介紹如何在 Linux 系統中使用 Cryptsetup 與 LUKS2 格式加密 USB 隨身碟,保護機密資料不外洩。
將 USB 隨身碟插入 Linux 系統的電腦中。
使用 lsblk 指令確認 USB 隨身碟在 Linux 系統中的設備路徑:
# 查看所有 block device
lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS sda 8:0 1 0B 0 disk sdb 8:16 1 0B 0 disk sdc 8:32 1 28.9G 0 disk nvme0n1 259:0 0 476.9G 0 disk ├─nvme0n1p1 259:1 0 260M 0 part /boot/efi ├─nvme0n1p2 259:2 0 16M 0 part ├─nvme0n1p3 259:3 0 195.3G 0 part ├─nvme0n1p4 259:4 0 1.1G 0 part ├─nvme0n1p5 259:5 0 200M 0 part ├─nvme0n1p6 259:6 0 279.1G 0 part / └─nvme0n1p7 259:7 0 977M 0 part [SWAP]
通常從磁碟的大小就可以判別 USB 隨身碟的設備是那一個,以這裡的例子來說,我們的 USB 隨身碟容量是 32GB,所以對應的設備是 /dev/sdc。
另外也可以查看 dmesg 的訊息來判斷 USB 隨身碟的設備:
# 查看 dmesg 訊息
dmesg
[ 2751.533819] usb 4-2: new SuperSpeed USB device number 18 using xhci_hcd [ 2751.555333] usb 4-2: New USB device found, idVendor=0951, idProduct=1666, bcdDevice= 1.10 [ 2751.555343] usb 4-2: New USB device strings: Mfr=1, Product=2, SerialNumber=3 [ 2751.555347] usb 4-2: Product: DataTraveler 3.0 [ 2751.555349] usb 4-2: Manufacturer: Kingston [ 2751.555351] usb 4-2: SerialNumber: AC220B280C83E2A1D93291BF [ 2751.558337] usb-storage 4-2:1.0: USB Mass Storage device detected [ 2751.558610] scsi host2: usb-storage 4-2:1.0 [ 2752.582880] scsi 2:0:0:0: Direct-Access Kingston DataTraveler 3.0 PMAP PQ: 0 ANSI: 6 [ 2752.583478] sd 2:0:0:0: Attached scsi generic sg2 type 0 [ 2752.583721] sd 2:0:0:0: [sdc] 60604416 512-byte logical blocks: (31.0 GB/28.9 GiB) [ 2752.584052] sd 2:0:0:0: [sdc] Write Protect is off [ 2752.584058] sd 2:0:0:0: [sdc] Mode Sense: 45 00 00 00 [ 2752.584321] sd 2:0:0:0: [sdc] Write cache: disabled, read cache: enabled, doesn't support DPO or FUA [ 2752.749311] sd 2:0:0:0: [sdc] Attached SCSI removable disk
確認 USB 隨身碟的設備檔之後,以 Cryptsetup 在 USB 隨身碟中建立一個 LUKS2 container,若系統上沒有 cryptsetup 指令,可以先使用 apt 安裝:
# 安裝 cryptsetup 套件
sudo apt install cryptsetup
使用 cryptsetup 的 luksFormat 指令建立 LUKS2 container,這個動作會抹除 USB 隨身碟中所有的資料,所以要先確認 USB 隨身碟中沒有重要資料,確認沒問題後,輸入大寫的 YES 執行:
# 在 /dev/sdc 磁碟中建立 LUKS2 container sudo cryptsetup -v -y --type luks2 luksFormat /dev/sdc
WARNING! ======== This will overwrite data on /dev/sdc irrevocably. Are you sure? (Type 'yes' in capital letters): YES Enter passphrase for /dev/sdc: Verify passphrase: Key slot 0 created. Command successful.
