Linux的eCryptfs怎么使用

# Linux的eCryptfs怎么使用

## 什么是eCryptfs

eCryptfs（Enterprise Cryptographic Filesystem）是Linux内核中的一个**堆叠式加密文件系统**，它能够对单个文件或目录进行透明加密。与全盘加密方案（如LUKS）不同，eCryptfs提供更细粒度的控制，适合需要选择性加密的场景。

### 核心特性
- **逐文件加密**：每个文件独立加密，密钥可不同
- **透明加解密**：读写操作自动处理
- **密钥管理灵活**：支持口令、PKI等多种方式
- **兼容性**：可叠加在现有文件系统（如ext4）之上

---

## 安装eCryptfs

大多数主流发行版已内置eCryptfs内核模块，只需安装用户态工具：

```bash
# Debian/Ubuntu
sudo apt install ecryptfs-utils

# RHEL/CentOS
sudo yum install ecryptfs-utils

# Arch Linux
sudo pacman -S ecryptfs-utils

加载内核模块：

sudo modprobe ecryptfs

---

基础使用方法

1. 加密单个目录

sudo mount -t ecryptfs ~/Private /mnt/private

首次执行会进入交互式配置： 1. 选择加密算法（默认AES） 2. 设置密钥字节长度（通常选32） 3. 启用文件名加密（推荐y） 4. 输入挂载密码

2. 自动挂载（通过pam_mount）

编辑/etc/pam.d/login添加：

auth optional pam_ecryptfs.so unwrap
session optional pam_ecryptfs.so unwrap

创建~/.ecryptfsrc配置文件：

key=passphrase:passphrase_file=/home/user/.ecryptfs/passphrase
ecryptfs_sig=xxxxxxxxxxxxxx
ecryptfs_cipher=aes
ecryptfs_key_bytes=32
ecryptfs_passthrough=n
ecryptfs_enable_filename_crypto=y

---

高级配置

使用PKI加密（非对称加密）

1. 生成密钥对：

openssl genrsa -out private.pem 4096
openssl rsa -in private.pem -pubout -out public.pem

1. 挂载时指定公钥：

sudo mount -t ecryptfs -o key=public.pem ~/Secure /mnt/secure

加密交换分区

sudo ecryptfs-setup-swap

注意：此操作会格式化现有swap分区！

---

密钥管理

查看挂载信息

mount | grep ecryptfs

备份关键数据

# 备份签名和配置文件
cp ~/.ecryptfs/ ~/ecryptfs-backup -r
# 导出加密密钥
ecryptfs-unwrap-passphrase ~/.ecryptfs/wrapped-passphrase

恢复挂载

sudo mount -t ecryptfs -o ecryptfs_sig=xxxx,ecryptfs_fnek_sig=xxxx \
~/Encrypted /mnt/encrypted

---

实际应用案例

案例1：保护敏感文档

# 创建加密目录
mkdir -p ~/Documents/Secret
mount -t ecryptfs ~/Documents/Secret ~/Documents/Secret

# 验证加密
echo "TOP SECRET" > test.txt
hexdump -C test.txt  # 应显示乱码

案例2：Web服务器配置保护

# 加密Apache配置目录
sudo mount -t ecryptfs /etc/apache2/conf-enc /etc/apache2/conf.d

---

常见问题解决

Q1: 挂载时报”Unable to parse options”

• 检查参数格式是否正确
• 确保所有必需的选项已提供

Q2: 文件名显示乱码

• 挂载时需统一ecryptfs_enable_filename_crypto选项
• 使用ecryptfs-add-passphrase --fnek添加文件名加密密钥

Q3: 卸载后文件仍可见

• 确保使用umount而非fusermount
• 检查是否有其他挂载点引用

---

安全注意事项

1. 密码强度：建议使用16字符以上复杂密码
2. 密钥备份：必须安全存储wrapped-passphrase文件
3. 内存安全：关机前确保卸载加密目录
4. 性能影响：加密大文件时会有约15-20%性能损耗

---

替代方案对比

特性	eCryptfs	LUKS	EncFS
加密粒度	文件级	块设备级	文件级
性能影响	中等	低	高
密钥管理	灵活	简单	简单
系统集成度	高	最高	中等

---

参考资源

1. eCryptfs官方Wiki
2. man ecryptfs查看完整手册
3. Ubuntu安全指南：/usr/share/doc/ecryptfs-utils/ecryptfs-faq.html

”`

提示：生产环境使用前，建议在测试目录验证加解密流程，并确保有完整的备份方案。对于关键系统目录加密，推荐结合LUKS全盘加密使用。