[Linux]如何使用 LUKS 建立加密的磁碟映像檔

設定流程（需要 sudo）

1. 建立一個空的映像檔：

   fallocate -l 10G ~/encrypted.img

   1 2	fallocate -l 10G ~/encrypted.img

2. 格式化/初始化 LUKS 裝置，並設定密碼：

   sudo cryptsetup -vy luksFormat ~/encrypted.img

   1 2	sudo cryptsetup -vy luksFormat ~/encrypted.img

   選項（更多）：

   -v, --verbose 詳細輸出，方便出問題的時候可以判斷 -y, --verify-passphrase 要求使用者輸入兩次以驗證密碼

   1 2 3

   -v, --verbose             詳細輸出，方便出問題的時候可以判斷 -y, --verify-passphrase   要求使用者輸入兩次以驗證密碼

   範例輸出：

   $ sudo cryptsetup -vy luksFormat ~/encrypted.img WARNING! ======== This will overwrite data on /home/play_pc/encrypted.img irrevocably. Are you sure? (Type uppercase yes): YES Enter passphrase for /home/play_pc/encrypted.img: Verify passphrase: Key slot 0 created. Command successful.

   1 2 3 4 5 6 7 8 9 10 11 12

   $ sudo cryptsetup -vy luksFormat ~/encrypted.img   WARNING! ======== This will overwrite data on /home/play_pc/encrypted.img irrevocably.   Are you sure? (Type uppercase yes): YES Enter passphrase for /home/play_pc/encrypted.img: Verify passphrase: Key slot 0 created. Command successful.

3. 開啟 LUKS 裝置：

   sudo cryptsetup luksOpen ~/encrypted.img encrypted_img # 不一定要是 encrypted_img，你也可以設定成別的

   1 2	sudo cryptsetup luksOpen ~/encrypted.img encrypted_img     # 不一定要是 encrypted_img，你也可以設定成別的

   選項（更多）：

   -v, --verbose 詳細輸出，方便出問題的時候可以判斷 -y, --verify-passphrase 要求使用者輸入兩次以驗證密碼

   1 2 3

   -v, --verbose             詳細輸出，方便出問題的時候可以判斷 -y, --verify-passphrase   要求使用者輸入兩次以驗證密碼

   範例輸出：

   $ sudo cryptsetup luksOpen ~/encrypted.img encrypted_img Enter passphrase for /home/play_pc/encrypted.img:

   1 2 3

   $ sudo cryptsetup luksOpen ~/encrypted.img encrypted_img Enter passphrase for /home/play_pc/encrypted.img:

4. 格式化裝置：

   sudo mkfs -t ext4 /dev/mapper/encrypted_img # 請使用上一步設定的名稱

   1 2	sudo mkfs -t ext4 /dev/mapper/encrypted_img    # 請使用上一步設定的名稱

   選項（更多）：

   -t, --type type 檔案系統格式，預設為 ext2

   1 2 3

   -t, --type type     檔案系統格式，預設為 ext2

   範例輸出：

   $ sudo mkfs -t ext4 /dev/mapper/encrypted_img mke2fs 1.45.5 (07-Jan-2020) Creating filesystem with 2617344 4k blocks and 655360 inodes Filesystem UUID: 322266d8-a9a1-4a70-b95b-7cacdb25e8f7 Superblock backups stored on blocks: 32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632 Allocating group tables: done Writing inode tables: done Creating journal (16384 blocks): done Writing superblocks and filesystem accounting information: done

   1 2 3 4 5 6 7 8 9 10 11 12

   $ sudo mkfs -t ext4 /dev/mapper/encrypted_img mke2fs 1.45.5 (07-Jan-2020) Creating filesystem with 2617344 4k blocks and 655360 inodes Filesystem UUID: 322266d8-a9a1-4a70-b95b-7cacdb25e8f7 Superblock backups stored on blocks: 32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632   Allocating group tables: done                             Writing inode tables: done                             Creating journal (16384 blocks): done Writing superblocks and filesystem accounting information: done

5. 掛載裝置：

   sudo mount /dev/mapper/encrypted_img /mnt

   1 2	sudo mount /dev/mapper/encrypted_img /mnt

   成功！

   $ df -h Filesystem Size Used Avail Use% Mounted on /dev/mapper/encrypted_img 9.8G 37M 9.3G 1% /mnt ...略...

