เพื่อป้องกันการเข้าถึงข้อมูลบนฮาร์ดไดรฟ์โดยไม่ได้รับอนุญาต การเข้ารหัสเป็นสิ่งสำคัญ ตัวแทนจำหน่าย Linux จำนวนมากเสนอให้เข้ารหัสไดรฟ์หลักของคุณเมื่อทำการติดตั้ง แต่คุณอาจต้องเข้ารหัสฮาร์ดไดรฟ์ภายนอกในภายหลัง อ่านต่อเพื่อเรียนรู้วิธี
คำเตือน: การใช้คำสั่งที่ไม่ถูกต้อง หรือพารามิเตอร์ที่ไม่ถูกต้อง อาจทำให้ข้อมูลสูญหายในอุปกรณ์ที่ไม่ใช่ฮาร์ดไดรฟ์ที่ต้องการ
การทำตามคำแนะนำเหล่านี้อย่างถูกต้องจะลบข้อมูลทั้งหมดออกจากฮาร์ดไดรฟ์ที่ต้องการ สำรองข้อมูลที่สำคัญทั้งหมด คุณควรอ่านบทความทั้งหมดก่อนดำเนินการตามขั้นตอนเหล่านี้
ขั้นตอน
ส่วนที่ 1 จาก 2: การเข้ารหัสฮาร์ดไดรฟ์ภายนอก
ขั้นตอนที่ 1. ตรวจสอบว่า
cryptsetup
มีอยู่:
พิมพ์ sudo cryptsetup --version ลงในเทอร์มินัล หากแทนที่จะพิมพ์หมายเลขเวอร์ชันที่ส่งผลให้ "ไม่พบคำสั่ง" คุณต้องติดตั้ง
cryptsetup
-
โปรดทราบว่าคุณต้องใช้
sudo
. พยายามวิ่ง
cryptsetup
ปราศจาก
sudo
- จะส่งผลให้ "ไม่พบคำสั่ง" แม้ว่าจะติดตั้งโปรแกรมแล้วก็ตาม
ขั้นตอนที่ 2 ตรวจสอบว่าอุปกรณ์ใดเชื่อมต่ออยู่:
sudo fdisk -l.
ขั้นตอนที่ 3 เชื่อมต่อฮาร์ดไดรฟ์ภายนอก
ขั้นตอนที่ 4 ตรวจสอบอุปกรณ์ที่เชื่อมต่ออีกครั้ง
เรียกใช้ sudo fdisk -l อีกครั้งและมองหาส่วนที่แตกต่างออกไป นั่นคือฮาร์ดไดรฟ์ที่คุณเชื่อมต่อ จำชื่ออุปกรณ์ (เช่น
/dev/sdb
). ในบทความนี้จะเรียกว่า
/dev/sdX
; อย่าลืมแทนที่ด้วยเส้นทางจริงในทุกกรณี
ขั้นตอนที่ 5. สำรองข้อมูลใด ๆ ที่คุณต้องการเก็บไว้
ขั้นตอนต่อไปจะลบข้อมูลทั้งหมดออกจากฮาร์ดไดรฟ์
ขั้นตอนที่ 6 ยกเลิกการต่อเชื่อมฮาร์ดไดรฟ์ภายนอก
อย่าตัดการเชื่อมต่อ - ให้ยกเลิกการต่อเชื่อมเท่านั้น คุณสามารถทำได้ผ่านตัวจัดการไฟล์หรือด้วย: sudo umount /dev/sdX
ขั้นตอนที่ 7 เช็ดระบบไฟล์และข้อมูลทั้งหมดออกจากฮาร์ดไดรฟ์
แม้ว่าจะไม่จำเป็นสำหรับการตั้งค่าการเข้ารหัส แต่ก็ขอแนะนำ
- หากต้องการล้างเฉพาะส่วนหัวของระบบไฟล์อย่างรวดเร็ว ให้ใช้: sudo wipefs -a /dev/sdX
-
หากต้องการเขียนทับข้อมูลทั้งหมดบนฮาร์ดไดรฟ์ ให้ใช้: sudo dd if=/dev/urandom of=/dev/sdX bs=1M คุณจะไม่เห็นแถบแสดงความคืบหน้าหรือเอาท์พุตอื่นๆ แต่ถ้าฮาร์ดไดรฟ์ภายนอกของคุณมีไฟที่กะพริบเมื่อเขียนไดรฟ์ลงไป ก็ควรเริ่มกะพริบ
- หากฮาร์ดไดรฟ์ภายนอกมีขนาดใหญ่ คาดว่าคุณจะต้องรอเป็นเวลานาน แม้ว่าจะขึ้นอยู่กับอุปกรณ์และฮาร์ดไดรฟ์ แต่ความเร็วที่เป็นไปได้คือ 30 MB ต่อวินาที โดยใช้เวลาประมาณ 2½ ชั่วโมงสำหรับ 256 GB
