介绍加密虚拟机管理程序上的文件系统的一些方法

加密虚拟机管理程序上的文件系统可保护静态数据,保证其他人无法访问该数据。本文将展示可用于加密 ">SmartCloud Enterprise 上的 Guest 镜像中的数据的一些技术和应用程序。文中将介绍如何加密一个存储单元(持久存储)和如何加密主目录。本文将逐步介绍这些场景:

使用 dm-crypt 加密 Linux 上的存储单元。dm-crypt 是 Linux 内核中一个透明的
磁盘加密子系统。它是一个设备映射器,提供了透明的块设备加密功能。可在 dm-crypt 上透明地使用一个文件系统,甚至原始数据类型也可使用它。 使用 Windows 加密文件系统 (EFS) 加密 Windows® 上的存储单元。Windows EFS 可透明地加密每个文件、每个目录或每个驱动器上的数据。因此,它也适用于持久存储,作为一种加密技术来加密 Windows 映像内部的数据。 使用 Enterprise Cryptographic Filesystem (eCryptfs) 加密 Linux 上的主目录。eCryptfs 在文件系统之上工作,这使您能够专门加密主目录中的数据。这是一项附加优势,因为 SmartCloud Enterprise 没有加密引导卷的工具。通过加密一个主目录,可以让一些合理的安全机制来填补这一空白。

在开始之前,请注意,对于大多数加密技术,如果您丢失加密密钥且启用了加密,那么数据基本上就已丢失。请小心。

加密一个存储单元

我们首先看看存储单元加密。在 Linux 和 Windows 上,设置存储单元加密的基本步骤包括:

安装文件系统加密工具。 准备目标存储单元。 加密存储单元。 在加密的存储单元上格式化新文件系统。 挂载加密的文件系统供使用。

在 Red Hat 和 SUSE 上使用 dm-crypt 加密存储单元

我们看看加密附加到一个在 SmartCloud Enterprise 上运行的 Linux 虚拟机的持久存储单元的步骤。dm-crypt 支持 Linux 支持的所有文件系统,包括 RAW 类型,但不包括网络文件系统。支持的 dm-crypt 密码列表可在 /proc/ciphers 下找到。最好使用高级加密标准 (AES)。

Red Hat Enterprise Linux 和 SUSE Linux Enterprise Server 上的步骤相同。在 SmartCloud Enterprise 控制台上配置实例时,会附加存储单元。默认的挂载点为 /data。

大多数命令都需要 root 用户特权,
所以启动一个 root shell。 $ sudo sh 安装 dm-crypt 实用程序。该实用程序应已包含在基本映像中。 $ sudo sh $ yum install cryptsetup cryptsetup-luks 您需要知道希望加密的存储单元的名称。要找到它,可查看您在 /data 挂载点或在创建实例时指定的自定义挂载点上挂载的分区的 /etc/fstab 文件。在我们的示例中,存储单元的名称为 /dev/vdc1。 $ cat /etc/fstab/dev/vdc1 /data ext3 defaults 0 0 准备用于加密的附加存储单元。我们建议在加密之前对驱动器执行安全擦除,
然后必须卸载存储单元。请注意,许多高度隐私的组织没有
遵循这种安全删除方法;在使用存储设备时应考虑好备用方法。 $ cat /dev/urandom > /dev/vdc1$ umount /data$ chmod 000 /data 使用 ecryptfs 包所提供的 cryptsetup 命令来初始化存储设备上的 Linux Unified Key Setup (LUKS) 格式。系统会提示您输入一个密码,必须牢记这个密码。请注意,LUK S 格式将会销毁目标上的所有数据。 $ /sbin/cryptsetup luksFormat /dev/vdc1WARNING!========This will overwrite data on /dev/vdc1 irrevocably.Are you sure? (Type uppercase yes): YESEnter LUKS passphrase:Verify passphrase:Command successful. 使用 cryptsetup 命令打开加密的存储设备。luksOpen 后的第一个参数是加密的存储单元的名称。第二个参数是您希望分配给打开的设备的名称。您会被提示输入在第 4 步中指定的密码。 $ /sbin/cryptsetup luksOpen /dev/vdc1 crypt-vdc1Enter LUKS passphrase for /dev/vdc1:key slot 0 unlocked.Command successful. 格式化文件系统,使其便于使用。您需要引用在第 5 步中指定的名称。 $ /sbin/mkfs.ext3 /dev/mapper/crypt-vdc1 挂载新加密的存储单元并安全地存储您的静态数据。在本例中,将它挂载到原始挂载点 /data。 $ mount /dev/mapper/crypt-vdc1 /data 请记住,在不使用加密的数据时,要卸载存储单元并关闭加密的设备。 $ umount /data$ /sbin/cryptsetup luksClose crypt-vdc1

可使用 luksOpen 和 mount 命令再次打开并挂载它。

如果希望删除您的存储设备所附加到的实例,然后将存储设备重新附加到一个新实例,该怎么做?您可以使用 luksOpen 和 mount 命令,使用相同的设备名称 (/dev/vdc1) 按上述方法挂载加密的设备。

要删除加密的分区并将存储设备还原为原始状态,可在它打开并挂载后运行以下命令:

