HGST开拓新的 Linux 文件系统“Zonefs”

近几年来,从 PAJEROISC-V 连串构造位到存款和储蓄增强成效,西部数据(Western
Digital)在 Linux
内核方面做出了越来越大的进献。这几天几周,其直接在拍卖的风尚代码正是全新的
Linux 文件系统。

如何行使DM-Crypt加密Linux文件系统?

图片 1

读者平时询问大家的一个宽广难题是,如何为 Linux
施行意气风发种文件系统加密方法。在深入钻探那几个话题以前,小编想要声明两点:

率先,很难在网络找到那上边丰裕多的音讯。于是,作者会向大家介绍多少个好不轻巧找到的着实很棒的财富(实际上是几篇教程)。

其次,通晓这么些标题标本事细节十分重大。这也是自笔者在本文中所要深究的,之后小编会介绍怎样促成加密,然后介绍任何资源。

人人平时说想要加密数据,但是她们一时忽略了叁个一向的方面:他们毕竟想对怎么进展加密?他们是想从软件包里面临数量举行加密,然后将该数据存款和储蓄到硬驱上的单个文件中?例如说,他们是想让
LibreOffice 创设整个 .odt
文字管理文书档案,对它进行加密,然后将加密的结果作为单个文件写入到文件系统,好似下图那样?依旧说她们想让
Linux 在文件系统层面自行管理加密?

图片 2

生龙活虎种办法正是从软件包里面加密数据,然后将该多少存储到硬驱上的单个文件中。也许Linux 会在文件系统层面自行处理加密。

以 Linux 处理加密事务为例, LibreOffice
除了读取和写入文件外,什么也不做,如同它近来所做的那样。 Linux
会加密文件,然后将文件实际写入到磁盘上,解密后回过头来读取文件。那是自己在这里处运用的艺术,不过你还要提议此外好些个标题。想要提出合适的标题,你将在精通块存款和储蓄的干活原理。不要紧先看一下块存款和储蓄。

Linux块设备加密之dm-crypt解析 

教您怎么利用dm-crypt给Ubuntu系统文件加密

块级存款和储蓄

操作系统管理地点驱动器时,操作系统使用 filesystem
软件来格式化驱动器,然后读取并写入单个扇区。保存文件时, filesystem 软件弄理解必要写入的扇区。读取文件时,
filesystem
会弄精通数据在怎么着扇区上,然后读取这三个扇区,为您重构文件。想管理文件,
filesystem
使用不相同品类的目录,它将这一个索引也蕴藏在磁盘上。区别的 filesystem
软件使用不一样的办法来协会数量,还满含差别的平安机制;最后结果正是有了不相同的文件系统,举个例子ext4 和 NTFS 。

底层细节

咱俩已交待清楚了块级设备的行事缘故,不要紧思量这么些:操作系统使用其 filesystem 软件,将数据扇区写入到驱动器。 filesystem
软件明确将数据扇区写入到哪里、怎样组织它们,满含创立描述文件名称、社团办法等新闻的元数据。可是filesystem
软件为了试行实际读取并写入到驱动器的操作,就要求有配备驱动程序来抓牢际调控设施本人的劳作,如下图的左手所示(驱动程序在
/dev 目录里面包车型客车文件系统档期的顺序结构中原来就有表示)。

图片 3

filesystem
软件能够在写入数据早前开展加密。或然,坐落于 filesystem
软件与设备驱动程序之间的某部软件能开展加密。

就在 filesystem
软件与设施驱动程序之间的那一个点,加密方面需求做出抉择:你是想让 filesystem
软件进行加密,然后写入数据吧?依旧说,大家其实将多少个软件放置到 filesystem 软件与设备驱动程序之间什么?这样一来,
filesystem
会像平时那样运转,但是当它策动访谈设备时,其调用改而由加密软件来管理,如上海教室的侧边所示。大家在本文中要动用这种艺术。可是先不要紧商议此外多少个难题。

附带说一下,借使您想看看设备驱动程序在 Linux
系统的 /dev 目录中怎样存在,能够参照本文:

。它归纳编制程序方面,不过假若你不是编制程序员,就点击到第 2 页,向下滚动鼠标,找到标为 Hello, World! Using /dev/hello_world
的章节,阅读第后生可畏段,上面作了切实周全的分解。)

倘令你想加密整个分区,能够设想加密整个驱动器。可是这里存在一个小标题。要是Computer从该驱动器运营,驱动器就供给二个非常小的分区
特意用来存放运维代码。该运营代码是机器代码,Computer读入后实践,技巧运营计算机。若是整个硬驱经过了加密,包含那风流倜傥部分数额,Computer就须要某种方式来解读
数据。然而计算机尚未装入文件系统,所以它无法读取解密它的主次。见到标题之所在了吧?解密代码须求在
BIOS
本人里面。可是超越二分之一Computer未有这种代码。而那代表运维记录其实不可能被加密。可是大家意气风发度探讨了清除那个标题标各种措施(参阅:

),比方把运转代码放在可活动 USB 驱动器上边。

远程驱动器

意气风发旦你的驱动器是长途驱动器,有三种办法能够访谈数据;那对于你精晓能够选用哪一种等级次序的加密超重大。二种方法是:

