CentOS安裝使用VeraCrypt及建立整個加密硬碟

CentOS安裝使用VeraCrypt及建立整個加密硬碟

前一階段看了一些關於資料安全，系統安全，以及社交工程學的書籍，突然覺得資料加密是一項十分重要的工作，由其是公司的敏感性資料、商業機密，或者個人的重要檔案都應該隨時進行加密；就算是平時的備份資料也要進行合理的加密，以保證資料安全。VeraCrypt是目前一款比較流行，而且安全性和效能都比較好的軟體，最重要是的開源、免費，並不斷進行更新。
此前我一直在使用Veracrypt的Windows版本，效果不錯。Mac、Linux也有圖形化的版本，因為使用比較簡單，這裡就不進行介紹了。這裡主要是介紹Veracrypt的Linux console也就是命令列版本的命令的使用，這也是我們平時在營運中的主要作業環境。
這篇文檔是介紹如何使用Veracrypt命令的第一部分，這裡介紹安裝及加密單個磁碟。後面會分幾個部分逐漸深入介紹Veracrypt中相關的概念、Veracrypt命令的用法及自動化處理磁碟的加密和解密等等。

一、準備實驗環境

1、在VirtualBox中安裝好CentOS 6.8並升級到最新版本後，關機；
2、在該虛擬機器中添加一塊新的磁碟，建議大小為8GB因為在使用VeraCrypt加密的時候，雖然你在建立虛擬磁碟時設定了“動態分配”虛擬磁碟大小，但虛擬磁碟所佔用的空間大小和你設定的大小會一樣大。

二、安裝VeraCrypt（一）、下載安裝包並解壓

VeraCrypt最新版本為1.19，單擊此處進入項目首頁
在下載頁面找到Linux安裝包，

使用wget命令下載安裝包:

cd /usr/local/srcwget https://launchpad.net/veracrypt/trunk/1.19/+download/veracrypt-1.19-setup.tar.bz2

解壓檔案：

tar -jxvf veracrypt-1.19-setup.tar.bz2

解壓後有四個檔案：

（二）、安裝

因為我安裝的CentOS是64位的，並且沒有安裝GUI，所以安裝veracrypt-1.19-setup-console-x64

./veracrypt-1.19-setup-console-x64

1、選擇安裝模式

安裝程式彈出提示：問你是安裝veracrypt(選項1）還是將安裝包解壓到/tmp目錄下，這裡選擇“1”，並斷行符號：

VeraCrypt 1.19 Setup____________________Installation options: 1) Install veracrypt_1.19_console_amd64.tar.gz 2) Extract package file veracrypt_1.19_console_amd64.tar.gz and place it to /tmpTo select, enter 1 or 2:

2、查看並接受使用者許可

接下來彈出提示，讓你輸入斷行符號查看使用者許可:

Before you can use, extract, or install VeraCrypt, you must accept theterms of the VeraCrypt License.Press Enter to display the license terms...

單擊斷行符號後就可以看到使用者許可的全文，如果不想看完，可以按q退出； 這時程式會問你是否接受許可，輸入yes.

Do you accept and agree to be bound by the license terms? (yes/no): yesUninstalling VeraCrypt:-----------------------To uninstall VeraCrypt, please run 'veracrypt-uninstall.sh'.Installing package...usr/usr/share/usr/share/veracrypt/usr/share/veracrypt/doc/usr/share/veracrypt/doc/License.txtusr/share/veracrypt/doc/VeraCrypt User Guide.pdfusr/share/pixmaps/usr/share/pixmaps/veracrypt.xpmusr/share/applications/usr/share/applications/veracrypt.desktopusr/bin/usr/bin/veracryptusr/bin/veracrypt-uninstall.shPress Enter to exit...

