电脑硬盘私密文件加密方法与隐藏技巧
电脑硬盘私密文件加密方法与隐藏技巧
　　电脑及网络给我们带来的方便有目共睹，但如果没有掌握相应的安保措施，私密文件一旦泄露，就可能会导致严重的后果。聊天记录、私人文件等这些重要文件的数据安全都需要我们好好保护。　　锁住隐私　　1.隐私照片、日记传入邮箱保存　　假如自己有一些不想让别人知道的隐私照片、日记、旧情书邮件等，一定要锁好，我们认为最安全的做法就是不要在本地存储，将这些隐私文件压缩成带密码的压缩包，然后再将其上传保存到稳定的邮箱中，这样就能解决保存记忆与家庭和谐之间的冲突了。　　首先将隐私照片、日记等隐私文件统统拷贝到某个文件夹中，然后打开WinRAR，直接单击“添加”按钮将这些敏感文件所在文件夹添加进来。按下Ctrl+P，在打开的窗口中输入加密密码(见图1)。　　为了更安全，建议勾选“加密文件名”，这样可以直接将文件名也进行加密，即使双击打开压缩包，在预览窗口中也看不到文件名称了。　　最后以邮件附件的形式直接将加密压缩包发到自己的邮箱中即可。不过，在邮箱中最好设置一个好记的标签或者是附件名称，避免日后邮件多了自己也不方便找到。　　小提示：现在有很多网络硬盘可用，不过，像这种较敏感的隐私文件，最好不要选择保存在网络硬盘中，保存在邮箱中更安全，也更稳定。万一哪天网络硬盘停止服务了，那可就欲哭无泪了。　　2.拒绝威胁隐私文件本地伪装　　如果你的电脑上不了网该咋办？如果想别人练加密文件也看不到，我们可以利用《文件夹伪装工具》这个软件将硬盘上任意的文件夹伪装成如“我的电脑”、“网上邻居”、“回收站”等系统的特殊文件，这样即使别人点击该图标进入，看到的也是系统的正常内容选项。　　使用方法很简单：首先将需要保密的文件移动到一个新建文件夹中。打开软件，点击“浏览”设置好这个文件夹的路径。选择要伪装的系统图标，如“我的电脑”，再加入密码，点击“开始伪装”按钮。这时该文件就变成了“我的电脑”图标，如果其他人不小心点到了这个图标就只能看到各个硬盘分区盘符，而不是原来的文件夹。恢复伪装过的文件夹也很简单，只需要输入开始设置的密码即可。　　小提示：这种伪装方式在Windows系统重装后依然有效。记住，这个密码是一定要牢记，否则你的宝贝照片和日记就恢复不到原样了。　　锁住收藏夹　　要将收藏夹锁好很简单，直接使用加密工具将Favorites(Windows7系统默认在系统盘：\Users\系统账号\FWindowsXP系统默认在系统盘:\DocumentsandSettings\系统账号\收藏夹)加密即可，最简单的方法就是用后面介绍的EFS加密方法将该文件夹进行EFS加密，这样，只有自己使用系统账号进入才能正常使用收藏夹并访问其中的网址，而其他用户则无法访问了。　　如果使用傲游浏览器，直接使用在线收藏夹，然后设置退出时自动退出账号并清空浏览记录：单击菜单“工具→傲游设置中心”，选择“安全和隐私”，选中“退出时清除浏览记录”，然后将下面的所有项选中，保存退出(见图2)。　　这样设置后，还要注意不要勾选登录窗口中的自动保存密码选项，虽然每次登录时麻烦点，但总比泄露隐私信息强。　　善用EFS免费锁，杜绝“艳*门”　　最近“门”事件比较多，可千万别把自己变成某某门的主角啦……想当初震惊网络的“艳*门”事件引起的轩然大波，至今还没有完全平息。“钢铁侠”可不想成为“艳*门”的主角，掌握系统自带的EFS这把免费锁，即使别人拿到了你的硬盘，或重装了系统，只要没有私钥也同样打不开那些“艳*”。　　第一步：首先要将不想让别人随意查看的文件放到NTFS格式的磁盘分区中，或者将非NTFS格式的磁盘分区转换成NTFS格式(使用管理员权限打开命令提示符窗口，使用convert盘符/FS:NTFS即可转换)。　　第二步：右击存放这些重要文件的文件夹并选择“属性”，单击“常规”选项卡中的“高级”按钮，选择“加密内容以便保护数据”(图3)。　　小提示：也可以在设置加密文件夹后再将需要加密的文件放到这个文件夹中，同样可以达到加密的目的。　　第三步：这样加密后，最重要的一个步骤还没做，那就是备份加密证书及私钥。使用EFS加密后，只有当前系统账户在登录系统后才能正常访问，而非当前账户就无法访问这些加密文件了。