   1 2 3 4 5

   $ df -h Filesystem                 Size  Used Avail Use% Mounted on /dev/mapper/encrypted_img  9.8G   37M  9.3G   1% /mnt ...略...

6. 卸載裝置：

   怎麼來的，就怎麼回去！

   sudo umount /mnt # 卸載檔案系統 sudo cryptsetup luksClose encrypted_img # 關閉 LUKS 裝置

   1 2 3

   sudo umount /mnt                           # 卸載檔案系統 sudo cryptsetup luksClose encrypted_img    # 關閉 LUKS 裝置

掛載流程（不用 sudo）

1. 開啟磁碟映像檔：

   udisksctl loop-setup -f ~/encrypted.img

   1 2	udisksctl loop-setup -f ~/encrypted.img

   選項（更多）：

   -f, --file=FILE 要開啟的映像檔（loop device） -r, --read-only 以唯獨方式開啟

   1 2 3 4 5

   -f, --file=FILE     要開啟的映像檔（loop device） -r, --read-only     以唯獨方式開啟

   範例輸出：

   $ udisksctl loop-setup -f ~/encrypted.img ==== AUTHENTICATING FOR org.freedesktop.udisks2.loop-setup === Authentication is required to set up a loop device Authenticating as: Play-PC (play_pc) Password: ==== AUTHENTICATION COMPLETE === Mapped file /home/play_pc/encrypted.img as /dev/loop6.

   1 2 3 4 5 6 7 8

   $ udisksctl loop-setup -f ~/encrypted.img ==== AUTHENTICATING FOR org.freedesktop.udisks2.loop-setup === Authentication is required to set up a loop device Authenticating as: Play-PC (play_pc) Password: ==== AUTHENTICATION COMPLETE === Mapped file /home/play_pc/encrypted.img as /dev/loop6.

2. 開啟 LUKS 裝置：

   udisksctl unlock -b /dev/loopXX # 請將 loopXX 替換成上一步的輸出

   1 2	udisksctl unlock -b /dev/loopXX    # 請將 loopXX 替換成上一步的輸出

   選項（更多）：

   -b, --block-device=DEVICE 要開啟的裝置（block），例如：/dev/sda.

   1 2 3

   -b, --block-device=DEVICE     要開啟的裝置（block），例如：/dev/sda.

   範例輸出：

   $ udisksctl unlock -b /dev/loop6 Passphrase: ==== AUTHENTICATING FOR org.freedesktop.udisks2.encrypted-unlock === Authentication is required to unlock the encrypted device /dev/loop6 Authenticating as: Play-PC (play_pc) Password: ==== AUTHENTICATION COMPLETE === Unlocked /dev/loop6 as /dev/dm-0.

   1 2 3 4 5 6 7 8 9

   $ udisksctl unlock -b /dev/loop6 Passphrase: ==== AUTHENTICATING FOR org.freedesktop.udisks2.encrypted-unlock === Authentication is required to unlock the encrypted device /dev/loop6 Authenticating as: Play-PC (play_pc) Password: ==== AUTHENTICATION COMPLETE === Unlocked /dev/loop6 as /dev/dm-0.

3. 掛載 LUKS 裝置：

   udisksctl mount -b /dev/dm-X # 請將 dm-X 替換成上一步的輸出

   1 2	udisksctl mount -b /dev/dm-X   # 請將 dm-X 替換成上一步的輸出

   範例輸出：

   $ udisksctl mount -b /dev/dm-0 ==== AUTHENTICATING FOR org.freedesktop.udisks2.filesystem-mount === Authentication is required to mount /dev/mapper/luks-4043126f-f97e-4cbb-adba-eac50c0c4d06 Authenticating as: Play-PC (play_pc) Password: ==== AUTHENTICATION COMPLETE === Mounted /dev/dm-0 at /media/play_pc/322266d8-a9a1-4a70-b95b-7cacdb25e8f7.

