文件记录设置加密分区
除了分区步骤外,加密 LVM 的安装过程与标准安装相同(图 4.20,“使用加密 LVM 进行引导分区” [第 87 页])
将改为选择“引导 - 使用整个磁盘并设置加密的 LVM”。 最终结果将是一个系统在提供加密密码之前无法启动或访问。 这将加密和保护磁盘上的数据。
图4.20 使用加密 LVM 进行引导分区
引导式分区安装程序将自动分配一个物理分区用于存储加密数据,如图 4.21 “确认对分区表的更改”所示” [第 88 页]。 此时,安装程序会在将更改写入磁盘之前确认更改。
图4.21 确认对分区表的更改
然后用随机数据初始化这个新分区,如图 4.22,“擦除加密分区上的数据”所示” [第 88 页]。 这使得包含数据的区域与未使用的区域无法区分,从而更难检测并随后攻击加密数据。
图4.22 擦除加密分区上的数据
接下来,安装程序会要求您输入加密密码(图 4.23,“输入您的加密密码”” [第 89 页])。 为了查看加密分区的内容,您每次重新启动系统时都需要输入此密码。 请注意安装程序中的警告:您的加密系统将仅与此密码一样强大。
图4.23 输入您的加密密码
分区工具现在可以访问一个新的虚拟分区,其内容加密存储在底层物理分区中。 由于 LVM 使用这个新分区作为物理卷,它可以使用相同的加密密钥保护多个分区(或 LVM 逻辑卷),包括交换分区(参见边栏“加密交换分区” [第 86 页])。 在这里,LVM 并不是为了方便扩展存储大小,而是为了方便间接地允许将单个加密分区拆分为多个逻辑卷。