当重新安装系统后，即使你设置同一个账户名也被识别为非加密时的系统账户，因此也无法访问这些加密的文件。为了避免加密文件自己也打不开，需要将加密系统账号对应的证书和私钥备份出来：　　按Win+R打开运行对话框，输入“certmgr.msc”并回车，在打开的证书管理器中在“当前用户→个人→证书”路径下会看见一个以当前系统账户名为名称的证书，右击该项并选择“所有任务→导出”，然后按照向导将该证书导出，同时将私钥也导出(图4)。　　小提示：在Windows7系统中，如果没有对文件进行EFS加密，在上述证书列表中不会看到对应于当前系统账号的数字证书，只有进行过EFS加密才会出现加密证书项，此外，系统还会在没有备份的情况下自动给出备份提示。　　使用EFS加密手段，可以将聊天记录(包括QQ、MSN等一切聊天软件)、重要的各类文件进行加密，加密后，只有用自己的系统账号登录后才能正常访问这些文件，其他人均无法查看加密的文件。因此，之前自己备份的加密证书一定要保存好，防止连自己也被挡在门外。　　加两道安保锁对付黑客高手　　在公共场所中，有的“大反派”可以将隐藏分区中的私密文件“黑”出来，让你不寒而栗。要想对付这种高超的黑客技术，“钢铁侠”还得增强安保措施，使用双重加密技术将重要的文件加密隐藏，确保敏感数据万无一失。　　“TrueCrypt”就是这样的一款加密软件，它可以建立一个加密容器(对应于一个文件)，然后再将这个容器虚拟成一个带密码的磁盘分区，可以像操作物理硬盘分区那样，非常方便地将需要加密的文件放置其中，然后关闭软件。对别人来说，这个加密的容器本身就是一个未知类型的文件，无法打开，即使知道是“TrueCrypt”软件加密文件，不知道密码也无法打开其中的文件，进而实现双重加密的效果。　　第一步：先下载安装“TrueCrypt”加密工具【点击下载】。　　在主窗口中单击“创建加密卷”，按照向导提示依次选择：创建文件型加密卷、标准TrueCrypt加密卷、加密文件位置(设置为一个相对隐蔽的位置)、加密算法选择AES、设置好加密卷的大小(视要加密的文件体积而定)、设置一个大于20个字符的复杂的外层加密密码(系统建议值，也可以设置简单密码)，最后一步直接单击“格式化”按钮进行格式化(图5)。　　第二步：创建完毕后退出向导，在“TrueCrypt”主窗口中通过“选择文件”按钮找到创建的加密文件，再单击“载入”，输入正确的密码后即可。　　现在，只要打开“我的电脑”就会看到一个新盘符，双击打开，然后将要加密的文件存入其中(操作与正常的磁盘文件操作方法类似)，文件加密后，只要直接退出软件即可(解密时操作方法类似，加载加密文件如同从硬盘中拷贝文件那样简单)。　　小提示：通过这款软件还可以方便地将重要文件加密保存到闪存、手机中，软件还提供了便携加密组件的制作，可以直接在闪存等设备中添加解密组件以方便使用。
&&&主编推荐
H3C认证Java认证Oracle认证
基础英语软考英语项目管理英语职场英语
.NETPowerBuilderWeb开发游戏开发Perl
二级模拟试题一级模拟试题一级考试经验四级考试资料
软件测试软件外包系统分析与建模敏捷开发
法律法规历年试题软考英语网络管理员系统架构设计师信息系统监理师
高级通信工程师考试大纲设备环境综合能力
路由技术网络存储无线网络网络设备
CPMP考试prince2认证项目范围管理项目配置管理项目管理案例项目经理项目干系人管理
职称考试题目
招生信息考研政治
网络安全安全设置工具使用手机安全
生物识别传感器物联网传输层物联网前沿技术物联网案例分析
Java核心技术J2ME教程
Linux系统管理Linux编程Linux安全AIX教程
Windows系统管理Windows教程Windows网络管理Windows故障
数据库开发Sybase数据库Informix数据库
&&&&&&&&&&&&&&&
希赛网 版权所有 & &&用户名：hu
文章数：301
评论数：73
访问量：134442
注册日期：
阅读量：5863
阅读量：12276
阅读量：404167
阅读量：1093152
51CTO推荐博文