建立好 LUKS2 加密磁碟之後,我們可以使用 cryptsetup 的 luksDump 指令查看磁碟內的 LUKS 標頭資訊:
# 查看 /dev/sdc 磁碟中的 LUKS 標頭資訊
sudo cryptsetup luksDump /dev/sdc
LUKS header information
Version: 2
Epoch: 3
Metadata area: 16384 [bytes]
Keyslots area: 16744448 [bytes]
UUID: e1e5d761-5dc7-4c5e-b2c4-4117a950adba
Label: (no label)
Subsystem: (no subsystem)
Flags: (no flags)
Data segments:
0: crypt
offset: 16777216 [bytes]
length: (whole device)
cipher: aes-xts-plain64
sector: 512 [bytes]
Keyslots:
0: luks2
Key: 512 bits
Priority: normal
Cipher: aes-xts-plain64
Cipher key: 512 bits
PBKDF: argon2id
Time cost: 5
Memory: 1048576
Threads: 4
Salt: ad e2 72 02 eb 9f 43 70 5d b0 fd 5a b8 d0 67 35
77 58 5c 8b bd 54 1b ab 58 5c 6c 3b f7 89 40 d7
AF stripes: 4000
AF hash: sha256
Area offset:32768 [bytes]
Area length:258048 [bytes]
Digest ID: 0
Tokens:
Digests:
0: pbkdf2
Hash: sha256
Iterations: 230760
Salt: a6 22 af 15 92 d6 04 ab c3 c0 29 7a 0a 86 db 64
40 bb eb 7d 3e 66 a8 fc 49 30 c0 15 c2 84 73 63
Digest: 52 da a7 da 32 fc 18 bd bc cd f5 59 75 60 d8 d9
19 64 e8 cc 73 88 d4 75 85 7c 5c 00 5c 9a 65 8e
接著使用 cryptsetup 的 open 指令開啟加密磁碟,並且建立一個映射檔:
# 開啟加密磁碟,建立映射檔 sudo cryptsetup open --type luks /dev/sdc encUSBDisk
Enter passphrase for /dev/sdc:
開啟機磁碟時,要輸入密碼,密碼正確才能開啟加密磁碟。
接著以 dd 指令進行 USB 隨身碟的完整格式化(若不在意被外界偷看磁碟的使用狀況,也可以省略這一步驟):
# 完整磁碟格式化 sudo dd if=/dev/zero of=/dev/mapper/encUSBDisk bs=128M status=progress
使用 mkfs.ext4 指令在 USB 加密磁碟建立 Ext4 檔案系統:
# 在加密磁碟上建立 Ext4 檔案系統
sudo mkfs.ext4 /dev/mapper/encUSBDisk
mke2fs 1.47.0 (5-Feb-2023)
Creating filesystem with 7571456 4k blocks and 1893120 inodes
Filesystem UUID: 67420f69-1688-4f6e-a628-6447b323c7c2
Superblock backups stored on blocks:
32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208, 4096000
Allocating group tables: done
Writing inode tables: done
Creating journal (32768 blocks): done
Writing superblocks and filesystem accounting information: done
最後建立掛載目錄,掛載加密的 USB 隨身碟:
# 建立掛載目錄 sudo mkdir /mnt/encUSBDisk # 掛載加密 USB 隨身碟 sudo mount /dev/mapper/encUSBDisk /mnt/encUSBDisk
透過 df 指令確認機的隨身碟是否有正常掛載:
# 檢查磁碟掛載狀況 df -h
檔案系統 容量 已用 可用 已用% 掛載點 udev 3.7G 0 3.7G 0% /dev tmpfs 764M 1.9M 762M 1% /run /dev/nvme0n1p6 274G 26G 235G 10% / tmpfs 3.8G 123M 3.7G 4% /dev/shm tmpfs 5.0M 0 5.0M 0% /run/lock /dev/nvme0n1p1 256M 52M 205M 21% /boot/efi tmpfs 764M 92K 764M 1% /run/user/1000 /dev/mapper/encUSBDisk 29G 24K 27G 1% /mnt/encUSBDisk
由於 Ext4 檔案系統有支援使用者與群組權限,我們可以將其擁有者更改為自己平常用的使用者與群組,使用上會比較方便:
# 更改 USB 加密磁碟擁有者
sudo chown myuser:mygroup /mnt/encUSBDisk
確認加密的隨身碟可以正常使用後,可以使用以下指令卸載:
# 卸載加密磁碟 sudo umount /mnt/encUSBDisk # 關閉加密磁碟 sudo cryptsetup close encUSBDisk
以 LUKS2 加密的 USB 隨身碟在一般的 Linux 桌面環境中通常都會被自動偵測出來,在掛載時只要輸入密碼,就可以像一般的 USB 隨身碟一樣掛載使用,相當方便。
在加密檔案系統中,複製或搬移重要的資料時,建議都以 MD5 或 SHA1 檢查碼進行檢查,避免資料因為硬體問題而損毀。
# 計算所有目錄與子目錄下每個檔案的 MD5 檢查碼(複製檔案前) find . -type f -exec md5sum \{\} \; > md5sum.txt # 驗證 MD5 檢查碼(複製檔案後) md5sum -c md5sum.txt