• 块级存款和储蓄 仿佛使用本地驱动器那样,因此你的 filesystem
软件能够读取并直接写入到长途磁盘上的扇区。

• 文件级存款和储蓄,你的操作系统将文件发送到远程服务器,远程服务器有和好的操作系统和 filesystem
软件;该远程服务器进而将文件写入到其磁盘上。

如如若文件级存款和储蓄,你在加密上边尚未太多的选料。倘若您想加密数量,就供给在你的应用程序中加密它,然后将数据发送到远程服务器上囤积起来。

但要是是块级远程存款和储蓄,确实有多少个法子。比如说,假使你利用云托管服务,因此你能将差异的卷连接到分配的服务器,你常常能够应用块级存款和储蓄。卷未必
物理连接到您的托管服务器;可是,服务器能够访谈它们,好像它们正是本地卷这样,并且格式化卷,读取和写入单个扇区,就恍如驱动器是地面挂载的。那意味
着,尽管是块级远程存款和储蓄,你能够在文件系统层面推行加密,就就像是在本地计算机和本地驱动器上实践加密这样。

软件

     
以后我们通晓了想要实现的任务;难题是,你该怎样得以完毕啊?事实上,
Linux
内置了一个软件包,使用笔者后面介绍的这种格局,即把软件放置到 filesystem 软件与设施驱动程序之间。该软件名字为 dm-crypt 。而 dm-crypt
能够加密数据,然后利用蓬蓬勃勃种名称为 LUKS
的囤积格式,将数据写入到存款和储蓄设备(通过配备驱动程序)上。

LUKS ( Linux
统生机勃勃密钥设置)是驱动器本人上边所用的格式,它实际用来替代 ext4 之类的文件系统。 dm-crypt 系统坐落于 filesystem 软件与道具驱动程序之间; filesystem 软件读取和写入 ext4 ,而 ext4 数据经过
dm-crypt 加以推送,然后 dm-crypt 将数据以 LUKS
格式存款和储蓄到驱动器上。因此,实际上 ext4 或 NTFS 之类的文件系统就在通过加密的 LUKS 格式的“下边”。

请小心: dm-crypt
是子系统的名号,你可以运用过多工具来管理它。没有名称为 dm-crypt 的单个命令。你能够动用部分主次来治本 dm-crypt :

• cryptsetup :
那一个命令路程序为你提供了底部访问权,以便管理创制 dm-crypt 处理的器材那生机勃勃职分。

• cryptmount :
那一个顺序提供了越多的作用特色,更易于使用一些,具体可参谋多年前的那篇作品:

别的功效特色

dm-crypt
系统的贰个亮点在于,它没须求直接管理磁盘驱动程序。相反,它能够将全部数据保存到单个文件中,实际不是接收LUKS 和全部磁盘分区。那就表示,你能够让
dm-crypt
创制单个文件,然后您可以在单个文件之中成立整个文件系统。之后,你能够将该单个文件作为单身的驱动器来挂载,然后从别的软件来拜访它,仿佛您相比较其余任何驱动器这样。

云驱动器

是因为有的云服务提供商(举个例子亚马逊互连网服务)为你提供了应有尽有的根访谈权,能够访谈连接到您服务器的块设备,你可以丰富利用
dm-crypt ;能够用 LUKS 格式来格式化块设备,然后将它计划用来你的 dm-crypt 系统;之后,你完全能够用 ext4
文件系统来格式化它。最后结出正是一丝一毫加密的驱动器驻留在云端,你可以活动保管那个驱动器。想不想试风流倜傥试?那篇教程就介绍了使用
cryptsetup 程序来加密:

除此以外一些云服务提供商不像 AWS
那样让您能够一向访谈块设备。比如说, Digital
Ocean 就不容许你一贯访谈;不过你仍可以够创制三个文件,安装 dm-crypt
来利用特别文件,然后在文书之中成立二个所谓的“容器”,它代表了文件系统。实际上,那个进程与您在协和的地面机械上创制一个加密的器皿文件如出黄金时代辙。这里有生龙活虎篇来自
Digital Ocean 网址的课程:
,介绍了创办 dm-crypt LUKS
容器文件。在该科目中要在意:就好像使用块设备那样,你能够创设整个文件系统(比方ext4
),可是在这里处,该文件系统驻留在容器文件之中。

本地驱动器

而那就引出了我们什么样在本土完成这整个的话题。在亚马逊(亚马逊卡塔尔国上开创加密驱动器的上述教程涉及的步调与在你协和的硬驱上地方创设加密驱动器三个样。不过另朝气蓬勃篇教程(

)给出了逐月的表达,以便在你协和的硬驱受愚地创设,它也采纳 cryptsetup 。

假如你想成立三个本地容器驱动器,含有整个经过加密的文件系统,只要信守上面Digital Ocean 教程中的步骤就可以。

照旧,借使您想选用另叁个主次 cryptmount
来加密整个分区或创办容器文件,请关切那篇教程:
。小编 Carla Schroder 给出了多少个显明的步骤。

结束语

正是这么。想通晓什么加密,主要的一些是先要完全通晓您实在试图完结什么任务:让应用程序加密和平解决密数据,照旧让操作系统管理加密;是加密整个
分区,仍然单独加密个别文件;是还是不是想创建保存加密文件的容器。之后,你能够服从自身在本文中提交链接的多少个学科中涉及的步调,顺遂达成加密。

正文长久更新链接地址:

读者平常询问大家的二个科学普及难点是,如何为 Linux
推行后生可畏种文件系统加密方法。在深刻斟酌这一个话题之…

骨子里,Western Digital
从来在对分区存款和储蓄进行大气入股,以允许使用更加大体积的经济型设备。有关分区存储的愈来愈多背景新闻方可在 韦斯特ern
Digital
博客找到。

唯独,新的 Western Digital 成品并不是要形成与 Linux 上的
EXT4,Btrfs,XFS 和 ZFS 之类竞争的通用文件系统。那么些新的文件系统 Zonefs
适用于优越用例,并在分区块设备上运营。

解放晚报:

发表评论

电子邮件地址不会被公开。 必填项已用*标注