linux加密文件系统

‘壹’ 如何在linux系统上加密文件和目录

有很多linux系统上的加密工具，
文件系统级别加密
EncFS：尝试加密的最简单方式之一。EncFS工作在基于FUSE的伪文件系统上，所以你只需要创建一个加密文件夹并将它挂载到某个文件夹就可以工作了。
eCryptFS：一个POSIX兼容的加密文件系统，eCryptFS工作方式和EncFS相同，所以你必须挂载它。
磁盘级别加密
Loop-AES：最古老的磁盘加密方法。它真的很快，并且适用于旧系统(如，2.0内核分支)。
DMCrypt：最常见的磁盘加密方案，支持现代Linux内核。
CipherShed：已停止的TrueCrypt磁盘加密程序的一个开源分支。

‘贰’ 如何在Linux系统上加密文件和目录

加密类型

我们主要有两种加密文件和目录的方法。一种是文件系统级别的加密，在这种加密中，你可以选择性地加密某些文件或者目录(如，/home/alice)。对我而言，这是个十分不错的方法，你不需要为了启用或者测试加密而把所有一切重新安装一遍。然而，文件系统级别的加密也有一些缺点。例如，许多现代应用程序会缓存(部分)文件你硬盘中未加密的部分中，比如交换分区、/tmp和/var文件夹，而这会导致隐私泄漏。

另外一种方式，就是所谓的全盘加密，这意味着整个磁盘都会被加密(可能除了主引导记录外)。全盘加密工作在物理磁盘级别，写入到磁盘的每个比特都会被加密，而从磁盘中读取的任何东西都会在运行中解密。这会阻止任何潜在的对未加密数据的未经授权的访问，并且确保整个文件系统中的所有东西都被加密，包括交换分区或任何临时缓存数据。

可用的加密工具

在Linux中要实施加密，有几个可供选择的工具。在本教程中，我打算介绍其中一个：eCryptFS，一个用户空间文件系统加密工具。下面提供了一个Linux上可用的加密工具摘要供您参考。

文件系统级别加密

EncFS：尝试加密的最简单方式之一。EncFS工作在基于FUSE的伪文件系统上，所以你只需要创建一个加密文件夹并将它挂载到某个文件夹就可以工作了。

eCryptFS：一个POSIX兼容的加密文件系统，eCryptFS工作方式和EncFS相同，所以你必须挂载它。

磁盘级别加密

Loop-AES：最古老的磁盘加密方法。它真的很快，并且适用于旧系统(如，2.0内核分支)。

DMCrypt：最常见的磁盘加密方案，支持现代Linux内核。

CipherShed：已停止的TrueCrypt磁盘加密程序的一个开源分支。

eCryptFS基础

eCrypFS是一个基于FUSE的用户空间加密文件系统，在Linux内核2.6.19及更高版本中可用(作为encryptfs模块)。eCryptFS加密的伪文件系统是挂载到当前文件系统顶部的。它可以很好地工作在EXT文件系统家族和其它文件系统如JFS、XFS、ReiserFS、Btrfs，甚至是NFS/CIFS共享文件系统上。Ubuntu使用eCryptFS作为加密其家目录的默认方法，ChromeOS也是。在eCryptFS底层，默认使用的是AES算法，但是它也支持其它算法，如blowfish、des3、cast5、cast6。如果你是通过手工创建eCryptFS设置，你可以选择其中一种算法。

就像我所的，Ubuntu让我们在安装过程中选择是否加密/home目录。好吧，这是使用eCryptFS的最简单的一种方法。

Ubuntu提供了一个用户友好的工具集，通过eCryptFS可以让我们的生活更轻松，但是在Ubuntu安装过程中启用eCryptFS只创建了一个指定的预配置的设置。所以，如果默认的设置不适合你的需求，你需要进行手工设置。在本教程中，我将介绍如何在主流Linux发行版上手工设置eCryptFS。

eCryptFS的安装

Debian，Ubuntu或其衍生版：

代码如下:

$ sudo apt-get install ecryptfs-utils

注意，如果你在Ubuntu安装过程中选择加密家目录，eCryptFS应该已经安装了。

CentOS, RHEL or Fedora：

代码如下:

