LUKS全盘加密需手动分区并luksFormat初始化,支持多密钥槽管理,可配置initramfs自动解密非根分区,须备份LUKS头并定期轮换密钥以保障安全与恢复能力。
Linux系统中使用LUKS(Linux Unified Key Setup)对物理磁盘进行全盘加密,是保障数据静态安全的主流方案。核心在于安装时正确配置加密分区,并建立可靠、灵活的密钥管理机制——既不能把所有密钥都依赖单一密码,也不能丢失恢复能力。
安装阶段:分区与LUKS格式化
在安装Linux(如Ubuntu、CentOS或Arch)时,若需对根分区或独立数据盘加密,应跳过图形化自动分区,进入手动分区界面:
- 先创建一个未格式化的物理分区(如 /dev/sdb1),不挂载、不设文件系统
- 使用 cryptsetup luksFormat --type luks2 /dev/sdb1 初始化LUKS容器(LUKS2为当前推荐格式,支持更多密钥派生选项)
- 执行后会提示设置首个密码(即“主密码”),建议用强口令;可加 --iter-time 5000 提高PBKDF迭代时间,增强抗暴力破解能力
- 打开容器:cryptsetup open /dev/sdb1 cryptdata,此时会在 /dev/mapper/cryptdata 生成解密后的块设备
- 在其上创建文件系统(如 mkfs.ext4 /dev/mapper/cryptdata),再挂载到目标路径(如 /mnt/data)参与安装
密钥管理:不止一个密码,也不只靠密码
LUKS支持最多8个密钥槽(key slot),每个槽可独立增删,互不影响。合理利用能兼顾安全性与可用性:
- 第1槽存主口令(日常解锁用)
- 第2槽可添加一个独立密钥文件:dd if=/dev/urandom of=/root/keyfile.bin bs=512 count=4 && chmod 0400 /root/keyfile.bin,再用 cryptsetup luksAddKey /dev/sdb1 /root/keyfile.bin 绑定
- 关键服务器建议保留一个离线备份密钥槽(如第3槽),导出为二进制密钥并打印/写入USB离线保存:cryptsetup luksDump /dev/sdb1 查看各槽状态,cryptsetup luksHeaderBackup 可备份整个LUKS头(含所有密钥槽元数据)
- 禁用不用的槽位:cryptsetup luksKillSlot /dev/sdb1 4,减少攻击面
系统启动时自动解密(可选但实用)
对于非根分区(如/home 或 /data),可通过 initramfs 实现开机自动挂载:
- 将密钥文件(如 /root/keyfile.bin)复制进 initramfs:cp /root/keyfile.bin /etc/crypttab.key,并确保 initramfs 有读取权限(部分发行版需修改 /etc/crypttab 并重生成 initramfs)
- 编辑 /etc/crypttab,添加一行:cryptdata /dev/sdb1 /etc/crypttab.key luks,discard
- 更新 initramfs:update-initramfs -u(Debian/Ubuntu)或 dracut -f(RHEL/Fedora)
- 注意:此方式提升便利性,但密钥文件若被未加密的/boot分区泄露,则加密形同虚设;生产环境建议仅用于低敏感度数据盘,且确保 /boot 本身受UEFI Secure Boot保护
应急恢复与密钥轮换
忘记密码或密钥损坏时,只要至少一个有效密钥槽可用,就能恢复访问;定期轮换密钥也是良好实践:
- 新增密钥后,可立即删除旧密码:cryptsetup luksRemoveKey /dev/sdb1(输入待删除的旧口令)
- 若仅剩一个密钥槽且怀疑泄露,务必先添加新密钥再删旧的,避免锁死
- LUKS头损坏但密钥尚存?可用备份头恢复:cryptsetup luksHeaderRestore /dev/sdb1 --header-backup-file luks-header-backup
- 彻底清除磁盘前,先擦除LUKS头(覆盖前512字节)和可能残留的数据:dd if=/dev/zero of=/dev/sdb1 bs=512 count=1024,再用 shred -n1 -v /dev/sdb1(谨慎操作!)