-
หากคุณต้องการดูความคืบหน้า ให้ค้นหา ID กระบวนการของ
dd
จากนั้นเปิดเทอร์มินัลอื่นและใช้ sudo kill -USR1 pid (pid เป็น ID กระบวนการของคุณ) การดำเนินการนี้จะไม่ยุติกระบวนการ (เช่น
ฆ่า
ปราศจาก
-USR1
- พารามิเตอร์จะทำ) แต่เพียงแค่บอกให้พิมพ์จำนวนไบต์ที่คัดลอก
- การใช้ sudo dd if=/dev/zero of=/dev/sdX bs=1M เพื่อเขียนทับด้วยศูนย์แทนอาจเร็วกว่า แต่ค่อนข้างปลอดภัยน้อยกว่าการเขียนทับด้วยข้อมูลสุ่ม
ขั้นตอนที่ 8 เรียกใช้
cryptsetup
:
sudo cryptsetup --verbose --verify-วลีรหัสผ่าน luksFormat /dev/sdX
-
cryptsetup
จะเตือนคุณว่าข้อมูลจะถูกเขียนทับโดยไม่สามารถเพิกถอนได้ พิมพ์
ใช่
เพื่อยืนยันว่าคุณต้องการทำสิ่งนี้และดำเนินการต่อ คุณจะได้รับแจ้งให้เลือกข้อความรหัสผ่าน หลังจากที่คุณเลือกแล้ว จะใช้เวลาสักครู่ในการตั้งค่าการเข้ารหัส
cryptsetup
- ควรลงท้ายด้วย "คำสั่งสำเร็จ"
-
ถ้า
cryptsetup
เตือนคุณเกี่ยวกับพาร์ติชั่นที่มีอยู่ (พร้อมข้อความของแบบฟอร์ม
คำเตือน: อุปกรณ์ /dev/sdX มี …… พาร์ติชั่นลายเซ็น
- ) คุณยังไม่ได้ลบระบบไฟล์ที่มีอยู่อย่างถูกต้อง คุณควรอ้างอิงถึงขั้นตอนเกี่ยวกับการล้างระบบไฟล์และข้อมูล แต่ก็สามารถเพิกเฉยต่อคำเตือนและดำเนินการต่อได้
ขั้นตอนที่ 9 เปิดพาร์ติชั่นที่เข้ารหัส:
sudo cryptsetup luksOpen /dev/sdX sdX (แทนที่ทั้ง
sdX
ด้วยพาร์ติชั่นที่เข้ารหัสที่คุณเพิ่งตั้งค่า)
คุณจะได้รับข้อความรหัสผ่าน ป้อนข้อความรหัสผ่านที่คุณเลือกในขั้นตอนก่อนหน้า
ขั้นตอนที่ 10 ตรวจสอบว่าพาร์ติชั่นที่เข้ารหัสถูกแมปไปที่ใด
มันมักจะ
/dev/mapper/sdX
แต่คุณควรตรวจสอบอีกครั้งโดยใช้ sudo fdisk -l
ขั้นตอนที่ 11 สร้างระบบไฟล์ใหม่บนพาร์ติชันที่เข้ารหัส
การตั้งค่าการเข้ารหัสได้ล้างข้อมูลที่มีอยู่ก่อนหน้านี้ ใช้คำสั่ง: sudo mkfs.ext4 /dev/mapper/sdX
-
เป็นสิ่งสำคัญที่คุณต้องระบุ
/dev/mapper/sdX
. หากคุณระบุ
/dev/sdX
- คุณจะฟอร์แมตดิสก์เป็นพาร์ติชั่น EXT4 ที่ไม่ได้เข้ารหัสแทน
- คุณสามารถกำหนดป้ายกำกับให้กับระบบไฟล์ด้วยตัวเลือก -L เช่น sudo mkfs.ext4 -L MyEncryptedDisk /dev/mapper/sdX
ขั้นตอนที่ 12. ลบพื้นที่ที่สงวนไว้
ตามค่าเริ่มต้น พื้นที่บางส่วนถูกสงวนไว้ แต่ถ้าคุณไม่ต้องการเรียกใช้ระบบจากฮาร์ดไดรฟ์ คุณสามารถลบออกเพื่อให้มีพื้นที่ว่างบนฮาร์ดไดรฟ์เพิ่มขึ้นเล็กน้อย ใช้คำสั่ง: sudo tune2fs -m 0 /dev/mapper/sdX
