4、选择加密后的文件系统格式
由于我们将加密磁盘用于Linux系统的,因此选择Linux Ext4
Filesystem:
1) None
2) FAT
3) Linux Ext2
4) Linux Ext3
5) Linux Ext4
6) NTFS
7) exFAT
Select [2]: 5
5、输入密码
Enter password:
WARNING: Short passwords are easy to crack using brute force techniques!
We recommend choosing a password consisting of 20 or more characters. Are you sure you want to use a short password? (y=Yes/n=No) [No]: yes
Re-enter password:
由于我这里用于演示的密码太短,系统提示我当前密码很容易被暴力破解,建议使用20个字符以上的密码,是否还要使用当前密码。这里输入yes 接着系统会让你再次输入一次密码:Re-enter password:
6、输入PIM
接下来系统会让你输入PIM。
Enter PIM:
这个PIM是什么?我上网查了一下,就是Personal Iterations Multiplier”的缩写。通俗地说就是:你可以自定义“加密盘的头部密钥生成时的迭代次数”。这个“迭代次数”越大,计算头部密钥的时间就越长,因此挂载加密盘的过程就越慢;表面上看,这是一个缺点。但其好处在于:如果某个攻击者想要采用暴力破解的方式对“头部”进行穷举解密,每次一次尝试也同样需要花很长时间(同样要迭代 N 次)。所以,当 N 足够大,暴力破解就变得不可行。 如果你设置的密码过于简短,那么 VeraCrypt 会强制让你输入一个比较大的 PIM 数值(大于 485)。 如果你创建加密盘的时候,指定了 PIM 数值,那么在挂载的时候,需要输入【相同的】PIM 数值。 如果输入的数值与创建时指定的 PIM 数值不一致,则挂载失败。 这里我们直接回车就可以.
7、输入keyfile
接下来,指定keyfile
Enter keyfile path [none]:
这里我们先不指定,所以直接回车。
8、输入320个随机字符
在键盘上随意输入字符,如果不知道输入的数量够不够,可以回车,向导就会提示你还剩多少个字符没有输入了:
Please type at least 320 randomly chosen characters and then press Enter:
Characters remaining: 277
Characters remaining: 172
Characters remaining: 88
Characters remaining: 31
当输入的随机字符数量符合要求后,向导就开始创建加密盘了:
Done: 9.946% Speed: 89 MB/s Left: 81 s
全部完成后会有如下提示
Done: 100.000% Speed: 88 MB/s Left: 0 s
The VeraCrypt volume has been successfully created.
(二)挂载加密磁盘
1、挂载加密磁盘
挂载由veracrypt加密的磁盘和挂载普通磁盘的命令不一样,不能使用mount。 在未挂载前使用fdisk -l命令查看的话,磁盘还是没有分区和格式化的状态:
Disk /dev/sdb: 8589 MB, 8589934592 bytes
255 heads, 63 sectors/track, 1044 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x330ad122在这种状态下是没有办法使用mount命令的。
正确的方法是使用命令 veracrypt /dev/sdb /mnt:
[root@localhost src]# veracrypt /dev/sdb /mnt
Enter password for /dev/sdb:
Enter PIM for /dev/sdb:
Enter keyfile [none]:
Protect hidden volume (if any)? (y=Yes/n=No) [No]:这时系统会提示是输入加密磁盘时预留的密码,后三项可以直接回车略过。
2、查看磁盘挂载情况
这里再使用fdisk -l命令查看的话,在原来的磁盘/dev/sda、/dev/sdb的基础上会多出一个/dev/mapper/veracrypt1磁盘,这就是挂载上来加密磁盘:
Disk /dev/mapper/veracrypt1: 8589 MB, 8589672448 bytes
255 heads, 63 sectors/track, 1044 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00000000
使用 df -h命令查看可以看到/dev/mapper/veracrypt1已经挂载到/mnt目录上了。
[root@localhost src]# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/sda3 47G 1001M 43G 3% /
tmpfs 939M 0 939M 0% /dev/shm
/dev/sda1 976M 80M 845M 9% /boot
/dev/mapper/veracrypt1
7.8G 18M 7.4G 1% /mnt3、尝试访问和写入文件
3、尝试访问和写入文件
[root@localhost src]# cd /mnt
[root@localhost mnt]# ll
总用量 16
drwx------. 2 root root 16384 2月 6 21:35 lost+found
[root@localhost mnt]# touch 1.txt
[root@localhost mnt]# ll
总用量 16
-rw-r--r--. 1 root root 0 2月 6 21:48 1.txt
drwx------. 2 root root 16384 2月 6 21:35 lost+found
[root@localhost mnt]# echo "text" >2.txt
[root@localhost mnt]# ll
总用量 20
-rw-r--r--. 1 root root 0 2月 6 21:48 1.txt
-rw-r--r--. 1 root root 5 2月 6 21:49 2.txt
drwx------. 2 root root 16384 2月 6 21:35 lost+found
没有问题,挂载成功。
(三)卸载加密硬磁盘
既然挂载加密磁盘有专用的命令,那么卸载加密磁盘也一定有专用的命令:
veracrypt -d /mnt
如果要卸载系统中挂载的全部veracrypt加密磁盘,则使用:
veracrypt -d
不指定挂载目录即可。 再次查看系统中已经挂载的磁盘:
[root@localhost ~]# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/sda3 47G 1001M 43G 3% /
tmpfs 939M 0 939M 0% /dev/shm
/dev/sda1 976M 80M 845M 9% /boot
veracrypt加密磁盘已经被卸载掉了。