# yum install ecryptfs-utils

Arch Linux：

代码如下:

$ sudo pacman -S ecryptfs-utils

在安装完包后，加载eCryptFS内核模块当然会是一个很好的实践：

代码如下:

$ sudo modprobe ecryptfs

配置eCryptFS

现在，让我们开始加密一些目录，运行eCryptFS配置工具：

代码如下:

$ ecryptfs-setup-private

它会要求你输入登录密码和挂载密码。登录密码和你常规登录的密码一样，而挂载密码用于派生一个文件加密主密钥。这里留空可以生成一个(复杂的)，这样会更安全。登出然后重新登录。

你会注意到，eCryptFS默认在你的家目录中创建了两个目录：Private和.Private。~/.Private目录包含有加密的数据，而你可以在~/Private目录中访问到相应的解密后的数据。在你登录时，~/.Private目录会自动解密并映射到~/Private目录，因此你可以访问它。当你登出时，~/Private目录会自动卸载，而~/Private目录中的内容会加密回到~/.Private目录。

eCryptFS怎么会知道你拥有~/.Private目录，并自动将其解密到~/Private目录而不需要我们输入密码呢?这就是eCryptFS的PAM模块捣的鬼，它为我们提供了这项便利服务。

如果你不想让~/Private目录在登录时自动挂载，只需要在运行ecryptfs-setup-private工具时添加“--noautomount”选项。同样，如果你不想要~/Private目录在登出后自动卸载，也可以自动“--noautoumount”选项。但是，那样后，你需要自己手工挂载或卸载~/Private目录：

[/code]$ ecryptfs-mount-private ~/.Private ~/Private

$ ecryptfs-umount-private ~/Private

你可以来验证一下.Private文件夹是否被挂载，运行：

代码如下:

$ mount

现在，我们可以开始把任何敏感文件放进~/Private文件夹里头了，它们会在我们登出时自动被加密并锁在~/.Private文件内。

所有这一切看起来是那么得神奇。这主要是ecryptfs-setup-private工具让一切设置变得简单。如果你想要深究一点，对eCryptFS指定的方面进行设置，那么请转到官方文档。

结尾

综上所述，如果你十分关注你的隐私，最好是将基于eCryptFS文件系统级别的加密和全盘加密相结合。切记，只进行文件加密并不能保证你的隐私不受侵犯。

‘叁’ linux加密文件系统 怎么使用

设定分区

您的硬盘（hda)最少应该包含三个分区：
hda1:这个小的没加密的分区 应该 要求 一个 口令 为了 加型指载 加密 的根文件贺租卜系统
hda2:这个分区应该包含你的加密根文件系统；确保它足够大
hda3:这个分区就是禅穗你的当前的GNU/Linux系统

在这时，hda1和hda2没有使用。hda3就是当前你安装的linux发行版； /usr 和/boot不能另外分区装载。

你的分区分布也许会像下面这样：

# fdisk -l /dev/hda

Disk /dev/hda: 255 heads, 63 sectors, 2432 cylinders
Units = cylinders of 16065 * 512 bytes

Device Boot Start End Blocks Id System
/dev/hda1 1 1 8001 83 Linux
/dev/hda2 2 263 2104515 83 Linux
/dev/hda3 264 525 2104515 83 Linux
/dev/hda4 526 2047 12225465 83 Linux

‘肆’ Linux Encryption HOWTO 怎样制作一个加密的文件系统

设定分区

您的硬盘（hda)最少应该包含三个分区：
hda1:这个小的没加密的分区 应该 要求 一个 口令 为了 加载 加密 的根文件系统
hda2:这个分区应该包含你的加密根文件系统；确保它足够大
hda3:这个分区就是你的当前的GNU/Linux系统

在这时，hda1和hda2没有使用。hda3就是当前你安装的linux发行版； /usr 和/boot不能另外分区装载。

你的分区分布也许会像下面这样：

# fdisk -l /dev/hda

Disk /dev/hda: 255 heads, 63 sectors, 2432 cylinders
Units = cylinders of 16065 * 512 bytes

Device Boot Start End Blocks Id System
/dev/hda1 1 1 8001 83 Linux
/dev/hda2 2 263 2104515 83 Linux
/dev/hda3 264 525 2104515 83 Linux
/dev/hda4 526 2047 12225465 83 Linux

安装 Linux-2.4.27

有两种主要的方案可用于在内核上添加 loopback加密支持：cryptoloop 和 loop-AES。本文是基于loop-AES方案的，因为因为它的特点是非常快 和非常优化实行 of Rijndael 用汇编语言。如果你有一个IA-32 (x86) CPU ，它将为您提供 最大的性能。另外，还有一些关于cryptoloop的安全关切.

