你沒(méi)必要非得是犯罪分子或者為情報(bào)部門(mén)效力，才使用加密技術(shù)。你根本不希望有誰(shuí)暗中窺視自己的財(cái)務(wù)數(shù)據(jù)、家庭照片、尚未發(fā)表的手稿，或者是你在上面隨手寫(xiě)下的，可能讓自己一夜爆富的創(chuàng)業(yè)想法的秘密便條。

我曾聽(tīng)人這樣說(shuō)過(guò)“我又不是什么重要人士，所以不會(huì)被窺視”，或者“我沒(méi)有什么重要的東西好隱藏的”。我的看法是，即便沒(méi)有任何東西好隱藏的，或者即便可以發(fā)布孩子與愛(ài)犬在一起的照片，我還是有權(quán)不這么做，目的是為了保護(hù)自己的隱私。

加密的類(lèi)型

我們基本上有兩種不同的方法可以對(duì)文件和目錄進(jìn)行加密。一種方法是，文件系統(tǒng)級(jí)加密，只有某些文件或目錄(比如/home/alice)選擇性地加密。在我看來(lái)，這是一種理想的入門(mén)方法。你沒(méi)必要重新安裝一切來(lái)啟用或測(cè)試加密。不過(guò)，文件系統(tǒng)級(jí)加密存在一些缺點(diǎn)。比如說(shuō)，許多現(xiàn)代的應(yīng)用程序?qū)⑽募?或文件的部分內(nèi)容)緩存在硬盤(pán)中的未加密區(qū)域，比如交換分區(qū)、/tmp和/var文件夾，它們會(huì)導(dǎo)致隱私泄密。

另一種方法是所謂的全磁盤(pán)加密，這意味著整個(gè)磁盤(pán)都經(jīng)過(guò)了加密(主引導(dǎo)記錄可能除外)。全磁盤(pán)加密在物理磁盤(pán)層面實(shí)現(xiàn);寫(xiě)入到磁盤(pán)上的每個(gè)比特?cái)?shù)據(jù)都經(jīng)過(guò)了加密，從磁盤(pán)讀取的任何數(shù)據(jù)自動(dòng)實(shí)時(shí)解密。這可以防止任何人可能未經(jīng)授權(quán)就訪問(wèn)未加密的數(shù)據(jù)，并且確保整個(gè)文件系統(tǒng)里面的所有數(shù)據(jù)都經(jīng)過(guò)了加密，包括交換分區(qū)或任何臨時(shí)緩存的數(shù)據(jù)。

可用的加密工具

在Linux中實(shí)施加密機(jī)制有幾種辦法。我在本教程中將介紹一種選擇：eCryptFS堆疊加密文件系統(tǒng)工具。下面整理出了幾種可用的Linux加密工具，僅供參考。

文件系統(tǒng)級(jí)加密

•EncFS：這是嘗試加密的最容易的方法之一。EncFS作為堆疊文件系統(tǒng)來(lái)運(yùn)行，所以你只要?jiǎng)?chuàng)建一個(gè)加密的文件夾，將它掛載到文件夾上即可使用。

相關(guān)鏈接：http://www.arg0.net/encfs

•eCryptFS：作為一款與POSIX兼容的加密文件系統(tǒng)，eCryptFS的工作方式與EncFS如出一轍，所以你得掛載它。

相關(guān)鏈接：http://ecryptfs.org

全磁盤(pán)加密

•Loop-AES：這是最古老的磁盤(pán)加密方法。它運(yùn)行起來(lái)速度很快，可以在舊系統(tǒng)(比如內(nèi)核2.0分支版本)上使用。

相關(guān)鏈接：http://sourceforge.net/projects/loop-aes/

•DMCrypt：現(xiàn)代Linux內(nèi)核支持的最常見(jiàn)的磁盤(pán)加密方案。

相關(guān)鏈接：https://code.google.com/p/cryptsetup/wiki/DMCrypt

•CipherShed：這是現(xiàn)已停止開(kāi)發(fā)的TrueCrypt磁盤(pán)加密軟件的開(kāi)源分支版本。

相關(guān)鏈接：https://ciphershed.org

#p#

eCryptFS的基礎(chǔ)知識(shí)簡(jiǎn)介

eCryptFS是一種堆疊加密文件系統(tǒng)，自2.6.19以來(lái)，它就得到Linux內(nèi)核的支持(作為ecryptfs模塊)。用eCryptFS加密的偽文件系統(tǒng)掛載到你現(xiàn)有的文件系統(tǒng)上。它在EXT文件系統(tǒng)系列及其他文件系統(tǒng)(比如JFS、XFS、ReiserFS和Btrfs，甚至NFS/CIFS共享區(qū))上運(yùn)行起來(lái)非常順暢。Ubuntu使用eCryptFS 作為其加密主目錄的默認(rèn)方法，ChromeOS也是如此。eCryptFS在底層使用AES算法作為默認(rèn)算法，但它也支持其他算法，比如blowfish、des3、cast5和cast6等算法。一旦你手動(dòng)安裝eCryptFS，就可以在這些算法當(dāng)中作一個(gè)選擇。

