kali的磁盘加密采用了luks(linux unified key setup)进行加密,这并不是kali/debian/ubuntu独有的技术,而是所有linux版本都支持的。luks使用aes加密,兼容truecrypt的格式,可以在加密后的磁盘上创建任意文件系统。然而,加密后的磁盘无法直接挂载,必须先将分区映射到/dev/mapper下。为了便于管理磁盘,操作系统安装时通常采用lvm on luks的方式,即全盘加密并在其上创建lvm分区。
LUKS的特点包括:
- 简单、安全、高效
- 支持全盘或分区加密
- 加密密钥独立于密码,支持多个密码,可以直接更改密码,无需重新加密磁盘或分区
- 底层加密,必须先解密才能加载文件系统
在KALI安装过程中,磁盘加密和LVM安装程序会自动完成,采用的是全盘加密,无需手动操作。要更改LUKS的解密密码,需先添加一个新密码,然后删除旧密码。切勿直接删除旧密码(相信我,这是经验之谈 TT~)
添加新密码的命令如下:
cryptsetup luksAddKey /dev/sda5
首先输入现有密码进行认证,然后输入要添加的新密码。
移除旧密码的命令如下:
cryptsetup luksRemoveKey /dev/sda5
之后输入要删除的密码即可移除。
如果系统只有一个密码,删除时会提示:
root@kali:~# cryptsetup luksRemoveKey /dev/sda5 Enter passphrase to be deleted: WARNING! This is the last keyslot. Device will become unusable after purging this key. Are you sure? (Type uppercase yes):
此时输入大写的YES,将删除所有LUKS密码,导致开机时无论输入什么密码都无法解密磁盘。
从Kali Linux 1.0.6版本开始,提供了一个紧急自毁(nuke)补丁。启动时输入正确的密码可以正常启动系统;输入设定的自毁密码时,会删除所有存在的LUKS密码,达到自毁效果,与上述情况原理相同。
版权属于:逍遥子大表哥
本文链接:https://www.php.cn/link/2e8c9ec0a94375617e4f142e6156c2b3
按照知识共享署名-非商业性使用 4.0 国际协议进行许可,转载引用文章应遵循相同协议。