首先，下载和解压 loop-AES 软件包：

wget http://loop-aes.sourceforge.net/loop-AES/loop-AES-v2.2b.tar.bz2
tar -xvjf loop-AES-v2.2b.tar.bz2

然后再下载内核源代码和补丁并为内核源码打上补丁：

wget http://ftp.kernel.org/pub/linux/kernel/v2.4/linux-2.4.27.tar.bz2
tar -xvjf linux-2.4.27.tar.bz2
cd linux-2.4.27
rm include/linux/loop.h drivers/block/loop.c
patch -Np1 -i ../loop-AES-v2.2b/kernel-2.4.27.diff

设置键盘映射：

mpkeys | loadkeys -m - > drivers/char/defkeymap.c

下一步，配置你的内核；确定下面的选项你已经选上了：

make menuconfig

Block devices --->

<*> Loopback device support
[*] AES encrypted loop device support (NEW)

<*> RAM disk support
(4096) Default RAM disk size (NEW)
[*] Initial RAM disk (initrd) support

File systems --->

<*> Ext3 journalling file system support
<*> Second extended fs support

(important note: do not enable /dev file system support)

编译并安装内核：
make dep bzImage
make moles moles_install
cp arch/i386/boot/bzImage /boot/vmlinuz

如果你的启动器是grub，更新你的 /boot/grub/menu.lst或 /boot/grub/grub.conf文件:

cat > /boot/grub/menu.lst << EOF
default 0
timeout 10
color green/black light-green/black
title Linux
root (hd0,2)
kernel /boot/vmlinuz ro root=/dev/hda3
EOF

启动器是lilo的话就更新/etc/lilo.conf并运行 lilo :
cat > /etc/lilo.conf << EOF
lba32
boot=/dev/hda
prompt
timeout=100
image=/boot/vmlinuz
label=Linux
read-only
root=/dev/hda3
EOF
lilo

现在重启你的系统。

安装Linux 2.6.8.1

像之前所说的那样进行前面的部分，所用补丁是loop-aes'kernel-2.6.8.1.diff 。要注意的是你要安装mole-init-tools软件包以便你的系统支持模块。
安装util-linux-2.12b

这个losetup程序包含在util-linux-2.12b软件包中。必须打补丁并重新编译以使它支持加密。下载，解压并打为util-linux打补丁：

wget http://ftp.kernel.org/pub/linux/utils/util-linux/util-linux-2.12b.tar.bz2
tar -xvjf util-linux-2.12b.tar.bz2
cd util-linux-2.12b
patch -Np1 -i ../loop-AES-v2.2b/util-linux-2.12c.diff
使用少于20个字符的密码，键入：
CFLAGS="-O2 -DLOOP_PASSWORD_MIN_LENGTH=8"; export CFLAGS

安全可能是你主要关心的一个问题。为此，请不要使您的密码少于20个字符。数据保密性不是免费的, 你必须以‘支付’的形式使用长的密码。

使用root用户编译安装 losetup程序：
./configure && make lib mount
mv -f /sbin/losetup /sbin/losetup~
rm -f /usr/share/man/man8/losetup.8*
cd mount
gzip losetup.8
cp losetup /sbin
cp losetup.8.gz /usr/share/man/man8/