此時，輸入斷行符號就完成安裝。

3、驗證安裝

輸入如下命令：

[root@localhost src]# veracrypt --versionVeraCrypt 1.19

如果此時程式出現如下錯誤提示

[root@localhost src]# veracrypt -versionveracrypt: error while loading shared libraries: libfuse.so.2: cannot open shared object file: No such file or directory

則需要安裝fuse-libs

yum install -y fuse-libs

三、建立整個加密硬碟

現在使用fdisk -l命令就可以看到我們之前添加的那塊8GB的虛擬硬碟：

Disk /dev/sdb: 8589 MB, 8589934592 bytes255 heads, 63 sectors/track, 1044 cylindersUnits = cylinders of 16065 * 512 = 8225280 bytesSector size (logical/physical): 512 bytes / 512 bytesI/O size (minimum/optimal): 512 bytes / 512 bytesDisk identifier: 0x00000000

目前還沒有進行分區操作。 其實我們也沒有必要對待加密的整個磁碟進行分區操作，除非我們只是想加磁碟的一部分進行加密操作的話，那麼可以先對磁碟進行分區，然後使用veracrypt針對某一分區進行加密。

（一）建立加密硬碟

建立加密硬碟使用veracrypt -t -c -t的意思是使用檔案嚮導建立加密盤，-c的意思是create建立加密盤

1、啟動加密盤建立嚮導

[root@localhost src]# veracrypt -t -cVolume type: 1) Normal 2) HiddenSelect [1]: 1

這裡面是建立普通加密盤，還是隱藏加密盤。這裡選擇第1項，建立普通加密盤

2、輸入待加密磁碟的路徑

嚮導會提示你輸入加密的磁碟路徑，由於我們這裡是加密整塊硬碟，然後只輸入裝置名，不用輸入分區名：

Enter volume path: /dev/sdb

3、選擇密碼編譯演算法

接下來，嚮導會提示你選擇密碼編譯演算法和雜湊演算法，這裡我們選擇AESSHA-512:

Encryption Algorithm: 1) AES 2) Serpent 3) Twofish 4) Camellia 5) Kuznyechik 6) AES(Twofish) 7) AES(Twofish(Serpent)) 8) Serpent(AES) 9) Serpent(Twofish(AES)) 10) Twofish(Serpent)Select [1]: 1Hash algorithm: 1) SHA-512 2) Whirlpool 3) SHA-256 4) StreebogSelect [1]: 1

4、選擇加密後的檔案系統格式

由於我們將加密磁碟用於Linux系統的，因此選擇Linux Ext4

Filesystem: 1) None 2) FAT 3) Linux Ext2 4) Linux Ext3 5) Linux Ext4 6) NTFS 7) exFATSelect [2]: 5

5、輸入密碼

Enter password:WARNING: Short passwords are easy to crack using brute force techniques!We recommend choosing a password consisting of 20 or more characters. Are you sure you want to use a short password? (y=Yes/n=No) [No]: yesRe-enter password:

由於我這裡用於示範的密碼太短，系統提示我當前密碼很容易被暴力破解，建議使用20個字元以上的密碼，是否還要使用當前密碼。這裡輸入yes 接著系統會讓你再次輸入一次密碼：Re-enter password:

6、輸入PIM

接下來系統會讓你輸入PIM。

Enter PIM:

這個PIM是什嗎？我上網查了一下，就是Personal Iterations Multiplier”的縮寫。通俗地說就是：你可以自訂“加密盤的頭部密鑰產生時的迭代次數”。這個“迭代次數”越大，計算頭部密鑰的時間就越長，因此掛載加密盤的過程就越慢；表面上看，這是一個缺點。但其好處在於：如果某個攻擊者想要採用暴力破解的方式對“頭部”進行窮舉解密，每次一次嘗試也同樣需要花很長時間（同樣要迭代 N 次）。所以，當 N 足夠大，暴力破解就變得不可行。 如果你設定的密碼過於簡短，那麼 VeraCrypt 會強制讓你輸入一個比較大的 PIM 數值（大於 485）。 如果你建立加密盤的時候，指定了 PIM 數值，那麼在掛載的時候，需要輸入【相同的】PIM 數值。 如果輸入的數值與建立時指定的 PIM 數值不一致，則掛載失敗。 這裡我們直接斷行符號就可以.

