方法三:ecryptfs
下载并编译
~dhowells/keyutils/keyutils-1.2.tar.bz2
tar jxf keyutils-1.2.tar.bz2
cd keyutils-1.2
make;make install
tar jxf ecryptfs-20070306.tar.bz2
cd ecryptfs-20070306/ecryptfs-util
./configure;make;make install
编译内核
make menuconfig
File systems>Miscellaneous filesystems
CONFIG_ECRYPT_FS
加载模块
modprobe ecryptfs
(以及加密模块)
加载
mkdir /root/crypt
mkdir /mnt/crypt
mount -t ecryptfs /root/crypt /mnt/crypt
(提示输入密码和算法)
卸载
umount /mnt/crypt
重新加载
mount -t ecryptfs /root/crypt /mnt/crypt
(提示输入密码和算法)
看来ecryptfs的特点是能够对目录进行加密,而不必加密整个磁盘。直接读取原始目录中的文件,只能读到加密后的数据,要正确读取数据,只有先把该目录用ecryptfs文件系统格式加载到另外一个目录,之后才能读取。而在加载时要指定密码和加密算法,这就起到保密作用。如果加载时指定错误的密码或加密算法,仍然可以加载而不会出错,但读出的数据是无效的。
ecryptfs的代码在fs/ecryptfs目录下,只有比较新的kernel版本才有,我用的是linux-2.6.21。它的实现与前面两种方法不同,它完全是按文件系统的方式来实现的。
以上几种加密方法,在加载时都要输入密码,为了使用上的方便,可以与PAM+libpam-mount插件集成起来,用当前用户的密码作为加密的密码,这样就只需要在登录时输入一次就够了。