   1 2 3 4 5 6 7 8

   $ udisksctl mount -b /dev/dm-0   ==== AUTHENTICATING FOR org.freedesktop.udisks2.filesystem-mount === Authentication is required to mount /dev/mapper/luks-4043126f-f97e-4cbb-adba-eac50c0c4d06 Authenticating as: Play-PC (play_pc) Password: ==== AUTHENTICATION COMPLETE === Mounted /dev/dm-0 at /media/play_pc/322266d8-a9a1-4a70-b95b-7cacdb25e8f7.

   成功！

   $ df -h Filesystem Size Used Avail Use% Mounted on /dev/dm-0 9.8G 37M 9.3G 1% /media/play_pc/322266d8-a9a1-4a70-b95b-7cacdb25e8f7 ...略...

   1 2 3 4 5

   $ df -h Filesystem      Size  Used Avail Use% Mounted on /dev/dm-0       9.8G   37M  9.3G   1% /media/play_pc/322266d8-a9a1-4a70-b95b-7cacdb25e8f7 ...略...

4. 卸載：

   怎麼來的，就怎麼回去！

   udisksctl unmount -b /dev/dm-X # 卸載檔案系統，請將 dm-X 替換成第 2 步的輸出 udisksctl lock -b /dev/loopX # 鎖住裝置，請將 loopX 替換成第 2 步的輸出 udisksctl loop-delete -b /dev/loopX # 解除 loop 裝置（磁碟映像檔），請將 loopX 替換成第 2 步的輸出

   1 2 3 4

   udisksctl unmount -b /dev/dm-X         # 卸載檔案系統，請將 dm-X 替換成第 2 步的輸出 udisksctl lock -b /dev/loopX           # 鎖住裝置，請將 loopX 替換成第 2 步的輸出 udisksctl loop-delete -b /dev/loopX    # 解除 loop 裝置（磁碟映像檔），請將 loopX 替換成第 2 步的輸出

   範例輸出：

   $ udisksctl unmount -b /dev/dm-0 Unmounted /dev/dm-0. $ udisksctl lock -b /dev/loop6 Locked /dev/loop6. $ udisksctl loop-delete -b /dev/loop6

   1 2 3 4 5 6 7 8

   $ udisksctl unmount -b /dev/dm-0 Unmounted /dev/dm-0.   $ udisksctl lock -b /dev/loop6 Locked /dev/loop6.   $ udisksctl loop-delete -b /dev/loop6

找不到指令 cryptsetup

如果你安裝的是桌面/圖形界面版的 Ubuntu，預設情形下可能不會安裝它，請手動安裝：

找不到指令 udisksctl

如果你安裝的是伺服器/文字界面版的 Ubuntu，預設情形下可能不會安裝它，請手動安裝：

Q: 如何確認 loop 裝置已經被解除

A: 可以使用 udisksctl 提供的 info 功能，如果有裝置的話才會有 IdUUID 等訊息（以下是有的情況）

參考資料

• How to create an encrypted LUKS disk image – Shaakunthala’s Miniblog

  • 這篇筆記很大一部份是參考這篇文章的步驟做的，不過有些指令改成自己習慣的形式

• How to mount an image file without root permission? – Unix & Linux Stack Exchange

  • 解釋了如何使用 udisksctl 設定 loop 裝置

• Mount encrypted volumes from command line? – Ask Ubuntu

  • 解釋了如何使用 udisksctl 開啟 LUKS 裝置

後記

時至今日，多數的智慧型手機都已經預設開啟全磁碟加密，相信有些人也會開始轉換桌面系統到這樣的環境之中，提前開始習慣這樣的使用情境。我也不例外，畢竟物理安全對帶著走的裝置（e.g. 筆電）是不可能達成的目標，我可不想有一天需要重視資料安全的時候才開始發現，原來許多舊的習慣是行不通的。