正如我說(shuō)過(guò)的那樣，Ubuntu讓我們可以在安裝過(guò)程中選擇是否對(duì)我們的/home目錄進(jìn)行加密。這是使用eCryptFS的最簡(jiǎn)單的方法。

Ubuntu提供了一系列易于使用的工具，與eCryptFS結(jié)合使用可以簡(jiǎn)化我們的工作;不過(guò)在Ubuntu安裝過(guò)程中啟用eCryptFS完全形成一種特定的預(yù)配置安裝。所以萬(wàn)一默認(rèn)安裝不適合你的要求，你就需要執(zhí)行手動(dòng)安裝。我在本教程中將介紹如何將eCryptFS手動(dòng)安裝到主要的Linux發(fā)行版上。

安裝eCryptFS

安裝到Debian、Ubuntu或衍生版本上：

$ sudo apt-get install ecryptfs-utils

注意：如果你決定在Ubuntu安裝過(guò)程中加密你的主目錄，就要確保eCryptFS應(yīng)該已經(jīng)安裝。

安裝到CentOS、RHEL或Fedora上：

# yum install ecryptfs-utils

安裝到Arch Linux上：

$ sudo pacman -S ecryptfs-utils

為了穩(wěn)妥起見(jiàn)，安裝程序包后，裝入eCryptFS內(nèi)核模塊是個(gè)好的做法：

$ sudo modprobe ecryptfs

配置eCryptFS

現(xiàn)在不妨運(yùn)行eCryptFS配置工具，開(kāi)始加密某個(gè)目錄：

$ ecryptfs-setup-private

它會(huì)要求輸入登錄密碼和掛載密碼。登錄密碼與你平常的那個(gè)登錄密碼一樣。掛載密碼則用來(lái)獲得文件加密主密鑰。退出，重新登錄。

你會(huì)注意到eCryptFS在默認(rèn)情況下創(chuàng)建了兩個(gè)目錄：主目錄中的Private目錄和.Private目錄。~/.Private目錄里面含有加密的數(shù)據(jù)，你可以訪問(wèn)~/Private目錄中相應(yīng)的解密數(shù)據(jù)。在你登錄時(shí)， ~/.Private目錄自動(dòng)解密，映射到~/Private目錄，那樣你就能訪問(wèn)它。你退出后，~/Private目錄自動(dòng)卸載，~/Private目錄里面的內(nèi)容加密回到~/.Private目錄。

eCryptFS知道你擁有~/.Private目錄，并且自動(dòng)解密到~/Private，不需要我們鍵入密碼，它是通過(guò)eCryptFS PAM模塊來(lái)做到這一點(diǎn)的，該模塊為我們完成了這項(xiàng)任務(wù)。

萬(wàn)一你不想在登錄時(shí)讓~/Private目錄自動(dòng)掛載，只要在運(yùn)行ecryptfs-setup-private工具時(shí)，添加“--noautomount”這個(gè)選項(xiàng)。同樣，如果你不想在退出后讓~/Private目錄自動(dòng)卸載，只要指定“--noautoumount”這個(gè)選項(xiàng)。不過(guò)那樣的話，你就得親自手動(dòng)掛載或卸載~/Private目錄了。

$ ecryptfs-mount-private ~/.Private ~/Private
$ ecryptfs-umount-private ~/Private

你可以運(yùn)行下面這個(gè)命令，確認(rèn).Private文件已掛載：

$ mount

現(xiàn)在我們可以開(kāi)始將任何敏感文件放入到~/Private文件夾里面，我們退出后，它們會(huì)自動(dòng)加密，并在~/.Private文件夾里面嚴(yán)加保護(hù)起來(lái)。

這一切似乎相當(dāng)神奇。從根本上來(lái)說(shuō)，ecryptfs-setup-private工具讓一切易于安裝。如果你想多嘗試一下，安裝eCryptFS的特定部分，可以參閱官方說(shuō)明文檔：http://ecryptfs.org/documentation.html。

結(jié)束語(yǔ)

總之，如果你非常在意自己的隱私，我推薦的***方案就是將基于eCryptFS的文件系統(tǒng)級(jí)加密與全磁盤(pán)加密結(jié)合起來(lái)。不過(guò)總是要記住一點(diǎn)，光靠文件加密無(wú)法為你保證隱私。

原文地址：http://xmodulo.com/encrypt-files-directories-ecryptfs-linux.html