如何启用CentOS系统上的文件系统加密以保护敏感数据

在CentOS系统上启用文件系统加密保护敏感数据，可通过LUKS（Linux Unified Key Setup）实现。以下是详细操作步骤：

方案一：加密新分区（推荐）

1. 准备分区

# 查看可用磁盘和分区
sudo fdisk -l

# 使用fdisk/gparted创建新分区（假设为/dev/sdb1）
sudo fdisk /dev/sdb  # 交互式创建分区

2. 加密分区

# 安装cryptsetup（若未安装）
sudo yum install cryptsetup -y

# 加密分区（设置密码）
sudo cryptsetup luksFormat /dev/sdb1
# 输入大写YES确认，并设置密码

# 打开加密分区（映射为/dev/mapper/secret）
sudo cryptsetup open /dev/sdb1 secret

3. 创建文件系统并挂载

# 格式化加密分区为ext4
sudo mkfs.ext4 /dev/mapper/secret

# 挂载使用
sudo mkdir /mnt/secure_data
sudo mount /dev/mapper/secret /mnt/secure_data

4. 设置自动挂载（可选）

# 获取分区UUID
sudo blkid /dev/sdb1

# 编辑/etc/crypttab添加解密配置
echo "secret UUID=<分区UUID> none" | sudo tee -a /etc/crypttab

# 编辑/etc/fstab添加挂载配置
echo "/dev/mapper/secret /mnt/secure_data ext4 defaults 0 2" | sudo tee -a /etc/fstab

方案二：加密现有目录（eCryptfs）

适用于已存在数据的目录加密：

# 安装eCryptfs
sudo yum install ecryptfs-utils -y

# 加密目录（如/home/user/secure）
sudo mount -t ecryptfs /home/user/secure /home/user/secure
# 按提示设置加密参数（密码、算法等）

# 卸载加密目录
sudo umount /home/user/secure

关键注意事项

1. 备份数据：加密前确保数据已备份，操作失误可能导致数据丢失。
2. 密码管理：
   • 使用强密码（建议16+字符，混合类型）
   • 可保存密钥文件到安全位置：
     bash sudo cryptsetup luksAddKey /dev/sdb1 /path/to/keyfile
3. 性能影响：加密会带来轻微I/O性能损失（AES-NI可加速）。
4. 系统级加密：如需全盘加密，需在安装CentOS时选择"Encrypt my data"选项。

验证加密状态

# 查看已打开的加密设备
sudo dmsetup ls

# 检查LUKS头信息
sudo cryptsetup luksDump /dev/sdb1

通过以上步骤，敏感数据将在存储时保持加密状态，仅在挂载时通过密码/密钥解密访问。