企業(yè)安全分享：Linux文件系統(tǒng)安全攻略(5)

為了確認(rèn)邏輯卷是否已經(jīng)建立，可以使用下列命令進(jìn)行檢查一下：

只要該命令列出了邏輯卷，就說明已經(jīng)成功建立了邏輯卷。不過根據(jù)機(jī)器的不同，設(shè)備號(hào)可能有所不同，如圖10所示：

▲圖10.顯示成功建立的邏輯卷

device-mapper會(huì)把它的虛擬設(shè)備裝載到/dev/mapper下面，所以，你的虛擬塊設(shè)備應(yīng)該是/dev/mapper/ly_EFS，盡管用起來它和其它塊設(shè)備沒什么不同，實(shí)際上它卻是經(jīng)過透明加密的。

如同物理設(shè)備一樣，用戶也可以在虛擬設(shè)備上創(chuàng)建文件系統(tǒng)：

現(xiàn)在為新的虛擬塊設(shè)備建立一個(gè)裝載點(diǎn)，然后將其裝載。命令如下所示：

用戶能夠利用下面的命令查看其裝載后的情況，如圖11所示：

▲圖11.EFS成功裝載后的顯示

通過上述的步驟后，用戶看到裝載的文件系統(tǒng)，盡管看起來與其它文件系統(tǒng)無異，但實(shí)際上寫到/mnt/ly_EFS/下的所有數(shù)據(jù)，在數(shù)據(jù)寫入之前都是經(jīng)過透明的加密處理后才寫入磁盤的，因此，從該處讀取的數(shù)據(jù)都是些密文。

5、卸載加密設(shè)備

要卸載加密文件系統(tǒng)，和平常的方法沒什么兩樣：

即便已經(jīng)卸載了塊設(shè)備，在dm-crypt中仍然視為一個(gè)虛擬設(shè)備。如若不信，用戶可以再次運(yùn)行如圖10所示的命令dmsetupls來驗(yàn)證一下，將會(huì)看到該設(shè)備依然會(huì)被列出。因?yàn)閐m-crypt緩存了口令，所以機(jī)器上的其它用戶不需要知道口令就能重新裝載該設(shè)備。為了避免這種情況發(fā)生，用戶必須在卸載設(shè)備后從dm-crypt中顯式的刪除該設(shè)備。命令具體如下所示：

此后，它將徹底清除，要想再次裝載的話，用戶必須再次輸入口令。

6、重新裝載加密設(shè)備

在卸載加密設(shè)備后，用戶很可能還需作為普通用戶來裝載它們。為了簡化該工作，需要在/etc/fstab文件中添加下列內(nèi)容：

此外，用戶也可以通過建立腳本來替我們完成dm-crypt設(shè)備的創(chuàng)建和卷的裝載工作，方法是用實(shí)際設(shè)備的名稱或文件路徑來替換/dev/DEVICENAME：

如果用戶使用的是回送設(shè)備的話，用戶還可以利用腳本來捆綁設(shè)備，腳本如下所示：

7、在Linux系統(tǒng)安裝時(shí)使用EFS

上面介紹了使用dm-crypt來創(chuàng)建加密文件系統(tǒng)的方法，對于初級(jí)用戶來說，可能這個(gè)過程有些繁雜和不好理解。那么，本節(jié)將介紹一個(gè)非常簡單的方法來使用EFS文件系統(tǒng)。以Fedora10的安裝步驟為例子，選擇相關(guān)選項(xiàng)進(jìn)行安裝就可以方便地進(jìn)行使用了。

用戶可以在空閑空間新建分區(qū)，也可以選擇某個(gè)分區(qū)進(jìn)行編輯，還可以刪除某些分區(qū)。在圖12中，需要選中[加密文件系統(tǒng)]選項(xiàng)，并且，根據(jù)系統(tǒng)要求，輸入訪問EFS所需要的密碼，如圖13所示。然后，根據(jù)第3章的介紹接下來一步一步按照系統(tǒng)的提示進(jìn)行系統(tǒng)安裝即可。那么，在成功安裝系統(tǒng)后，用戶就擁有了一個(gè)安全的加密文件系統(tǒng)，并且，在每次登錄系統(tǒng)的時(shí)候，系統(tǒng)都會(huì)要求用戶輸入在圖13所示步驟中設(shè)定的密碼來進(jìn)行安全訪問。

▲圖12.安裝時(shí)選中[加密系統(tǒng)(E)]選項(xiàng)

▲圖13.輸入EFS所需的密碼

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]