教你如何给Ubuntu系统文件加密
_FD: Device or resource busy”,这说明回送设备很可能仍然装载在系统上.我们可以利用sudo losetup -d /dev/loop/0命令将其删除.
五、加密主目录 如果配置了PAM(Pluggable Authentication Modules,即可插入式鉴别模块)子系统在您登录时装载主目录的话,你甚至还能加密整个主目录.libpam-mount模块允许PAM在用户登 录时自动装载任意设备,我们要连同openssl一起来安装该模块.命令如下所示: $ sudo apt-get install libpam-mount openssl 接下来,编辑文件/etc/pam.d/common-auth,在其末尾添加下列一行: auth optional pam_mount.so use_first_pass 然后在文件/etc/pam.d/common-session末尾添加下列一行内容: session optional pam_mount.so 现在,我们来设置PAM,告诉它需要装载哪些卷、以及装载位置.对本例而言,假设用户名是Ian,要用到的设备是/dev/sda1,要添加到/etc/security/pam_mount.conf文件中的内容如下所示: volume Ian crypt - /dev/sda1 /home/Ian cipher=aes aes-256-ecb /home/Ian.key 如 果想使用磁盘映象,你需要在此规定回送设备(比如/dev/loop/0),并确保在Ian登录之前系统已经运行losetup.为此,你可以将 losetup /dev/loop/0 /home/secret.img放入/etc/rc.local文件中.该卷被加密,PAM需要密钥来装载卷.的参数用来告诉PAM密钥在 /home/Ian.key文件中,为此,通过使用OpenSSL来加密你的口令来建立密钥文件: $ sudo sh -c "echo 这时,提示你输入密码.注意,这里的口令必需和想要的用户登录密码一致.原因是当你登录时,PAM需要你提供这个密码,用以加密你的密钥文件,然后根据包含在密钥文件中的口令用dm-crypt装载你的主目录. 需 要注意的是,这样做会把你的口令以明文的形式暴露在.history文件中,要及时利用命令history -c清楚你的历史记录.此外,要想避免把口令存放在加密的密钥文件中的话,可以让创建加密文件系统的口令和登录口令完全一致.这样,在身份认证时,PAM 只要把你的密码传给dm-crypt就可以了,而不必从密钥文件中抽取密码.为此,你可以在/etc/security/pam_mount.conf文 件中使用下面的命令行: volume Ian crypt - /dev/sda1 /home/Ian cipher=aes - - ,为了保证在退出系统时自动卸载加密主目录,请编辑/etc/login.defs文件CLOSE_SESSIONS项配置如下:CLOSE_SESSIONS yes |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |