Linux之加密文件系统篇(2)

　　1.建立回送磁盘映象

　　如果你没有用来加密的物理设备（比如存储棒或另外的磁盘分区），作为替换，你可以利用命令dd来建立一个空磁盘映象，然后将该映象作为回送设备来装载，照样能用。下面我们以实例来加以介绍：

　　$ dd if=/dev/zero of=~/secret.img bs=1M count=100

　　这里我们新建了一个大小为100 MB的磁盘映象，该映象名字为secret.img。要想改变其大小，可以改变count的值。

　　接下来，我们利用losetup命令将该映象和一个回送设备联系起来：

　　$ sudo losetup /dev/loop/0 ~/secret.img

　　现在，我们已经得到了一个虚拟的块设备，其位于/dev/loop/0，并且我们能够如同使用其它设备那样来使用它。

　　2.设置块设备

　　准备好了物理块设备（例如/dev/sda1），或者是虚拟块设备（像前面那样建立了回送映象，并利用device-mapper将其作为加密的逻辑卷加载），我们就可以进行块设备配置了。

　　下面我们使用cryptsetup来建立逻辑卷，并将其与块设备捆绑：

　　$ sudo cryptsetup -y create myEncryptedFilesystem

　　/dev/DEVICENAME

　　其中，myEncryptedFilesystem 是新建的逻辑卷的名称。并且最后一个参数必须是将用作加密卷的块设备。所以，如果你要使用前面建立的回送映象作为虚拟块设备的话，应当运行以下命令：

　　$ sudo cryptsetup -y create myEncryptedFilesystem /dev/loop/0

　　无论是使用物理块设备还是虚拟块设备，程序都会要你输入逻辑卷的口令，-y的作用在于要你输入两次口令以确保无误。这一点很重要，因为一旦口令弄错，你就会把自己的数据锁住，这时谁也帮不了您了！

　　为了确认逻辑卷是否已经建立，可以使用下列命令进行检查一下：

　　$ sudo dmsetup ls

　　只要该命令列出了逻辑卷，就说明已经成功建立了逻辑卷。不过根据机器的不同，设备号可能有所不同：

　　myEncryptedFilesystem (221, 0)

　　device-mapper会把它的虚拟设备装载到/dev/mapper下面，所以，你的虚拟块设备应该是/dev/mapper/myEncryptedFilesystem ，尽管用起来它和其它块设备没什么不同，实际上它却是经过透明加密的。

　　如同物理设备一样，我们也可以在虚拟设备上创建文件系统：

　　$ sudo mkfs.ext3 /dev/mapper/myEncryptedFilesystem

　　现在为新的虚拟块设备建立一个装载点，然后将其装载。命令如下所示：

　　$ sudo mkdir /mnt/myEncryptedFilesystem

　　$ sudo mount /dev/mapper/myEncryptedFilesystem /mnt/myEncryptedFilesystem

　　我们能够利用下面的命令查看其装载后的情况：

　　$ df -h /mnt/myEncryptedFilesystem

　　Filesystem Size Used Avail Use% Mounted on

　　/dev/mapper/myEncryptedFilesystem 97M 2.1M 90M 2% /mnt/myEncryptedFilesystem