TrueCrypt是全球最著名最权威的硬盘加密软件，迄今为止没有任何方法可以破解其加密的磁盘，另外由于它是开源的，所以其安全性不容置疑。但对于TrueCrypt，Windows下的BitLocker(前文所述)，FileVault ( MacOS X)，dm-crypt(Linux)，都可以通过对内存镜像进行分析获得密钥，使破解成为可能。这种方式也成为： cold boot attack。
美国普林斯顿大学研究人员公布的最新研究报告称，现有的计算机加密技术存在重大弱点，不法分子可以通过一种低技术含量的手段绕过加密软件获取计算机存储器内敏感数据。美联社援引这份研究报告说，低温可使计算机内存断电之后仍保留其中数据数分钟甚至数小时。对经加密的计算机而言，这些数据则包含加密数据。在非低温状态下，内存被断电几秒后就会损失数据。
来自美国普林斯顿大学、电子产品维权基金会以及&风河系统&软件公司的研究人员参与了上述研究。
研究人员用倒置的压缩气体喷洒器向计算机内存喷气，使其降温至零下50摄氏度。之后，他们利用断电的内存中数据&冻结&时间，通过一个简单的内存镜像软件重启计算机，把其中数据读取出来，再分析、处理这些数据，从而找出计算机密码，获得访问计算机存储信息的权限。报道说，利用上述方法，电脑黑客可以在内存清除其内部敏感数据前盗取信息。
报告指出：&这些风险意味着，笔记本电脑磁盘加密手段可能没有普遍预想的那样理想&&最终，内存将可能被认为不可靠，并应被避免用来存储敏感机密数据。但 在(计算机相关)结构被改变，从而向软件提供存储密码的安全场所以前，这(种避免把敏感机密数据存于内存的做法)将不具可行性。&
研究人员称，他们破解了一系列常见加密程序，如微软BitLocker，苹果FileVault，TrueCrypt等。由于结构相似，其他许多加密手段也同样能被破解。
&如今，磁盘加密产品看似极其重要：(一些)笔记本电脑里存储着企业或个人的敏感数据&&而我们却破解了这些产品，&法新社援引普林斯顿大学计算机科学在读博士生J&亚历克斯&霍尔德曼的话说，&这不是个小漏洞，它是这些系统设计上的一种根本局限性。&
研究人员警告说，只要在黑客物理接触范围内，笔记本电脑在锁定、睡眠等带电状态时尤其脆弱。关掉笔记本电脑有助于防止黑客入侵，但并非在所有情况下都有效。
&无论是你的笔记本电脑被盗，还是你只是在机场安检处几分钟之内看不到它，里面的信息都可能被一名聪明的入侵者读取，&电子产品维权基金会技术专家塞思&舍恩说。
下面介绍一下TrueCrypt 软件。
加密软件是否值得我们信赖
　　网上流传着很多加密、隐藏特定文件和目录的方法、技巧、软件、硬件，比如加密狗、王牌文件夹加密大师、宏杰工具之文件夹加密、文件夹隐藏及加密金刚、博物加密工具；比如隐藏文件到jpg图片、mp3、pdf文档；比如创建一个&看不到&、&删不掉&的目录。
　　其中绝大部分方法都可以破解，绝大部分软件我们通常都不放心！不放心的原因有三：
　　１、不知道加密软件有没有后门
很多加密软件都是小公司甚至个人开发的，虽然他们技术实力也许很强，但是由于软件没有公开源代码，我们永远也不知道有没有特定的密码、技巧可以万能的破解被加密的文件。
　　２、不知道有没有工具破解
如果加密软件采用的是类似于rookit的hook钩子截获windows api的实现文件隐藏的话，那么肯定可以破解的。
　　如果加密软件使用各种算法进行加密，那么由于实现细节我们不清楚，同样有被破解的可能。即使它号称&反跟踪、反编译、反破解、双重安全检测、使用了高强度的加密算法&，我们也不是很放心。
　　３、不知道能否100%解密
如果重要数据文件加密后，解密失败了，那显然比不加密还要糟糕，加密就等于删除了！-_-，到时候只有欲哭无泪了。
　　甚至有的加密软件本身还带有病毒、木马，当然只是极少数。
　　那么TrueCrypt有什么与众不同的呢？
　　１、可靠
TrueCrypt完全开放源代码，只要你愿意，你完全可以自己下载源代码然后自己编译生成可执行文件，TrueCrypt内部每一步都做了些什么，清清楚楚明明白白，更何况全球有几乎1000万双眼睛盯着呢，TrueCrypt完全不可能做手脚！
　　２、安全
