导读:本期聚焦于小伙伴创作的《如何启用CentOS系统上的文件系统加密以保护敏感数据》,敬请观看详情,探索知识的价值。以下视频、文章将为您系统阐述其核心内容与价值。如果您觉得《如何启用CentOS系统上的文件系统加密以保护敏感数据》有用,将其分享出去将是对创作者最好的鼓励。

在CentOS系统中,敏感数据如果直接存储在未加密的文件系统中,一旦服务器被非法入侵或者硬盘被物理窃取,数据就会完全暴露。启用文件系统加密可以从底层保障数据安全性,即使存储介质丢失,没有解密密钥也无法读取其中的内容。常用的加密方案是基于LUKS(Linux Unified Key Setup)标准,结合dm_crypt模块实现分区级别的加密,这种方式兼容性好,配置流程也相对成熟。

如何启用CentOS系统上的文件系统加密以保护敏感数据

准备工作

在开始配置之前,需要先确认系统环境满足要求:

  • 系统为CentOS 7及以上版本,已安装cryptsetup工具,若未安装可通过yum安装
  • 准备一个空闲的磁盘分区或者整个空闲磁盘用于加密,注意操作会清空分区原有数据,需提前备份重要内容
  • 确保有root权限,所有操作需要在root用户下执行

首先检查cryptsetup是否已安装,执行以下命令:

# 检查cryptsetup安装状态
rpm -qa | grep cryptsetup
# 若未安装则执行安装命令
yum install -y cryptsetup

创建LUKS加密分区

假设我们要加密的空闲分区为/dev/sdb1,首先需要对分区进行LUKS格式化,这一步会初始化加密元数据并设置解密密码:

# 对目标分区进行LUKS格式化,执行后会提示输入密码,需牢记该密码
cryptsetup luksFormat /dev/sdb1
# 确认操作输入YES(大写)
# 之后输入两次解密密码

格式化完成后,需要打开加密分区,将其映射为一个逻辑设备,后续对该逻辑设备的操作都会自动进行加解密:

# 打开加密分区,映射名称为encrypted_data,名称可自定义
cryptsetup luksOpen /dev/sdb1 encrypted_data
# 执行后会提示输入之前设置的解密密码

打开成功后,会在/dev/mapper/目录下生成名为encrypted_data的设备文件,接下来对该设备创建文件系统:

# 创建ext4文件系统,也可根据需求选择xfs等其他文件系统
mkfs.ext4 /dev/mapper/encrypted_data

挂载加密文件系统

创建好文件系统后,就可以将其挂载到指定目录使用:

# 创建挂载目录
mkdir -p /data/encrypted
# 挂载加密文件系统
mount /dev/mapper/encrypted_data /data/encrypted
# 查看挂载状态
df -h | grep encrypted

挂载完成后,/data/encrypted目录下的所有文件写入时都会自动加密,读取时自动解密,对用户和应用程序来说是透明的。

配置开机自动挂载

默认情况下,重启系统后加密分区不会自动打开和挂载,需要手动配置实现开机自动解锁挂载,避免每次重启都需要手动输入密码。

首先生成密钥文件,避免明文密码暴露在配置文件中:

# 生成随机密钥文件
dd if=/dev/urandom of=/root/encrypted_key bs=512 count=4
# 设置密钥文件权限,仅root可读取
chmod 0400 /root/encrypted_key
# 将密钥文件添加到LUKS分区的密钥槽中
cryptsetup luksAddKey /dev/sdb1 /root/encrypted_key
# 执行后会提示输入原有的解密密码,验证通过后密钥会添加成功

然后配置/etc/crypttab文件,设置开机自动打开加密分区:

# 编辑crypttab文件
vi /etc/crypttab
# 添加以下内容,格式为:映射名称 分区设备 密钥文件路径
encrypted_data /dev/sdb1 /root/encrypted_key

接着配置/etc/fstab文件,设置开机自动挂载加密文件系统:

# 编辑fstab文件
vi /etc/fstab
# 添加以下内容,UUID可通过blkid /dev/mapper/encrypted_data获取
/dev/mapper/encrypted_data /data/encrypted ext4 defaults 0 0

配置完成后,重启系统验证是否自动挂载成功:

# 重启系统
reboot
# 重启后检查挂载状态
df -h | grep encrypted

注意事项

  • 解密密码和密钥文件需要妥善保存,一旦丢失无法恢复加密分区内的数据
  • 加密会对读写性能有一定影响,通常性能损耗在5%到15%之间,对大多数业务场景影响不大
  • 若需要移除加密,需要先备份分区内数据,然后关闭映射、删除加密元数据,再重新创建普通文件系统
  • 不要对系统根分区直接进行LUKS加密,除非熟悉CentOS的initramfs配置,否则可能导致系统无法启动

CentOS文件系统加密LUKSdm_crypt敏感数据保护修改时间:2026-06-28 03:12:31

免责声明:​ 已尽一切努力确保本网站所含信息的准确性。网站内容多为原创整理与精心编撰,观点力求客观中立。本站旨在免费分享,内容仅供个人学习、研究或参考使用。若引用了第三方作品,版权归原作者所有。如内容涉及您的权益,请联系我们处理。
内容垂直聚焦
专注技术核心技术栏目,确保每篇文章深度聚焦于实用技能。从代码技巧到架构设计,为用户提供无干扰的纯技术知识沉淀,精准满足专业提升需求。
知识结构清晰
覆盖从开发到部署的全链路。AI、前端、编程、数据库、服务器、建站、系统层层递进,构建清晰学习路径,帮助用户系统化掌握开发与运维所需的核心技术。
深度技术解析
拒绝泛泛而谈,深入技术细节与实践难点。无论是数据库优化还是服务器配置,均结合真实场景与代码示例进行剖析,致力于提供可直接应用于工作的解决方案。
专业领域覆盖
精准对应开发生命周期。从前端界面到后端编程,从数据库操作到服务器运维,形成完整闭环,一站式满足全栈工程师和运维人员的技术需求。
即学即用高效
内容强调实操性,步骤清晰、代码完整。用户可根据教程直接复现和应用于自身项目,显著缩短从学习到实践的距离,快速解决开发中的具体问题。
持续更新保障
专注既定技术方向进行长期、稳定的内容输出。确保各栏目技术文章持续更新迭代,紧跟主流技术发展趋势,为用户提供经久不衰的学习价值。