 Tang 服务器的密钥,并提供现有的 LUKS 密码进行初始设置。 通过 systemctl 启用 clevis-luks-askpass.path,以防止非根分区被提示输入密码。 sudo systemctl enable clevis-luks-askpass.path 客户端已经安装完毕。
2K30发布于 2021-09-09 - 来自专栏kali blog
kali更改开机加密密码
KALI的磁盘加密是用LUKS(Linux Unified Key Setup)加密的,这个软件不是kali/debian/ubuntu上特有的,各版本的linux都支持,使用AES加密,格式和truecrypt 是兼容的,可以在加密后的磁盘上创建任意文件系统,但是加密后的磁盘不能直接挂载,必须要将分区映射到/dev/mapper下,所以为了方便管理磁盘,操作系统安装时都采用了 LVM on LUKS的方式,也就是全盘加密并在上面创建 改LUKS的解密密码,要先加一个新密码,在删除原来的旧密码即可。 (Type uppercase yes): 这时输入大写的YES,就删除了所有的LUKS密码,然后你会发现,开机后输入什么密码都会提示密码不正确,磁盘无法解密了! Kali linux 从1.0.6版本后提供了一个紧急自毁(nuke)的补丁,启动时输入正确的密码,正常启动系统;当输入设定的自毁密码时,会删除所有存在的LUKS密码达到自毁的效果,这就和上面情况的原理一样
2.1K20编辑于 2021-12-17 - 来自专栏运维技巧分享
自动解锁 Linux 上的加密磁盘命令
Linux 统一密钥设置Linux Unified Key Setup(LUKS)是一个很好的工具,也是 Linux 磁盘加密的通用标准。 NBDE 采用以下技术实现: Clevis 框架:一个可插拔的框架工具,可自动解密和解锁 LUKS 卷 Tang 服务器:用于将加密密钥绑定到网络状态的服务 Tang 向 Clevis 客户端提供加密密钥 [ynYN] YEnter existing LUKS password: 输入 Y 接受 Tang 服务器的密钥,并提供现有的 LUKS 密码进行初始设置。 通过 systemctl 启用 clevis-luks-askpass.path,以防止非根分区被提示输入密码。 sudo systemctl enable clevis-luks-askpass.path 客户端已经安装完毕。
2.6K00发布于 2021-09-26 - 来自专栏idba
CentOS 8 官方正式发布了
作为默认的显示服务器,而 RHEL 7 默认的 X.Org server 依然提供 详细信息请看 Section 5.1.8, “Desktop” 安装程序以及镜像的创建 Anaconda 安装程序可使用 LUKS2 BPF Compiler Collection (BCC), 这是一个用来创建高效内核跟踪和操作的工具,目前处于技术预览阶段 详情请看 Section 5.3.1, “Kernel” 文件系统和存储 LUKS version 2 (LUKS2) 格式替代旧的 LUKS (LUKS1) 格式. dm-crypt 子系统和 cryptsetup 工具现在使用 LUKS2 作为默认的加密卷格式 详细介绍请看 Section
2.4K30发布于 2019-09-26 - 来自专栏小站
服务器安全指南 - 加密你的磁盘
于是全盘加密应运而生,Windows平台上的BitLocker,Linux下的LUKS,macOS平台的FileVault,都是全盘加密的最好应用。 大家使用Linux的场景较多都是在VPS或者物理服务器上,这种情况下机器的硬件管理权可能并不在自己手上,如果机器上刚好有较为敏感的数据,又担心数据安全,不妨试着启用一下LUKS,对整块硬盘或者分区进行加密 全盘加密 标准分区 此处我们以CentOS 7系统的安装为例,演示如何在安装过程中启用LUKS加密。 首先,我们需要使用安装镜像,启动安装界面后来到磁盘分区界面。 完成安装后,进入系统,执行lsblk即可看到,我们的整个LVM卷组都使用了LUKS加密,至此,全盘/分区加密基本的操作就完成了。 后续 启用了LUKS后,我们在每次启动时,都需要手动输入密码,对于服务器/电脑不在身边或者没有VNC/IPMI的情况,就很难实现远程解锁了。
77320编辑于 2023-11-16 - 来自专栏技术派
如何在Linux中使用'Cryptsetup'工具设置加密的文件系统和交换空间
CentOS] # zypper refresh && zypper install cryptsetup [On openSUSE] 设置加密分区 对于cryptsetup的默认运行方式是LUKS 我们将首先设置LUKS分区和密码: # cryptsetup -y luksFormat /dev/sdb1 创建加密分区 上述命令运行cryptsetup使用默认参数,可以与上市, # cryptsetup 接下来,我们需要打开LUKS分区(我们将提示您输入之前输入的密码)。 分区使用, # cryptesetup luksClose my_encrypted_partition 测试加密 最后,我们将检查我们的加密分区是否安全: 1.打开LUKS分区 # cryptsetup # umount /mnt/enc 7.关闭LUKS分区。 # cryptsetup luksClose my_encrypted_partition 8.尝试将该分区装载为常规文件系统。
6.8K10发布于 2021-06-18 - 来自专栏养码场
你的服务器,真的还好吗?