TrueCrypt使用了多种不同加密算法：AES-256、Blowfish(448-bitkey)、CAST5、Serpent、Triple DES，加密容易解密难，加密快得你感觉不到占用了时间，解密呢，只有一种办法：暴力破解，穷举所有可能的密码，而且速度很慢，一秒钟试不了几个（我们假设是三个），如果你的密码有10位长的话，那么除以（60*60*24*365*3）等于105.7年，如果你的密码有20位长， 暴力破解需要5年时间！
软件介绍：
TrueCrypt之软件主界面（图一）
　　TrueCrypt是一款免费，开源的支持Windows Vista/XP/2000 and Linux的绿色虚拟加密磁盘工具，可以在硬盘上创建一个或多个虚拟磁盘，所有虚拟磁盘上的文件都被自动加密，需要通过密码来进行访问。 TrueCrypt提供多种加密算法，如AES-256、Blowfish(448-bitkey)、CAST5、Serpent、Triple DES等，其他特性还包括支持FAT32和NTFS分区、隐藏卷标和热键启动。
　　软件全称： TrueCrypt 软件语言： 多语
　　软件版本： 6.2 软件大小： 2.44M
　　软件授权： 免费版 华军下载：
一. 软件安装
　　TrueCrypt在使用前须对其进行安装才可进行使用，软件须按照提示进行安装，软件安装过程如下图所示：
TrueCrypt之接受安装协议（图二）
TrueCrypt之选择安装目录（图三）
TrueCrypt之完成安装（图四）
二. 软件使用
　　TrueCrypt在安装完毕后，双击桌面图标即可进入到软件主界面，在软件启动后，会跳出窗口提示用户进行操作，并且小编要提醒大家的是该软件为英文，所以在初次使用时我们须将其转换为中文显示，点击软件设置栏，如下图所示：
TrueCrypt之选择语言（图五）
　　点击语言选项后，软件会跳出提示窗口，在语言框内我们只能靠英文选项，我们须在其官方网站上进行语言选项下载，点击下载如下图所示：
TrueCrypt之语言下载（图六）
　　点击下载后，软件会自动关联到官方网站，该软件支持多国语言，用户可从跳出窗口选择中文语言，如下图所示：
TrueCrypt之中文语言下载（图七）
　　在下载了中文语言包后，我们还要将其放入到我们的软件目录，然后关闭软件重新启动软件界面即可变为中文界面，如下图所示：
TrueCrypt之中文语言安装（图八）
　　将软件界面语言更换为中文后，我们就可以方便的进行软件使用了，首先我们须进行加密卷的创立，点击软件创建加密卷，软件会跳出窗口提示用户进行操作，首先我们要对加密的类型进行选择，如下图所示：
TrueCrypt之加密卷创建（图九）
　　小编选择的第一种创建文件型加密卷，其后软件会提示加密卷为标准形式还是隐藏形式存在，小编选择的是标准型加密卷，如大家有特殊需要可选择隐藏形式加密卷，如下图所示：
TrueCrypt之加密卷类型（图十）
　　在进行了加密卷创建后，我们还须对加密卷的位置进行选择，点击下一步后在跳出的窗口中点击选择文件按钮进行选择，如下图所示：
TrueCrypt之选择文件（图十一）
　　选择好加密文件后，我们还点击下一步菜单，在跳出的窗口中我们须选择设置加密算法，其中包括好几种的算法，用户自行选择，如下图所示：
TrueCrypt之文件加密算法（图十二）
　　除了设置加密卷位置及算法，我们还须在下一步的设置中，对我们所要采用的加密卷进行大小设置，须为其设置一个上限，如下图所示：
TrueCrypt之加密卷大小（图十三）
　　选择好加密卷大小后，我们还须为加密卷选择一个合适的密码，用户自行进行设置，如下图所示：
TrueCrypt之加密卷密码（图十四
在进行了一系列的设置后，我们即可完成加密卷的设置工作，下面就可以进行创建了，点击格式化即可，如下图所示：
TrueCrypt之加密卷创建（图十五）
　　不过既然创造了一个加密磁盘，我们又怎么进行打开和使用呢，我们须点击选择文件，在其跳出的窗口内选择刚已创立的机密卷，然后输入正确的密码才可进行正常使用，如下图所示：
TrueCrypt之选择加密卷（图十六）
TrueCrypt之加密卷密码输入（图十七）
　　只有选择正确的密码才可以进入加密盘，在进行了密码输入后，我们即可打开该加密卷并对加密卷进行操作，当然我们还可以通过点击盘符右键进行加密卷属性查看，如下图所示：
