如何在Linux系统上加密文件和目录

文件系统级别加密

EncFS：尝试加密的最简单方式之一。EncFS工作在基于FUSE的伪文件系统上，所以你只需要创建一个加密文件夹并将它挂载到某个文件夹就可以工作了。

eCryptFS：一个POSIX兼容的加密文件系统，eCryptFS工作方式和EncFS相同，所以你必须挂载它。

磁盘级别加密

Loop-AES：最古老的磁盘加密方法。它真的很快，并且适用于旧系统(如，2.0内核分支)。

DMCrypt：最常见的磁盘加密方案，支持现代Linux内核。

CipherShed：已停止的TrueCrypt磁盘加密程序的一个开源分支。

合力天下LINUX防泄密系统概述

Linux具有天生秉承的优势，越来越多的企业转向了Linux的开发和应用。使用Linux *** 作系统的单位多数都拥有自主知识产权，如果有丝毫的泄露，都会造成巨大的损失。 基于多年的数据防泄漏防护经验，北京合力天下数码信息技术有限公司自主研发了一套运行在Linux平台环境下，防止Linux系统中自主知识产权泄密的产品。该系统在不改变用户使用习惯、计算机文件格式和编译程序的情况下，对指定类型的代码文件进行实时、透明的加解密。所有通过非法途径获得的数据，都将以乱码文件形式表现。

合力天下LINUX防泄密系统是一款功能强大且易于使用的LINUX文档加密软件产品，该系统采用“驱动层AES智能透明加密技术”对指定类型的文件进行实时、强制、透明的加解密。在正常使用时，计算机内存中的文件是以受保护的明文形式存放，但硬盘上保存的数据却处于加密状态，如果没有合法的使用身份、访问权限和正确的安全通道，所有加密文件都将以密文状态保存。

合力天下LINUX防泄密系统稳定可靠，并且具备良好的可扩展性，能同时满足企业其它应用系统文档加密需求，有效防止数据丢失或泄露，有助于更深入、更全面地实施数据保护，从而确保企业机密数据的高度安全。

合力天下LINUX防泄密系统产品架构

合力天下LINUX防泄密系统采用控制台/服务器/代理（B/S/C）体系：服务器（Server）、客户端代理（Agent）和控制台（Management Console）三部分组成。

M/S/A三部分相互协调工作：管理员通过控制台的WEB浏览器制订灵活的安全策略；安全策略被保存在服务器上；终端计算机上安装的代理主动连接服务器；接收到网络连接后，服务器把制订好的策略下发到该终端计算机；终端计算机代理的安全引擎执行安全策略，进行安全控制。

合力天下LINUX防泄密系统部署模式

合力天下LINUX防泄密系统功能特点

一　驱动层透明加密

针对研发单位，可对JAVA、C、C++ 等各种源代码文件进行透明加密保护；

针对手机、电子书等版权单位，可针对任何需要保护其版权的文档类型进行透明加密保护；

针对办公环境，可对任何文件类型加密。

二　编译加密源代码

针对研发单位，加密的源代码文档无需解密为明文，可直接通过编译进程进行编译。

编译后的Image文件是明文，便于产品的测试与分发。

三　网络通信安全隧道

加密文档(如源代码)需要通过文档版本管理软件(如CVS\SVN\GIT)通过网络或文件系统进行集中备份与共享。加密文件系统提供网络安全隧道功能，保护网络通信中的加密文件。

如加密文件需要保存到服务器上，既可以密文存储到服务器上也可以明文存储到服务器上。

如明文存储到服务器上，加密系统的网络安全隧道可与合力天下LINUX防泄密系统服务器数据保护网关联动，实现加密文档在上传到服务器网关自动解密，下载文件时网关自动加密。如此既保障了文档的可靠性、可用性，又保障文档的安全性。

