1. LUKS(Linux Unified Key Setup)加密
LUKS是CentOS中最主流的分区加密标准,支持AES、Twofish等加密算法,适用于整个分区或逻辑卷。其核心流程包括:通过cryptsetup luksFormat命令初始化加密分区(需备份数据,操作不可逆);使用cryptsetup luksOpen打开加密分区并映射为虚拟设备(如/dev/mapper/my_encrypted);格式化虚拟设备(如mkfs.ext4);挂载至目标目录(如/mnt/secure)。为简化启动流程,需编辑/etc/crypttab(配置自动解密)和/etc/fstab(配置自动挂载)。
2. eCryptfs加密
eCryptfs是基于堆叠文件系统的加密工具,无需预先格式化分区,可直接加密现有目录(如~/Private)。安装ecryptfs-utils后,通过mount -t ecryptfs ~/Private ~/Private命令挂载加密目录,按提示设置加密选项(如加密算法、密码)。适合保护用户主目录或特定文件夹,无需修改系统分区结构。
3. dm-crypt与LVM结合加密
dm-crypt是Linux内核的底层加密模块,与LVM(逻辑卷管理)结合可实现更灵活的加密方案。流程为:先用cryptsetup luksFormat加密物理卷(如/dev/sdb1);通过cryptsetup luksOpen打开并映射为虚拟设备;使用pvcreate创建物理卷,vgcreate创建卷组,lvcreate创建逻辑卷;最后格式化逻辑卷(如mkfs.xfs)并挂载。这种方案支持动态扩展逻辑卷,适合需要灵活调整存储空间的场景。
4. 第三方工具(如BitLocker via dislocker)
BitLocker是Windows原生加密工具,但可通过dislocker工具在CentOS中挂载解密。安装dislocker后,使用dislocker -V /dev/sdc1 --password-file=/path/to/keyfile -r /mnt/decrypted命令解锁BitLocker加密分区,生成解密后的虚拟设备(如/mnt/decrypted/dislocker-file);再通过mount -o loop挂载该设备至目标目录。适合需要跨平台访问加密分区的场景。