$ /sbin/cryptsetup remove crypt-vdc1$ /sbin/mkfs.ext3 /dev/vdc1

时间: 2024-10-31 17:31:40

介绍加密虚拟机管理程序上的文件系统的一些方法的相关文章

在Apache上隐藏服务器签名的方法

  这篇文章主要介绍了在Apache上隐藏服务器签名的方法,示例基于Debian系的Linux,需要的朋友可以参考下 透露网站服务器带有服务器/PHP版本信息的签名会带来安全隐患,因为你基本上将你系统上的已知漏洞告诉给了攻击者.因此,作为服务器加固的一个部分,强烈推荐你禁用所有网站服务器签名. 禁用Apache网站服务器签名 禁用Apache网站服务器签名可以通过编辑Apache配置文件来实现. 在Debian,Ubunt或者Linux Mint上: ? 1 $ sudo vi /etc/apa

虚拟机VMWARE上ORACLE License 的计算

Oracle License的计算有两种方式:按照用户数和CPU个数. 其中按CPU计算方式如下: License Number = The Number of CPU Cores  *  Core Factor 其中Core Factor 可以参考官方文档 Oracle Processor Core Factor . 如 果Oracle 安装在VMWARE 上,是否也是按照这个方式计算呢? 也就是说,在虚拟机VMWARE上Oracle的License计算是否也是按照分配CPU核数来计算的呢?

6月:Xen虚拟机管理程序将迎来非破坏性升级机制

ZD至顶网服务器频道 04月29日 新闻消息: Xen项目即将为自身虚拟机管理程序引入非破坏性升级机制,而作为载体的4.7版本预计将在2016年6月3号推出.   这一具体日期可能最终有所波动,这是因为最初定于4月1号完成的功能冻结机制延后了一周,旨在为各位贡献者留出享受复活节的时间. 不过根据我们得到的消息,新版本将囊括一套名为xSplice的子项目,能够为其带来非破坏性补丁安装机制,从而帮助用户在无需重启虚拟机的前提下对虚拟机管理程序进行修复. 我们甚至了解到某个新版本的候选方案已经将xSp

VMware Workstation如何创建加密虚拟机_VMware

用户需要输入解密密码才能访问已加密的虚拟机.没有解密密码,就无法访问加密虚拟机的VMDK文件.VMware Workstation加密位于物理计算硬件的启动密码之上.如果是物理计算机,你可以轻松地取出它的硬盘然后安装在任意一个位置就能访问硬盘上的数据. VMware Workstation的加密特性能够防止非授权用户访问虚拟机的敏感数据.本文带你了解采用Workstation加密技术对虚拟机访问进行控制的配置及其局限性. 加密为虚拟机提供了保护,限制了用户对虚拟机的修改.在生产环境中,你不希望在

苹果Mac虚拟机安装Win7系统的三种方法介绍

  苹果Mac虚拟机安装Win7系统的三种方法介绍          解决方法一: 1.我们这里以免费的虚拟机Virtual Box为例; 2.启动 Virtual Box 以后,点击窗口左上角的"新建"按钮; 3.接下来为虚拟取一个名称,可随意取.系统类型保持不变,版本在下拉列表中选择 Windows 7.点击"继续"按钮; 注:如果你安装的是 Windows 64 系统的话,在下拉列表中选择时,请选择 Windows 7 (64 bit). 4.然后为虚拟机分配

图片-Selenium在远程虚拟机win7x64上截图

问题描述 Selenium在远程虚拟机win7x64上截图 点解?,Selenium在远程虚拟机win7x64上截图,当我未登录时截图都是一张黑的图片.登录之后截图才显示彩色. 解决方案 没登陆,没有进入当前桌面,用户session等,所以可能会截图拿不到数据

【技术贴】虚拟机网络上有重名的解决|虚拟机Net模式提示有重名

虚拟机网络上有重名的解决|虚拟机Net模式提示有重名   装了vmware 新建---添加一台已经存在的虚拟机,添加完成后总是提示网络上有重名,修改了计算机名后还是没解决,百度一下,也有不少人遇到同样的问题.    原来是因为VPC虚拟机里启用了"NAT共享连接",在配置TCP/IP协议属性时出现Internet命名服务出现的重名问题,所以会出现这种错误提示.    解决办法:禁用NetBIOS    进入虚拟机,在"网上邻居"上点击右键,选择"属性&qu

关于3DES加密,直接上代码求指点

问题描述 关于3DES加密,直接上代码求指点 public static byte[] encryptMode(byte[] keybyte, byte[] src){ try { // SecretKey deskey = new SecretKeySpec(keybyte, Algorithm);; String deskey = "abcdabcd"; Cipher c1 = Cipher.getInstance(Algorithm); c1.init(Cipher.ENCRYP

oracle11g-在虚拟机linux上oracle数据库不能连接

问题描述 在虚拟机linux上oracle数据库不能连接 可能是在虚拟机上删除了个表空间,造成数据库一直不能打开. linux上命令行显示这样: cannot identify/lock data file 6 - see DBWR trace file data file 6 : 'home/oracle/j04.dbs' 求大师解决下!谢谢.