DigitalOcean是我們熟悉的一家美國云主機服務(wù)器商，產(chǎn)品整體性能優(yōu)越，而且采用SSD硬盤存儲，支持按小時計費模式，因而備受國內(nèi)站長歡迎。DigitalOcean Volumes是可擴展的，基于SSD的塊存儲設(shè)備。卷使您可以創(chuàng)建和擴展基礎(chǔ)結(jié)構(gòu)的存儲容量，而無需調(diào)整Droplet的大小。Volumes在靜止?fàn)顟B(tài)下被加密，這意味著卷上的數(shù)據(jù)在其存儲群集之外無法讀取。將Volumes附加到Droplet時，Droplet會顯示一個解密的塊存儲設(shè)備，并且所有數(shù)據(jù)都通過隔離的網(wǎng)絡(luò)傳輸。

創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),陸河企業(yè)網(wǎng)站建設(shè),陸河品牌網(wǎng)站建設(shè),網(wǎng)站定制,陸河網(wǎng)站建設(shè)報價,網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,陸河網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力。可充分滿足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

為了提高安全性，您還可以在Volume 的LUKS加密磁盤中創(chuàng)建文件系統(tǒng)。這意味著磁盤將需要由Droplet上的操作系統(tǒng)解密才能讀取任何數(shù)據(jù)。下面就給大家簡單介紹下如何在DigitalOcean塊存儲上創(chuàng)建加密的文件系統(tǒng)，僅供大家參考。

一、創(chuàng)建加密磁盤

cryptsetup是一個實用程序，用于管理其他加密格式之外的LUKS卷。首先，用于cryptsetup初始化卷上的加密磁盤。

sudo cryptsetup -y -v luksFormat /dev/disk/by-id/scsi-0DO_Volume_volume-lon1-01

確保volume-lon1-01用Volume的名稱替換。-y當(dāng)系統(tǒng)提示您創(chuàng)建密碼時，該標(biāo)志將要求您輸入兩次密碼。該-v標(biāo)志添加了其他人類可讀的輸出，以驗證命令是否成功。

輸出將要求您確認(rèn)覆蓋卷上的數(shù)據(jù)。鍵入YES全部大寫，然后按ENTER繼續(xù)。

Output

WARNING!

========

This will overwrite data on /dev/disk/by-id/scsi-0DO_Volume_volume-lon1-01 irrevocably.

Are you sure? (Type uppercase yes): YES

接下來，輸出將提示您為加密磁盤創(chuàng)建密碼。輸入一個唯一的強密碼短語，然后再次輸入以進行驗證。此密碼無法恢復(fù)，因此請將其保存在安全的地方。

Output

. . .

Enter passphrase:

Verify passphrase:

Command successful.

如果需要，將來可以使用cryptsetup luksChangeKey命令更改此密碼。您還可以使用最多為每個設(shè)備添加8個其他密碼短語cryptsetup luksAddKey。

此時，您的磁盤已創(chuàng)建并加密。接下來，將其解密并將其映射到標(biāo)簽以便于引用。在這里，我們將其標(biāo)記為secure-volume，但是您可以使用任何喜歡的標(biāo)記它。

sudo cryptsetup luksOpen /dev/disk/by-id/scsi-0DO_Volume_volume-lon1-01 secure-volume

系統(tǒng)將提示您輸入密碼。輸入后，卷現(xiàn)在將映射到/dev/mapper/secure-volume。

為確保一切正常，請驗證加密磁盤的詳細(xì)信息。

cryptsetup status secure-volume

您將看到這樣的輸出，指示“卷”標(biāo)簽和類型。

Output

/dev/mapper/secure-volume is active.

type: LUKS1

cipher: aes-xts-plain64

keysize: 256 bits

device: /dev/sda

offset: 4096 sectors

size: 209711104 sectors

mode: read/write

此時，您具有受密碼保護的加密磁盤。下一步是在該磁盤上創(chuàng)建文件系統(tǒng)，以便操作系統(tǒng)可以使用它來存儲文件。

二、創(chuàng)建和掛載文件系統(tǒng)

首先讓我們看一下Droplet上的當(dāng)前可用磁盤空間。

df -h

您將看到類似于此的輸出，具體取決于您的Droplet配置：

Output

Filesystem Size Used Avail Use% Mounted on

udev 2.0G 0 2.0G 0% /dev

tmpfs 396M 5.6M 390M 2% /run

/dev/vda1 78G 877M 77G 2% /

tmpfs 2.0G 0 2.0G 0% /dev/shm

tmpfs 5.0M 0 5.0M 0% /run/lock

tmpfs 2.0G 0 2.0G 0% /sys/fs/cgroup

/dev/vda15 105M 3.4M 101M 4% /boot/efi

tmpfs 396M 0 396M 0% /run/user/1000

目前，由于Droplet尚無法訪問該卷，因此未顯示在此列表上。為了使其可訪問，我們需要創(chuàng)建并掛載文件系統(tǒng)。/dev/mapper/secure-volume