创建加密的根文件系统
用随机数据填充目标分区：
shred -n 1 -v /dev/hda2
安装加密loopback设备：
losetup -e aes256 -S xxxxxx /dev/loop0 /dev/hda2
为防止比较快的字典攻击，推荐加上-S xxxxxx 选项，"xxxxxx" 是你随机选取的种子（例如，你可能选择 "gPk4lA" )。 同样，为了防止启动时的键盘映射问题，在密码中不要使用非ASCII字符（方言，等）。Diceware站点提供了一种简单的的方法去创建强大并容易记住的密码。
现在开始创建ext3文件系统：
mke2fs -j /dev/loop0
检测你输入的密码是正确的：
losetup -d /dev/loop0
losetup -e aes256 -S xxxxxx /dev/loop0 /dev/hda2
mkdir /mnt/efs
mount /dev/loop0 /mnt/efs
你可以比较已加密的和未加密的数据：

xxd /dev/hda2 | less
xxd /dev/loop0 | less

现在是时候安装你的加密的linux系统了。如果你使用的是GNU/Linux发行版（譬如Debian, Slackware, Gentoo, Mandrake, RedHat/Fedora, SuSE, etc.), 运行下面的命令：

cp -avx / /mnt/efs
如果你使用是Linux From Scratch手册,照着lfs手册上所说的那样进行配置，但要做以下修改：
Chapter 6 - Installing util-linux:

在解压源代码后打上 loop-AES 的补丁。
Chapter 8 - Making the LFS system bootable:
指向我们的下一章(创建启动设备）。
--------------------------------------------------------

创建启动设备
创建ramdisk
在开始时，先用chroot命令进入你的加密分区并创建启动设备的挂载点：
chroot /mnt/efs
mkdir /loader
然后创建 initial ramdisk (initrd)，它将会在以后用到：
cd
dd if=/dev/zero of=initrd bs=1k count=4096
mke2fs -F initrd
mkdir ramdisk
mount -o loop initrd ramdisk
如果您使用 grsecurity . 您可能会收到"Permission denied"的提示错误的信息；如果是这样你将必须在chroot命令之前运行 mount命令。
创建文件系统的目录组织并复制所需要的的文件进去：
mkdir ramdisk/{bin,dev,lib,mnt,sbin}
cp /bin/{bash,mount} ramdisk/bin/
ln -s bash ramdisk/bin/sh
mknod -m 600 ramdisk/dev/console c 5 1
mknod -m 600 ramdisk/dev/hda2 b 3 2
mknod -m 600 ramdisk/dev/loop0 b 7 0
cp /lib/{ld-linux.so.2,libc.so.6,libdl.so.2} ramdisk/lib/
cp /lib/{libncurses.so.5,libtermcap.so.2} ramdisk/lib/
cp /sbin/{losetup,pivot_root} ramdisk/sbin/
如果你看到像"/lib/libncurses.so.5: No such file or directory","/lib/libtermcap.so.2: No such file or directory"的信息，这是正常的。bash 只要求用这两个库中的其中一个。 你可以检测哪一个才是你实际所需要的：
ldd /bin/bash
编译sleep程序，它将防止密码提示被内核信息所淹没（例如当usb设备注册时）。
cat > sleep.c << "EOF"
#include <unistd.h>
#include <stdlib.h>

int main( int argc, char *argv[] )
{
if( argc == 2 )
sleep( atoi( argv[1] ) );

return( 0 );
}
EOF

gcc -s sleep.c -o ramdisk/bin/sleep
rm sleep.c
创建初始化脚本（不要忘记替换掉你之前报选的种子 "xxxxxx" ）：

cat > ramdisk/sbin/init << "EOF"
#!/bin/sh

/bin/sleep 3
/sbin/losetup -e aes256 -S xxxxxx /dev/loop0 /dev/hda2
/bin/mount -r -n -t ext3 /dev/loop0 /mnt

while [ $? -ne 0 ]
do
/sbin/losetup -d /dev/loop0
/sbin/losetup -e aes256 -S xxxxxx /dev/loop0 /dev/hda2
/bin/mount -r -n -t ext3 /dev/loop0 /mnt
done

cd /mnt
/sbin/pivot_root . loader
exec /usr/sbin/chroot . /sbin/init
EOF

chmod 755 ramdisk/sbin/init

卸载 loopback 设备并压缩initrd：
umount -d ramdisk
rmdir ramdisk
gzip initrd
mv initrd.gz /boot/
从CD-ROM启动
我强烈建议您从只读的媒体里启动您的系统，例如可启动的光盘。
下载并解压syslinux:
wget http://ftp.kernel.org/pub/linux/utils/boot/syslinux/syslinux-2.10.tar.bz2
tar -xvjf syslinux-2.10.tar.bz2
配置isolinux:
mkdir bootcd
cp /boot/{vmlinuz,initrd.gz} syslinux-2.10/isolinux.bin bootcd
echo "DEFAULT /vmlinuz initrd=initrd.gz ro root=/dev/ram0" \
> bootcd/isolinux.cfg