TrueCrypt之加密卷属性查看（图十八）
利用dm-crypt来创建加密文件系统
已有 178 次阅读&
&&&& Linux使用加密文件系统后，数据的安全能得到很好的保护。在这种情况下，即使把我们的机器送给黑客，只要他们没有密钥，黑客看到的数据只会是一堆乱码，毫无利用价值可言
本文将详细介绍利用dm-crypt来创建加密文件系统的方法。与其它创建加密文件系统的方法相比，dm-crypt系统有着无可比拟的优越性：它的速度 更快，易用性更强。除此之外，它的适用面也很广，能够运行在各种块设备上，即使这些设备使用了RAID和 LVM也毫无障碍。dm-crypt系统之所以具有这些优点，主要得益于该技术是建立在2.6版本内核的device-mapper特性之上的。 device-mapper是设计用来为在实际的块设备之上添加虚拟层提供一种通用灵活的方法，以方便开发人员实现镜像、快照、级联和加密等处理。此外， dm-crypt使用了内核密码应用编程接口实现了透明的加密，并且兼容cryptloop系统。
一、配置内核
dm -crypt利用内核的密码应用编程接口来完成密码操作。一般说来，内核通常将各种加密程序以模块的形式加载。对于256-bit AES来说，其安全强度已经非常之高，即便用来保护绝密级的数据也足够了。因此本文中我们使用256-bit AES密码，为了保证您的内核已经加载AES密码模块，请利用下列命令进行检查：
$ cat /proc/crypto
如果看到类似下面的输出的话，说明AES模块已经加载：
name : aes
module : aes
type : cipher
blocksize : 16
min keysize : 16
max keysize : 32
否则，我们可以利用modprobe来手工加载AES模块，命令如下所示：
$ sudo modprobe aes
接下来安装dmsetup软件包，该软件包含有配置device-mapper所需的工具：
$ sudo apt-get install dmsetup cryptsetup
为检查dmsetup软件包是否已经建立了设备映象程序，键入下列命令：
$ ls -l /dev/mapper/control
接下来加载dm-crypt内核模块：
$ sudo modprobe dm-crypt
dm-crypt加载后，它会用evice-mapper自动注册。如果再次检验的话，device-mapper已能识别dm-crypt，并且把crypt 添加为可用的对象：
$ sudo dmsetup targets
如果一切顺利，现在你应该看到crypt的下列输出：
crypt v1.1.0
striped v1.0.2
linear v1.0.1
error v1.0.1
这说明我们的系统已经为装载加密设备做好了准备。下面，我们先来建立一个加密设备。
二、建立加密设备
要创建作为加密设备装载的文件系统，有两种选择：一是建立一个磁盘映像，然后作为回送设备加载；二是使用物理设备。无论那种情况，除了在建立和捆绑回送设备外，其它操作过程都是相似的。
1.建立回送磁盘映象
如果你没有用来加密的物理设备（比如存储棒或另外的磁盘分区），作为替换，你可以利用命令dd来建立一个空磁盘映象，然后将该映象作为回送设备来装载，照样能用。下面我们以实例来加以介绍：
$ dd if=/dev/zero of=~/secret.img bs=1M count=100
这里我们新建了一个大小为100 MB的磁盘映象，该映象名字为secret.img。要想改变其大小，可以改变count的值。
接下来，我们利用losetup命令将该映象和一个回送设备联系起来：
$ sudo losetup /dev/loop/0 ~/secret.img
现在，我们已经得到了一个虚拟的块设备，其位于/dev/loop/0，并且我们能够如同使用其它设备那样来使用它。
2.设置块设备
准备好了物理块设备（例如/dev/sda1），或者是虚拟块设备（像前面那样建立了回送映象，并利用device-mapper将其作为加密的逻辑卷加载），我们就可以进行块设备配置了。