LUKS LUKS(Linux统一密钥方案)是一种磁盘加密规范,详细表明了用于各种工具(比如标准加密头)的与平台无关的标准磁盘格式,为实施密码管理机制提供了基础。 LUKS在Linux上运行,是基于cryptsetup的增强版,它使用dm-crypt作为磁盘加密后端。 dm-crypt和LUKS共同为一款简单的“独立”密码验证FDE应用软件构筑了基础。
1.4K20发布于 2020-01-13 - 来自专栏巫山跬步
ARM云服务器真的靠谱么?
0x03 LUKS块设备加解密评测 LUKS是Linux内核支持实现的标准块设备加密标准,简单来说就是给硬盘加密的工具。 如果你还不太了解LUKS块设备加密,推荐详细参考下我们之前专门的一篇介绍文章《用LUKS为云盘敏感数据上锁》。 类似文件的压缩/解压缩,块设备的加密/解密也是非常典型的计算密集型的应用。 评测命令执行: luks.jpg 评测结果对比(KDF): luks_r1.jpg 评测结果对比(Ciphers): luks_r2.jpg 可以看到,ARM处理器对于常见的SHA指令(sha256 让我们一起期待更加触手可及的多元精彩体验吧~ 0x07 参考资料 【视频】腾讯云ARM服务器评测与应用 【视频】6招简单快速云上甄选CPU 用LUKS为云盘敏感数据上锁 7zip benchmark
11.9K215编辑于 2021-12-28 - 来自专栏ZNing·腾创库
“源产控”系列(一)CentOS 8之初相识
GNOME 会话和显示管理使用 Wayland 作为默认的显示服务器,而 RHEL 7 默认的 X.Org server 依然提供 安装程序以及镜像的创建 Anaconda 安装程序可使用 LUKS2 目前该特性还处于特性预览阶段 BPF Compiler Collection (BCC), 这是一个用来创建高效内核跟踪和操作的工具,目前处于技术预览阶段 文件系统和存储 LUKS version 2 (LUKS2) 格式替代旧的 LUKS (LUKS1) 格式. dm-crypt 子系统和 cryptsetup 工具现在使用 LUKS2 作为默认的加密卷格式 安全 默认的系统级的 加密策略, 用于配置核心加密子系统
93850发布于 2020-06-28 - 来自专栏中国白客联盟
linux两个好玩的漏洞:长按回车绕过+按28次Backspace键
Cryptsetup是在Linux统一密钥设置(Linux Unified Key Setup, LUKS)中用来加密磁盘的软件,而LUKS则是Linux系统中标准的磁盘加密。 ? 解决方案 尽管漏洞能轻易触发并且影响范围大,但它的修复方案也异常简单: 首先,在LUKS密码提示窗处按压回车键70秒,检查系统是否存在漏洞。 如果存在漏洞,检查下你所使用的Linux是否发布了补丁。
2K60发布于 2018-03-29 - 来自专栏ZNing·腾创库
技术角 | “源产控”系列(一)CentOS 8之初相识
目前该特性还处于特性预览阶段 BPF Compiler Collection (BCC), 这是一个用来创建高效内核跟踪和操作的工具,目前处于技术预览阶段 文件系统和存储 LUKS version 2 (LUKS2) 格式替代旧的 LUKS (LUKS1) 格式. dm-crypt 子系统和 cryptsetup 工具现在使用 LUKS2 作为默认的加密卷格式 安全 默认的系统级的 加密策略, 用于配置核心加密子系统
93030发布于 2020-07-02 - 来自专栏Netkiller
Linux磁盘分区加密
(Type uppercase yes): YES (输入大写的YES来确定创建加密分区) Enter LUKS passphrase: (输入密码) Verify passphrase: (确认密码 挂载的逻辑分区 # cryptsetup luksOpen /dev/sdb1 sdb1 Enter LUKS passphrase: key slot 0 unlocked.
6.8K40发布于 2018-03-05
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号