使用mkfs.xfs實用程序(中號一個? ? ?F ILE 小號 ystem)來創(chuàng)建一個XFS在卷上的文件系統(tǒng)。

sudo mkfs.xfs /dev/mapper/secure-volume

創(chuàng)建文件系統(tǒng)后，您可以掛載它，這意味著可以在Droplet上將其提供給操作系統(tǒng)使用。

創(chuàng)建一個掛載點，將文件系統(tǒng)附加到該掛載點。掛載點的一個很好的建議是該目錄中有一個空/mnt目錄，因此我們將使用。/mnt/secure

sudo mkdir /mnt/secure

然后掛載文件系統(tǒng)。

sudo mount /dev/mapper/secure-volume /mnt/secure

為確保其正常工作，請再次檢查Droplet上的可用磁盤空間。

df -h

現(xiàn)在，您會看到列出的內(nèi)容。/dev/mapper/secure-volume

Output

Filesystem Size Used Avail Use% Mounted on

udev 2.0G 0 2.0G 0% /dev

tmpfs 396M 5.6M 390M 2% /run

/dev/vda1 78G 877M 77G 2% /

tmpfs 2.0G 0 2.0G 0% /dev/shm

tmpfs 5.0M 0 5.0M 0% /run/lock

tmpfs 2.0G 0 2.0G 0% /sys/fs/cgroup

/dev/vda15 105M 3.4M 101M 4% /boot/efi

tmpfs 396M 0 396M 0% /run/user/1000

/dev/mapper/secure-volume 100G 33M 100G 1% /mnt/secure

這意味著您的加密文件系統(tǒng)已連接并可以使用。

當(dāng)不再需要訪問卷上的數(shù)據(jù)時，可以卸載文件系統(tǒng)并鎖定加密的磁盤。

sudo umount /mnt/secure

sudo cryptsetup luksClose secure-volume

您可以驗證df -h文件系統(tǒng)不再可用。為了使卷上的數(shù)據(jù)再次可訪問，您將執(zhí)行以下步驟來打開磁盤(cryptsetup luksOpen …)，創(chuàng)建安裝點并安裝文件系統(tǒng)。

為了避免每次要使用Volume時都要執(zhí)行此手動過程，可以將文件系統(tǒng)配置為在Droplet引導(dǎo)時自動掛載。

三、在啟動時自動掛載文件系統(tǒng)

加密的磁盤最多可以具有8個密碼短語。在最后一步中，我們將創(chuàng)建一個密鑰并將其添加為密碼短語，然后使用該密鑰來配置要在Droplet引導(dǎo)時解密和裝入的Volume。

在創(chuàng)建密鑰文件/root/.secure_key。此命令將創(chuàng)建一個具有隨機內(nèi)容的4 KB文件：

sudo dd if=/dev/urandom of=/root/.secure-key bs=1024 count=4

調(diào)整此密鑰文件的權(quán)限，以便只有root用戶才能讀取。

sudo chmod 0400 /root/.secure-key

然后將密鑰添加為加密磁盤的密碼。

cryptsetup luksAddKey /dev/disk/by-id/scsi-0DO_Volume_volume-lon1-01 /root/.secure-key

系統(tǒng)會提示您輸入密碼。您可以輸入首次創(chuàng)建加密磁盤時設(shè)置的磁盤。

/etc/crypttab是一個配置文件，用于定義要在系統(tǒng)啟動時設(shè)置的加密磁盤。使用nano或您喜歡的文本編輯器打開此文件。

sudo nano /etc/crypttab

將以下行添加到文件底部以在啟動時映射卷。

/ etc / crypttab

. . .

secure-volume /dev/disk/by-id/scsi-0DO_Volume_volume-lon1-01 /root/.secure-key luks

中的行格式/etc/crypttab為device_name device_path key_path options。在這里，設(shè)備名稱為secure-volume(或您選擇的名稱)，路徑為，密鑰文件是我們剛剛在創(chuàng)建的，而選項指定加密。/dev/disk/by-id/…/root/.secure_keyluks

保存并關(guān)閉文件。

/etc/fstab是用于自動安裝的配置文件。打開此文件進行編輯。

sudo nano /etc/fstab

在文件底部添加以下行，以在引導(dǎo)時自動掛載磁盤。

/ etc / fstab

. . .

/dev/mapper/secure-volume /mnt/secure xfs defaults,nofail 0 0

行中的前三個參數(shù)/etc/fstab始終為device_path mount_point file_system_type。在這里，我們具有與步驟2相同的設(shè)備路徑和安裝點，并且指定了XFS文件系統(tǒng)。您可以在fstab的手冊頁(man fstab)中了解其他字段。

保存并關(guān)閉文件。現(xiàn)在，將您的加密文件系統(tǒng)設(shè)置為在Droplet引導(dǎo)時自動安裝。您可以通過重新啟動Droplet來進行測試，但請謹(jǐn)慎使用任何正在運行的服務(wù)。

默認(rèn)情況下，DigitalOcean卷未連接到Droplet時將被加密。在本教程中，您通過將文件系統(tǒng)放在Volume上的加密磁盤中添加了附加的安全層。您可以創(chuàng)建加密的磁盤，向其添加密碼，然后手動或自動掛載以在Droplet中使用。

本文由美國主機偵探(www.idcspy.com)原創(chuàng)，轉(zhuǎn)載請注明！

當(dāng)前題目：DigitalOcean塊存儲上創(chuàng)建加密的文件系統(tǒng)教程
網(wǎng)頁網(wǎng)址：http://chinadenli.net/article4/cjigoe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站收錄、自適應(yīng)網(wǎng)站、移動網(wǎng)站建設(shè)、Google、微信小程序、品牌網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)