下面我们使用cryptsetup来建立逻辑卷，并将其与块设备捆绑：
$ sudo cryptsetup -y create myEncryptedFilesystem
/dev/DEVICENAME
其中，myEncryptedFilesystem 是新建的逻辑卷的名称。并且最后一个参数必须是将用作加密卷的块设备。所以，如果你要使用前面建立的回送映象作为虚拟块设备的话，应当运行以下命令：
$ sudo cryptsetup -y create myEncryptedFilesystem /dev/loop/0
无论是使用物理块设备还是虚拟块设备，程序都会要你输入逻辑卷的口令，-y的作用在于要你输入两次口令以确保无误。这一点很重要，因为一旦口令弄错，你就会把自己的数据锁住，这时谁也帮不了您了！
为了确认逻辑卷是否已经建立，可以使用下列命令进行检查一下：
$ sudo dmsetup ls
只要该命令列出了逻辑卷，就说明已经成功建立了逻辑卷。不过根据机器的不同，设备号可能有所不同：
myEncryptedFilesystem (221, 0)
device-mapper会把它的虚拟设备装载到/dev/mapper下面，所以，你的虚拟块设备应该是/dev/mapper/myEncryptedFilesystem ，尽管用起来它和其它块设备没什么不同，实际上它却是经过透明加密的。
如同物理设备一样，我们也可以在虚拟设备上创建文件系统：
$ sudo mkfs.ext3 /dev/mapper/myEncryptedFilesystem
现在为新的虚拟块设备建立一个装载点，然后将其装载。命令如下所示：
$ sudo mkdir /mnt/myEncryptedFilesystem
$ sudo mount /dev/mapper/myEncryptedFilesystem /mnt/myEncryptedFilesystem
我们能够利用下面的命令查看其装载后的情况：
$ df -h /mnt/myEncryptedFilesystem
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/myEncryptedFilesystem 97M 2.1M 90M 2% /mnt/myEncryptedFilesystem
很好，我们看到装载的文件系统，尽管看起来与其它文件系统无异，但实际上写到/mnt/myEncryptedFilesystem /下的所有数据，在数据写入之前都是经过透明的加密处理后才写入磁盘的，因此，从该处读取的数据都是些密文。
要卸载加密文件系统，和平常的方法没什么两样：
$ sudo umount /mnt/myEncryptedFilesystem
即便已经卸载了块设备，在dm-crypt中仍然视为一个虚拟设备。如若不信，你可以再次运行命令sudo dmsetup ls来验证一下，你会看到该设备依然会被列出。因为dm-crypt缓存了口令，所以机器上的其它用户不需要知道口令就能重新装载该设备。为了避免这种情况发生，你必须在卸载设备后从dm-crypt中显式的删除该设备。命令具体如下所示：
$ sudo cryptsetup remove myEncryptedFilesystem
此后，它将彻底清除，要想再次装载的话，你必须再次输入口令。为了简化该过程，我们可以利用一个简单的脚本来完成卸载和清除工作：
umount /mnt/myEncryptedFilesystem
cryptsetup remove myEncryptedFilesystem
四、重新装载
在卸载加密设备后，我们很可能还需作为普通用户来装载它们。为了简化该工作，我们需要在/etc/fstab文件中添加下列内容：
/dev/mapper/myEncryptedFilesystem /mnt/myEncryptedFilesystem ext3 noauto,noatime 0 0
此外，我们也可以通过建立脚本来替我们完成dm-crypt设备的创建和卷的装载工作，方法是用实际设备的名称或文件路径来替换/dev/DEVICENAME：
