當(dāng)Ubuntu Linux使用加密文件系統(tǒng)后，數(shù)據(jù)的安全能得到很好的保護(hù)。在這種情況下，即使把我們的機(jī)器送給黑客，只要他們沒有密鑰，黑客看到的數(shù)據(jù)只會(huì)是一堆亂碼，毫無利用價(jià)值可言。

　　本文將詳細(xì)介紹利用dm-crypt來創(chuàng)建加密文件系統(tǒng)的方法。與其它創(chuàng)建加密文件系統(tǒng)的方法相比，dm-crypt系統(tǒng)有著無可比擬的優(yōu)越性：它的速度更快，易用性更強(qiáng)。除此之外，它的適用面也很廣，能夠運(yùn)行在各種塊設(shè)備上，即使這些設(shè)備使用了RAID和 LVM也毫無障礙。dm-crypt系統(tǒng)之所以具有這些優(yōu)點(diǎn)，主要得益于該技術(shù)是建立在2.6版本內(nèi)核的device-mapper特性之上的。device-mapper是設(shè)計(jì)用來為在實(shí)際的塊設(shè)備之上添加虛擬層提供一種通用靈活的方法，以方便開發(fā)人員實(shí)現(xiàn)鏡像、快照、級(jí)聯(lián)和加密等處理。此外，dm-crypt使用了內(nèi)核密碼應(yīng)用編程接口實(shí)現(xiàn)了透明的加密，并且兼容cryptloop系統(tǒng)。

　　一、配置內(nèi)核

　　dm-crypt利用內(nèi)核的密碼應(yīng)用編程接口來完成密碼操作。一般說來，內(nèi)核通常將各種加密程序以模塊的形式加載。對(duì)于256-bit AES來說，其安全強(qiáng)度已經(jīng)非常之高，即便用來保護(hù)絕密級(jí)的數(shù)據(jù)也足夠了。因此本文中我們使用256-bit AES密碼，為了保證您的內(nèi)核已經(jīng)加載AES密碼模塊，請(qǐng)利用下列命令進(jìn)行檢查：

　　$ cat /proc/crypto

　　如果看到類似下面的輸出的話，說明AES模塊已經(jīng)加載：

　　name         : aes

　　module       : aes

　　type         : cipher

　　blocksize    : 16

　　min keysize  : 16

　　max keysize  : 32

　　否則，我們可以利用modprobe來手工加載AES模塊，命令如下所示：

　　$ sudo modprobe aes

　　接下來安裝dmsetup軟件包，該軟件包含有配置device-mapper所需的工具：

　　$ sudo apt-get install dmsetup cryptsetup

　　為檢查dmsetup軟件包是否已經(jīng)建立了設(shè)備映象程序，鍵入下列命令：

　　$ ls -l /dev/mapper/control

　　接下來加載dm-crypt內(nèi)核模塊：

　　$ sudo modprobe dm-crypt

　　dm-crypt加載后，它會(huì)用evice-mapper自動(dòng)注冊(cè)。如果再次檢驗(yàn)的話，device-mapper已能識(shí)別dm-crypt，并且把crypt 添加為可用的對(duì)象：

　　$ sudo dmsetup targets

　　如果一切順利，現(xiàn)在你應(yīng)該看到crypt的下列輸出：

　　crypt            v1.1.0

　　striped          v1.0.2

　　linear           v1.0.1

　　error            v1.0.1

　　這說明我們的系統(tǒng)已經(jīng)為裝載加密設(shè)備做好了準(zhǔn)備。下面，我們先來建立一個(gè)加密設(shè)備。