四　进程合法性验证

对进程进行签名认证，验证通过的进程，才是合法进程，才能对加密文件行读写 *** 作。

任何伪造进程的方式都无法读写加密文档。如更改进程名称、SVN多种协议读写加密文件等都无法解密文件。

五　自身安全强保护

系统具有自我保护能力，在自身受到破坏不完整时整个系统依然能够保障数据的安全性。

粘贴/拷贝控制

系统具有防粘贴拷贝能力，不可信进程可以拷贝任何数据到可信进程；但可信进程不允许拷贝数据到任何其它进程，有效防止数据的泄露。

六　文件批量加密

可对明文文件批量加密，针对开源的文件很方便的合并到工程里面。

批量加密流程具有保护机制，防止已经加密的文件再次加密，造成文件的损坏。

七　可离线工作

离线即客户端网络连接不上加密服务器所处的状态，如外出办公等。

加密系统支持离线办公，离线的安全策略为最近一次在线时的文件加密策略。

八　与Windows加密系统兼容

Linux加密系统与Windows加密系统相互兼容：Windows加密的文件在Linux下能够 *** 作，在Linux加密的文件在Windows下能够 *** 作。

合力天下linux防泄密系统加密规则

1.不可信进程规则

不可信进程创建、编辑的文件都是明文文件。

不可信进程读取的加密文件是乱码，不可以使用。

2.可信进程规则

可信进程创建符合加密规则的文件是加密的文件。

可信进程可以透明读写编辑加密文件。

原不加密但符合加密规则文件，一但可信进程进行了编辑，则原文件成为加密文件。

可信进程在未创建、读写加密文件前，创建不符合加密规则的文件是明文的。

可信进程在未创建、读写加密文件前，可以任意编辑明文文件，该文件不被加密。

可信进程一旦创建、编辑了加密文件，则后续创建、编辑的所有文件都是加密的。

3.进程间拷贝粘贴规则

可以自由的从不可信进程中粘贴拷贝文字到可信进程。

可以自由的从不可信进程中粘贴拷贝文字到不可信进程。

可信进程的文字拷贝受到安全保护，禁止随意拷贝文字。

4.编译器进程规则

编译器创建的二进制文件是明文的，可以随意烧到嵌入式设备中。

5.离线加密规则

支持离线文档加密。

离线规则为最近一次上线的文档加密规则。

6.文件批量加密

支持文件批量代码加密转化。

已经加密的文件不会被二次加密。

合力天下LINUX防泄密系统功能表

BIOS ——》 MBR（主引导记录，找到系统在哪个分区） ——》 boot loader（grub） ——》kernel（内核）——》进入启动级别init

硬盘的最小读取单位是一个扇区，一个扇区大小是512字节

查看 *** 作系统的版本：cat /etc/redhat-release

查看内核版本：uname -r

查看内核信息：uname -a

系统的启动级别：

init 0：关机

init 1：单用户模式，只能root用户登录的模式，可以直接跳过密码

init 2：多用户模式，但是没有NFS（network filesystem），即无网络模式

init 3：完全多用户模式，也是命令行模式

init 4：安全模式，一般开发者调试使用

init 5：图形模式

init 6：重启

更改系统启动级别：

vim /etc/inittab：在最后一行的 id 修改，如下图

通过单用户模式跳过用户密码登录：

通过grub界面进入内核， *** 作参数，改变启动级别，进入单用户模式

在系统读秒时，按任意键进入grub界面，然后按 e 进入kernel

选择kernel，按 e 进入

进入之后，按 空格 进入启动级别设置

输入启动级别为 1 ，再按 enter 返回内核，再按 b 进入单用户模式

grub加密： 

首先设置grub密码： 

grub-md5-crypt

 passwd:123456 

这里会得到一串加密字符串 

然后编辑grub的配置文件：

 vim /etc/grub.conf

grub的配置文件内容：

default=0：代表默认使用第一个内核

timeout=5：代表进入系统时的读秒时间，这里是5秒

hiddenmenu：隐藏它下面的内容

password --md5：添加得到的grub密码的加密字符串

title：内核信息

将加密的字符串添加好之后，再通过grub进入kernel时就需要输入密码

如果grub被加密了，可以进入BIOS，通过外接光盘进入救援安装模式，然后进入到系统中，

再 vi /mnt/sysimage/etc/grub.conf，编辑配置文件，删除grub加密，就可以再用单用户模式跳过用户密码登陆

转自 嘉为教育-rhce认证_rhce培训_linux培训_linux认证_linux考证