cryptsetup create myEncryptedFilesystem /dev/DEVICENAME
mount /dev/mapper/myEncryptedFilesystem /mnt/myEncryptedFilesystem
如果你使用的是回送设备的话，你还能利用脚本来捆绑设备：
losetup /dev/loop/0 ~/secret.img
cryptsetup create myEncryptedFilesystem /dev/loop/0
mount /dev/mapper/myEncryptedFilesystem /mnt/myEncryptedFilesystem
如果你收到消息&ioctl: LOOP_SET_FD: Device or resource busy&，这说明回送设备很可能仍然装载在系统上。我们可以利用sudo losetup -d /dev/loop/0命令将其删除。
五、加密主目录
如果配置了PAM（Pluggable Authentication Modules，即可插入式鉴别模块）子系统在您登录时装载主目录的话，你甚至还能加密整个主目录。因为libpam-mount模块允许PAM在用户登 录时自动装载任意设备，所以我们要连同openssl一起来安装该模块。命令如下所示：
$ sudo apt-get install libpam-mount openssl
接下来，编辑文件/etc/pam.d/common-auth，在其末尾添加下列一行：
auth optional pam_mount.so use_first_pass
然后在文件/etc/pam.d/common-session末尾添加下列一行内容：
session optional pam_mount.so
现在，我们来设置PAM，告诉它需要装载哪些卷、以及装载位置。对本例而言，假设用户名是Ian，要用到的设备是/dev/sda1，要添加到/etc/security/pam_mount.conf文件中的内容如下所示：
volume Ian crypt - /dev/sda1 /home/Ian cipher=aes aes-256-ecb /home/Ian.key
如果想使用磁盘映象，你需要在此规定回送设备（比如/dev/loop/0），并确保在Ian登录之前系统已经运行losetup。为此，你可以将 losetup /dev/loop/0 /home/secret.img放入/etc/rc.local文件中。因为该卷被加密，所以PAM需要密钥来装载卷。最后的参数用来告诉PAM密钥在 /home/Ian.key文件中，为此，通过使用OpenSSL来加密你的口令来建立密钥文件：
$ sudo sh -c 'echo
YOUR PASSPHRASE
| openssl aes-256-ecb &
/home/Ian.key'
这时，提示你输入密码。注意，这里的口令必需和想要的用户登录密码一致。原因是当你登录时，PAM需要你提供这个密码，用以加密你的密钥文件，然后根据包含在密钥文件中的口令用dm-crypt装载你的主目录。
需要注意的是，这样做会把你的口令以明文的形式暴露在.history文件中，所以要及时利用命令history -c清楚你的历史记录。此外，要想避免把口令存放在加密的密钥文件中的话，可以让创建加密文件系统的口令和登录口令完全一致。这样，在身份认证时，PAM 只要把你的密码传给dm-crypt就可以了，而不必从密钥文件中抽取密码。为此，你可以在/etc/security/pam_mount.conf文 件中使用下面的命令行：
volume Ian crypt - /dev/sda1 /home/Ian cipher=aes - -
最后，为了保证在退出系统时自动卸载加密主目录，请编辑/etc/login.defs文件使得CLOSE_SESSIONS项配置如下：
CLOSE_SESSIONS yes
数据加密是一种强而有力的安全手段，它能在各种环境下很好的保护数据的机密性。而本文介绍的Ubuntu Linux 下的加密文件系统就是一种非常有用的数据加密保护方式，相信它能够在保护数据机密性相方面对您有所帮助。
