如何用 LUKS 和 cryptsetup 为 Linux 配置加密

在信息安全愈发重要的今天，为 Linux 系统盘配置全盘加密已经成为很多企业和个人的选择。LUKS（Linux Unified Key Setup）配合工具 cryptsetup 可以在不牺牲性能的前提下实现高强度加密。本文将通过一个故事化的场景，介绍整个配置过程。

---

什么是 LUKS？

LUKS 是 Linux 下广泛使用的磁盘加密标准，能够为整个分区或设备提供高强度的对称加密。搭配 cryptsetup 使用，用户可以通过设置密码解锁加密卷。

[外链图片转存中…(img-HHGhz2zi-1753111358467)]

---

先决条件

• 一台 Linux 机器
• 可引导的 Live Linux USB
• 已备份的数据

建议在操作前阅读相关指南和官方文档：

LUKS 官方文档：https://gitlab.com/cryptsetup/cryptsetup

---

配置步骤

1. 启动 Live Linux

插入 Live Linux USB，选择「试用」模式启动。

2. 确认目标磁盘

运行以下命令确认目标磁盘，例如 /dev/sda。

lsblk

3. 创建加密卷

使用 LUKS 对整个磁盘进行加密：

cryptsetup luksFormat /dev/sda

输入并确认强密码。

然后打开加密卷：

cryptsetup luksOpen /dev/sda cryptroot

4. 创建文件系统

在解锁的设备上创建文件系统：

mkfs.ext4 /dev/mapper/cryptroot

然后将其挂载：

mount /dev/mapper/cryptroot /mnt

5. 安装系统

按照正常的方式（例如使用 debootstrap 或者发行版安装程序）在 /mnt 上安装 Linux 系统。

安装完成后别忘了生成 initramfs 以支持启动时解锁加密卷。

---

注意事项

• 密码丢失后无法找回，请务必安全保存。
• 启用加密会略微影响性能，但在现代硬件上几乎可以忽略。

---

相关链接推荐

为了获得更灵活的出行体验，也可以了解 eSIM 技术的应用及开通方法：
红茶eSIM 2块钱保号一年 原生英国IP：
https://www.wanmoon.mom/redteago-esim/

更多关于 Linux 加密、隐私保护的资源请参考：
Linux Journal 安全专栏：https://www.linuxjournal.com/tag/security