半冷半暖秋天

目的：将linux安装在加密的分区中,使得即使硬盘丢失别人也无法获取数据。陈老师肯定很喜欢。。。
实现：

1. 使用encryptset系列工具创建加密分区
2. 复制系统所有文件到加密后的分区
3. 创建initrd,放在未加密的分区中,用grub引导

1. 首先需要准备以下工具：
cryptsetup（cryptsetup-luks）
device-mapper
util-linux

2. linux内核必须要加载aes模块

root[~]#modprobe aes
root[~]#cat /proc/crypto | grep aes

name      : aes
driver    : aes-asm
module    : aes_i586
name      : aes
driver    : aes-generic
module    : aes_generic

3. 加密分区

root[~]#cryptsetup –verbose –verify-passphrase -c aes-cbc-plain luksFormat /dev/sda2

输入密码。

4. 挂载+格式化+复制系统文件

root[~]#cryptsetup –verbose –verify-passphrase -c aes-cbc-plain luksFormat /dev/sda2
root[~]#cryptsetup luksOpen /dev/sda2 mydisk
root[~]#ls /dev/mapper/
control mydisk
root[~]#mkfs.ext4 /dev/mapper/mydisk -O uninit_bg -E lazy_itable_init=1
root[~]#mkdir -p /mnt/mydisk;
root[~]#mount /dev/mapper/mydisk /mnt/mydisk
root[~]# … 复制所有系统文件到 /mnt/mydisk中

4. 创建initrd
grub是不支持从crypt_LUKS加密分区启动的，所以需要准备一个单独的未加密小分区存放内核和initrd.

root[~]#mkinitrd //会在/boot/下生成initrd-tree目录，是最简单的initrd目录结构
root[~]#cd /boot/initrd-tree
root[~]# … //修改文件：luksdev为加密分区/dev/sda2, rootfs为ext4, rootdev为/dev/mapper/mydisk
root[~]# … //复制静态版的cryptsetup及device-mapper完整地到 initrd-tree相应的目录下.
root[~]# … //因为在initrd-tree/init启动脚本中会使用到,用来打开加密的分区，而默认的initrd中是没这些工具的
root[~]# … //复制内核的aes模块文件 /lib/modules/版本/kernel/crypto/* 及/lib/modules/版本/kernel/arch/x86/crypto/*到initrd-tree/lib/下。如果内核已经内嵌了aes则不需要了
root[~]#mkinitrd //再次运行mkinitrd会将/boot/initrd-tree打包成/boot/initrd.gz

5. 在grub启动中加上initrd /boot/initrd.gz
如此一来，在启动的过程中，将会提示输入密码.如果密码不对，则系统不会启动。