7、輸入keyfile

接下來，指定keyfile

Enter keyfile path [none]:

這裡我們先不指定，所以直接斷行符號。

8、輸入320個隨機字元

在鍵盤上隨意輸入字元，如果不知道輸入的數量夠不夠，可以斷行符號，嚮導就會提示你還剩多少個字元沒有輸入了：

Please type at least 320 randomly chosen characters and then press Enter:Characters remaining: 277Characters remaining: 172Characters remaining: 88Characters remaining: 31

當輸入的隨機字元數量符合要求後，嚮導就開始建立加密盤了：

Done:   9.946%  Speed:   89 MB/s  Left: 81 s

全部完成後會有如下提示

Done: 100.000%  Speed:   88 MB/s  Left: 0 sThe VeraCrypt volume has been successfully created.

（二）掛載加密磁碟1、掛載加密磁碟

掛載由veracrypt加密的磁碟和掛載普通磁碟的命令不一樣，不能使用mount。 在未掛載前使用fdisk -l命令查看的話，磁碟還是沒有分區和格式化的狀態：

Disk /dev/sdb: 8589 MB, 8589934592 bytes255 heads, 63 sectors/track, 1044 cylindersUnits = cylinders of 16065 * 512 = 8225280 bytesSector size (logical/physical): 512 bytes / 512 bytesI/O size (minimum/optimal): 512 bytes / 512 bytesDisk identifier: 0x330ad122

在這種狀態下是沒有辦法使用mount命令的。

正確的方法是使用命令veracrypt /dev/sdb /mnt：

[root@localhost src]# veracrypt /dev/sdb /mntEnter password for /dev/sdb:Enter PIM for /dev/sdb:Enter keyfile [none]:Protect hidden volume (if any)? (y=Yes/n=No) [No]:

這時系統會提示是輸入加密磁碟時預留的密碼，後三項可以直接斷行符號略過。

2、查看磁碟掛載情況

這裡再使用fdisk -l命令查看的話，在原來的磁碟/dev/sda、/dev/sdb的基礎上會多出一個/dev/mapper/veracrypt1磁碟，這就是掛載上來加密磁碟：

Disk /dev/mapper/veracrypt1: 8589 MB, 8589672448 bytes255 heads, 63 sectors/track, 1044 cylindersUnits = cylinders of 16065 * 512 = 8225280 bytesSector size (logical/physical): 512 bytes / 512 bytesI/O size (minimum/optimal): 512 bytes / 512 bytesDisk identifier: 0x00000000

使用df -h命令查看可以看到/dev/mapper/veracrypt1已經掛載到/mnt目錄上了。

[root@localhost src]# df -hFilesystem            Size  Used Avail Use% Mounted on/dev/sda3              47G 1001M   43G   3% /tmpfs                 939M     0  939M   0% /dev/shm/dev/sda1             976M   80M  845M   9% /boot/dev/mapper/veracrypt1                      7.8G   18M  7.4G   1% /mnt

3、嘗試訪問和寫入檔案

[root@localhost src]# cd /mnt[root@localhost mnt]# ll總用量 16drwx------. 2 root root 16384 2月   6 21:35 lost+found[root@localhost mnt]# touch 1.txt[root@localhost mnt]# ll總用量 16-rw-r--r--. 1 root root     0 2月   6 21:48 1.txtdrwx------. 2 root root 16384 2月   6 21:35 lost+found[root@localhost mnt]# echo "text" >2.txt[root@localhost mnt]# ll總用量 20-rw-r--r--. 1 root root     0 2月   6 21:48 1.txt-rw-r--r--. 1 root root     5 2月   6 21:49 2.txtdrwx------. 2 root root 16384 2月   6 21:35 lost+found

沒有問題，掛載成功。

（三）卸載加密硬磁碟

既然掛載加密磁碟有專用的命令，那麼卸載加密磁碟也一定有專用的命令：

veracrypt -d /mnt

如果要卸載系統中掛載的全部veracrypt加密磁碟，則使用：

veracrypt -d

不指定掛載目錄即可。 再次查看系統中已經掛載的磁碟：

[root@localhost ~]# df -hFilesystem      Size  Used Avail Use% Mounted on/dev/sda3        47G 1001M   43G   3% /tmpfs           939M     0  939M   0% /dev/shm/dev/sda1       976M   80M  845M   9% /boot

veracrypt加密磁碟已經被卸載掉了。