把iso映像刻录到可启动光盘中：

mkisofs -o bootcd.iso -b isolinux.bin -c boot.cat \
-no-emul-boot -boot-load-size 4 -boot-info-table \
-J -hide-rr-moved -R bootcd/

cdrecord -dev 0,0,0 -speed 4 -v bootcd.iso

rm -rf bootcd{,.iso}

从硬盘启动

当你丢失了你的可启动光盘时，启动分区就可以派上用场了。请记住hda1是个可写分区，因而并不是很可靠的，只有当你遇到紧急的情况时才使用它！

创建并挂载ext2文件系统：

dd if=/dev/zero of=/dev/hda1 bs=8192
mke2fs /dev/hda1
mount /dev/hda1 /loader

复制内核和initial ramdisk：

cp /boot/{vmlinuz,initrd.gz} /loader

如果你使用的是grub :

mkdir /loader/boot
cp -av /boot/grub /loader/boot/
cat > /loader/boot/grub/menu.lst << EOF
default 0
timeout 10
color green/black light-green/black
title Linux
root (hd0,0)
kernel /vmlinuz ro root=/dev/ram0
initrd /initrd.gz
EOF
grub-install --root-directory=/loader /dev/hda
umount /loader

如果你使用lilo:

mkdir /loader/{boot,dev,etc}
cp /boot/boot.b /loader/boot/
mknod -m 600 /loader/dev/hda b 3 0
mknod -m 600 /loader/dev/hda1 b 3 1
mknod -m 600 /loader/dev/ram0 b 1 0
cat > /loader/etc/lilo.conf << EOF
lba32
boot=/dev/hda
prompt
timeout=100
image=/vmlinuz
label=Linux
initrd=/initrd.gz
read-only
root=/dev/ram0
EOF
lilo -r /loader
umount /loader

最后一步 仍然保持chroot的状态，修改/etc/fstab增加以下选项：
/dev/loop0 / ext3 defaults 0 1

去除 /etc/mtab 并从chroot中退出。最后 ，运行 "umount -d /mnt/efs"命令然后重启系统。 如果有某些错误发生，你仍然可以在 LILO提示中用"Linux root=/dev/hda3"来启动你未加密的分区。

如果一切都顺利，你就可以重新分区你的硬盘和继续加密你的hda3或hda4分区。在下面的脚本中，我们假设 hda3将挂载swap设备，hda4挂载/home目录；你应该先初始化这两个分区：
shred -n 1 -v /dev/hda3
shred -n 1 -v /dev/hda4
losetup -e aes256 -S xxxxxx /dev/loop1 /dev/hda3
losetup -e aes256 -S xxxxxx /dev/loop2 /dev/hda4
mkswap /dev/loop1
mke2fs -j /dev/loop2

然后在系统的启动目录里创建一个脚本并更新 /etc/fstab:
cat > /etc/init.d/loop << "EOF"
#!/bin/sh

if [ "`/usr/bin/md5sum /dev/hda1`" != \
" /dev/hda1" ]
then
echo -n "WARNING! hda1 integrity verification FAILED - press enter."
read
fi

echo "1st password chosen above" | \
/sbin/losetup -p 0 -e aes256 -S xxxxxx /dev/loop1 /dev/hda3

echo "2nd password chosen above" | \
/sbin/losetup -p 0 -e aes256 -S xxxxxx /dev/loop2 /dev/hda4

/sbin/swapon /dev/loop1

for i in `seq 0 63`
do
echo -n -e "\33[10;10]\33[11;10]" > /dev/tty$i
done

EOF

chmod 700 /etc/init.d/loop
ln -s ../init.d/loop /etc/rcS.d/S00loop
vi /etc/fstab
...
/dev/loop2 /home ext3 defaults 0 2

