Linux的eCryptFs简介
eCryptfs的站点为:
https://launchpad.net/ecryptfs
eCryptfs从Erez Zadok开发的Cryptfs发展而来的,
通过FiST框架生成一个堆栈式文件系统.
eCryptfs提供高级密钥管理和策略管理。
eCrypt把加密元数据存放在加密文件的头部,因此加密文件可以在不同存储之间拷贝,
而不要其它附加信息.
eCryptfs加密文件系统是建立在已存在文件系统上的Stack,
它处理数据的加解密,对于应用程序来说是透明的.
eCryptfs利用了
Linux内核的密钥环服务,
内核加密API,
Linux可插入认证模块(Pluggalbe Authentication Modules,简称PAM)
可信平台模块(Trusted Platform Module,简称TPM)
GnuPG密钥环,
给终端用户提供最好的认证服务.
eCryptfs加密文件系统把加密元数据存放在加密文件的头部,加密元数据信息由具体加密策略来
设置.
当eCryptfs对目标机器的单个文件操作时,策略文件定义了它的行为,
用户并不要关心这些.
通过使用TPM(Trusted Platform Module),eCryptfs加密文件系统可以把一系统文件绑定到一个特殊的主机上,
媒体不能与含有TPM芯片的主机分开,文件的会话密钥是可以提取的.
由于加密元数据与文件放在一起,因此,加密文件可以像普通文件一样进行备份.
允许加密文件在可信域之间传递,并让有合适的信任值的进程有能力访问这些文件.
由于加解密在VFS(虚拟文件系统)层发生,加解密对进程来说是透明的,
应用层并不知道加解密的发生.
eCryptfs利用各种用户空间工具进行密钥管理,
内核模块使用内核加密API进行文件内容块的加密.
eCryptfs挂接在低层文件系统的目录上,符合POSIX规则的文件系统
都可以作为它的低层文件系统,如EXT3,EXT2,JFS等文件系统.
(1)挂接eCryptfs文件系统
创建用于eCryptfs写加密文件系统的目录,如:/root/crypt
接着,创建目录挂接点,如:/mnt/crypt,
再用命令mount将目录/root/crypt挂接到挂接点/mnt/crypt
方法如下:
Mount -t ecryptfs /root/crypt /mnt/crypt
运行上面命令时,,会弹出提示要求用户输入密码和盐值,其值是可选的.
2)创建测试文件
尝试创建一个新文件,方法如下:
$echo "Test eCryptfs " > /mnt/crypt/test.txt