关于 FileVault
Mac OS X 包括 FileVault，它允许您加密个人文件夹内的信息。加密将混杂您的个人文件夹中的数据，以便即使电脑丢失或被盗，您的信息也是安全的。
FileVault 使用最新的经美国政府批准的加密标准，即带 128 位密钥 (AES-128) 的高级加密标准。
当您打开 FileVault 时，您也为电脑设置了一个您或管理员可以使用的密码，可以在您忘记常规登录密码时使用。
警告：如果您打开 FileVault，过后却忘记了登录密码和主密码，您就不能登录您的帐户并且您的数据将永久丢失。
如果您电脑上的信息是属于敏感的那一种，就应该考虑使用 FileVault。例如，如果您的 PowerBook 上有公司的所有金融数据，PowerBook 丢失可能会让其他人访问这些敏感数据并对您的公司造成损失。如果您的 PowerBook 丢失时已注销您的帐户，并且 FileVault 已打开，您的信息就是安全的。
如果您考虑使用 FileVault，就应该注意到它可能影响计划的备份并妨碍对您的个人文件夹内的共享文件夹进行访问。由于 FileVault 创建了一个加密的个人文件夹，某些备份实用程序可能将您的个人文件夹当作一个总是在更改的文件夹，这可能会降低备份速度。此外，如果您没有登录到电脑，其他用户将不能访问您的个人文件夹中的共享文件夹。
早在) OS X
　　从技术上看，无论BitLocker还是FileVault，均是一种系统级的加密，但尽管二者的目标相同，采取的具体机制则有明显的差别。那么，究竟孰优孰劣？下面我们进行简单的比较。
　　与Mac OS X中的FileVault相比，Windows Vista中的
　　启用了BitLocker的Windows Vista系统，要求在
　　BitLocker的优势: 没有正确的密钥，不仅无法启动进入Windows Vista，而且，正如上文所言，即使非法使用者采取其他手段，如试图以脱机方式浏览存储在受保护驱动器中的文件，也无法读取加密分区内的数据，最大程度地保证了数据的
　　BitLocker的不足:从某种程度上说，BitLocker的优势也具有双面性，用户必须确保将自己存有密钥USB盘不要遗失，或者，将BitLocker恢复密码保存到安全位置，不然，也许会发生反而将自己&拒之门外&的惨剧。
　　此外，要享受BitLocker带来的好处，用户必须购买Windows Vista
Mac OS X的 FileVault
　　在Mac OS X中，FileVault自动加密用户文件目录及其中的文件。当用户对其目录中的文件进行读写操作时，FileVault在后台自动对相应文件进行加解密过程，其效率极高，事实上，大多数用户在操作中甚至感觉不到存在这么一个加、解密的过程。
　　FileVault使用用户的登录密码作为加解密的密钥。也即是说，只有当用户使用正确的密码登录时，才能看到自己主目录及其下的文件。不然，该文件夹将不可存取。如果同一台Mac机上存在多个用户，那么，每个用户只能看到自己的主目录及目录下的文件，而无法对其他用户目录下的文件进行操作。
　　FileVault的优势：FileVault是Mac OS X系统的默认
　　FileVault的不足：即便启用FileVault，非法用户仍能正常启动Mac，这与BitLocker直接让非法用户无法进入系统存在距离，虽然此时从理论上说，非法用户仍然无法读取用户目录下的文件。
小结：Windows Vista更胜一筹
　　从上文的简单比较可以看出，尽管要应用BitLocker，需要购买更昂贵的Windows Vista版本，需要远较FileVault复杂的设置过程，但BitLocker的安全防护更为全面，可以从根本上把非法使用者拒之门外，即使其拿到您的PC、您的硬盘，也同样对其上的数据无能为力。
　　此外，还必须考虑到，在Windows Vista中，除了BitLocker，还可以(Encrypt File System :
&本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)