‘伍’ 在Linux系统中加密文件的方法

1.
oppnssl
md5
加密字符串的方法
a.手动输入命令及过程如下：
代码如下:
#openssl
//在终端中输入openssl后回车。
OpenSSL>
md5
//输入md5后回车
123456
//接着输入123456，不要输入回车。然后按3次ctrl+d。

//123456后面的就是密文了
解释：为何在输入123456后不回车呢?
是因为openssl默认会把回车符当做要加密的字符串中的一个字符，所以得到的结果不同。如果你输入123456后回车，在按2次ctrl+d。得到的结果是：
代码如下:
OpenSSL>
md5

123456


//因为openssl不忽略回车符导致的
b.或者直接用管道命令
代码如下:
#
echo
-n
123456
|
openssl
md5
//必须要有-n参数，否则就不是这个结果了。

解释：为何要加-n这个参数?
-n就表示不输入回车符，这样才能得到正确的结果。如果你不加-n，那么结果和前面说的一样为：
代码如下:

//因为openssl不忽略回车符导致的
2.用openssl加密文件。
代码如下:
#openssl
md
5
-in
1.txt

‘陆’ Linux系统的几种加密

启动流程：

BIOS ——》 MBR（主引导记录，找到系统在哪个分区） ——》 boot loader（grub） ——》kernel（内核）——》进入启动级别init

硬盘的最小读取单位是一个扇区，一个扇区大小是512字节

查看操作系统的版本：cat /etc/redhat-release

查看内核版本：uname -r

查看内核信息：uname -a

系统的启动级别：

init 0：关机

init 1：单用户模式，只能root用户登录的模式，可以直接跳过密码

init 2：多用户模式，但是没有NFS（network filesystem），即无网络模式

init 3：完全多用户模式，也是命令行模式

init 4：安全模式，一般开发者调试使用

init 5：图形模式

init 6：重启

更改系统启动级别：

vim /etc/inittab：在最后一行的 id 修改，如下图

通过单用户模式跳过用户密码登录：

通过grub界面进入内核，操作参数，改变启动级别，进入单用户模式

在系统读秒时，按任意键进入grub界面，然后按 e 进入kernel

选择kernel，按 e 进入

进入之后，按 空格 进入启动级别设置

输入启动级别为 1 ，再按 enter 返回内核，再按 b 进入单用户模式

grub加密： 

首先设置grub密码： 

grub-md5-crypt

 passwd:123456 

这里会得到一串加密字符串 

然后编辑grub的配置文件：

 vim /etc/grub.conf

grub的配置文件内容：

default=0：代表默认使用第一个内核

timeout=5：代表进入系统时的读秒时间，这里是5秒

hiddenmenu：隐藏它下面的内容

password --md5：添加得到的grub密码的加密字符串

title：内核信息

将加密的字符串添加好之后，再通过grub进入kernel时就需要输入密码

如果grub被加密了，可以进入BIOS，通过外接光盘进入救援安装模式，然后进入到系统中，

再 vi /mnt/sysimage/etc/grub.conf，编辑配置文件，删除grub加密，就可以再用单用户模式跳过用户密码登陆

转自 嘉为教育-rhce认证_rhce培训_linux培训_linux认证_linux考证

‘柒’ Linux使用密码保护文件夹或目录

假设您的Linux主目录中有一个文件夹，您可以在其中存储您不希望任何人在没有密码的情况下访问的安全文档文件。这样，即使有人设法占用您的计算机并访问您的主目录，您的私人文件仍然有另一道防线。

Cryptkeeper是一个管理加密文件夹的Linux系统托盘小程序。在它下面，EncFS是一个基于FUSE的加密文件系统，它处理透明的加密/解密。

在本教程中，我将介绍如何使用Cryptkeeper密码保护Linux上的文件夹。

在Fedora中安装Cryptkeeper

您可以从Fedora的基础存储库安装Cryptkeeper：

$ sudo yum install cryptkeeper

安装完成后，转到“应用程序” - >“系统工具” - >“Cryptkeeper”启动Cryptkeeper。

Cryptkeeper指示灯将显示在右上角的桌面面板中。单击指示器，然后选择“新加密文件夹”以创建新的加密文件夹。

选择要保护密码的文件夹的名称及其位置。

输入新加密文件夹的密码。单击“转发”按钮后，它将创建一个新的加密文件夹。

要访问加密文件夹，您需要先打开它。要打开现有的加密文件夹，请单击Cryptkeeper指示器，然后单击文件夹名称。系统将提示您输入密码。文件夹打开后，您可以自由访问其中的内容。要再次使用密码保护文件夹，只需单击Cryptkeeper指示器中的文件夹名称即可关闭该文件夹。

如果要将Cryptkeeper指示器设置为在桌面上自动启动，请选择“设置”下的“会话和启动”菜单。

在“Application Autostart”选项卡下添加Cryptkeeper。

在Ubuntu，Debian或Linux Mint中安装Cryptkeeper

要在基于Debian的Linux上安装Cryptkeeper，请使用apt-get命令。

$ sudo apt-get install cryptkeeper

在Ubuntu上，您可以通过Unity

Dash启动Cryptkeeper。在Debian或Linux Mint上，转到“Applications” - >“System

Tools” - >“Cryptkeeper”以启动Cryptkeeper。

注意：在最新版本的Ubuntu桌面（例如，12.04,12.10和13.04）上，由于系统托盘的新白名单消除策略，Cryptkeeper指示符不会显示在Unity的顶部面板通知区域中。要解决此问题，请首先获取“systray-whitelist”值，然后将“Cryptkeeper”附加到现有白名单，如下所示。

$ gsettings get com.canonical.Unity.Panelsystray-whitelist

['JavaEmbeddedFrame'，'Wine'，'Update-notifier']

$ gsettings set com.canonical.Unity.Panel

systray-whitelist“['JavaEmbeddedFrame'，'Wine'，'Update-notifier'，'Cryptkeeper']”

如果您希望Cryptkeeper指示灯永久显示在您的Ubuntu桌面上，请通过Dash启动“启动应用程序”菜单，并将Cryptkeeper添加为启动程序。

转自 嘉为教育-rhce认证_rhce培训_linux培训_linux认证_linux考证

‘捌’ linux 文件加密

‘玖’ linux系统中存放加密用户密码信息的是哪个文件

用户可以在终端通过cat命令查看：cat /etc/shadow

NIX/Linux的密码文件原来采用/etc/passwd，共有7个字段。用户的密码世橘加密后放在每一行的第二个字段里，这个 /etc/passwd文件在一般情况下是所有用户可读，只有root用户可写的，这样不良用户就可能读取加密后的密码字串来取得密码。

因为这个安全原因，设置一个/etc/shadow文件专门用于保存密码且它的权限一般是root可读，没有其他权限。加密后拍郑的密码文件就不能被普通用户读取。做法是把/etc/passwd对应的密码字段用*号表示，在/etc/shadow里对应的一行，有用户名和真正的密码加密字串，其他搜贺团的字段一般留空。

(9)linux加密文件系统扩展阅读：

在Linux中普通文件和目录文件保存在称为块物理设备的磁盘或者磁带上。一套Linux系统支持若干物理盘，每个物理盘可定义一个或者多个文件系统。（类比于微机磁盘分区）。每个文件系统由逻辑块的序列组成，一个逻辑盘空间一般划分为几个用途各不相同的部分，即引导块、超级块、inode区以及数据区等。

‘拾’ 如何在Linux系统上加密

打开虚拟机，进入安装好的Linux系统，创建一个属于自己的目录，这里我创建的是test

在创建的目录中新建一个文件，名字为test.txt

在文件中输入“北京欢迎你”，然后保存

执行openssl加密命令
openssl enc -des-ede3-cbc -in test.txt -out JMtest.txt -k 12345678

查看生成的文件JMtest.txt,发现是乱码，说明已经加密成功

然后执行openssl的解密命令
openssl enc -des-ede3-cbc -in JMtest.txt -out test_after.txt -d -k 12345678

查看生成的文件test_after.txit,可以清楚的看到“北京欢迎你”，说明解密成功