ขั้นตอนที่ 13 ปิดอุปกรณ์ที่เข้ารหัส:
sudo cryptsetup luks ปิด sdX
คุณสามารถยกเลิกการเชื่อมต่อฮาร์ดไดรฟ์ภายนอกได้อย่างปลอดภัยในตอนนี้ สำหรับคำแนะนำในการเปิดอีกครั้งและใช้งาน โปรดดูวิธีการ "การเปิดฮาร์ดไดรฟ์ภายนอกที่เข้ารหัส"
ส่วนที่ 2 จาก 2: การเปิดฮาร์ดไดรฟ์ภายนอกที่เข้ารหัส
ขั้นตอนที่ 1. เชื่อมต่อฮาร์ดไดรฟ์ภายนอก
ขั้นตอนที่ 2 รอและดูว่าพร้อมท์เปิดขึ้นหรือไม่
บางระบบจะถามหาข้อความรหัสผ่านโดยอัตโนมัติ และหากคุณป้อนถูกต้อง ให้ติดตั้งอุปกรณ์
ขั้นตอนที่ 3 ติดตั้งไดรฟ์ด้วยตนเองหากพรอมต์ไม่เปิดขึ้น
- ค้นหาชื่ออุปกรณ์: lsblk
- หากนี่เป็นครั้งแรกที่คุณติดตั้ง ให้สร้างไดเร็กทอรีเพื่อติดตั้ง ตัวอย่างเช่น: sudo mkdir /mnt/encrypted มิฉะนั้น ให้ใช้ไดเร็กทอรีที่คุณสร้างไว้ก่อนหน้านี้
- เปิดพาร์ติชั่นที่เข้ารหัส: sudo cryptsetup luksOpen /dev/sdX sdX
- เมานต์พาร์ติชั่นที่เข้ารหัส: sudo mount /dev/mapper/sdX /mnt/encrypted
ขั้นตอนที่ 4 ปรับการอนุญาตหากนี่เป็นครั้งแรกที่คุณติดตั้งไดรฟ์
เมื่อคุณเมานต์ไดรฟ์เป็นครั้งแรก จำเป็นต้องเขียนไปยังไดรฟ์
sudo
. หากต้องการเปลี่ยนแปลง ให้โอนความเป็นเจ้าของโฟลเดอร์ไปยังผู้ใช้ปัจจุบัน: sudo chown -R `whoami`:users /mnt/encrypted
หากฮาร์ดไดรฟ์ของคุณติดตั้งโดยอัตโนมัติ คุณสามารถค้นหาตำแหน่งที่ติดตั้งโดยใช้ lsblk มักจะอยู่ในเส้นทางที่คล้ายกับ: /media/your_username/drive_label
ขั้นตอนที่ 5. ใช้ฮาร์ดไดรฟ์
ตอนนี้คุณสามารถใช้ฮาร์ดไดรฟ์ที่เข้ารหัสได้เช่นเดียวกับฮาร์ดไดรฟ์อื่น ๆ อ่านไฟล์จากฮาร์ดไดรฟ์และถ่ายโอนไฟล์ไปยังฮาร์ดไดรฟ์
ขั้นตอนที่ 6 ถอนติดตั้งฮาร์ดไดรฟ์ที่เข้ารหัส
นี่เป็นสิ่งจำเป็นเพื่อที่คุณจะตัดการเชื่อมต่อได้อย่างปลอดภัย คุณสามารถทำได้ผ่านตัวจัดการไฟล์หรือผ่านเทอร์มินัล:
- ถอนติดตั้งพาร์ติชั่นที่เข้ารหัส: sudo umount /mnt/encrypted
-
ปิดพาร์ติชั่นที่เข้ารหัส: sudo cryptsetup luksClose sdX
-
หากมีข้อความแสดงข้อผิดพลาดว่า "Device sdX is not active" แสดงว่าพาร์ติชันที่เข้ารหัสถูกเปิดโดยใช้ชื่ออื่น (ซึ่งอาจเกิดขึ้นได้ เช่น หากคุณป้อนข้อความรหัสผ่านในข้อความแจ้งแทนการติดตั้งด้วยตนเอง) คุณสามารถค้นหาได้ด้วยคำสั่ง lsblk ค้นหารายการของ type
ห้องใต้ดิน
- .
-
เคล็ดลับ
- หากคุณถอดฮาร์ดไดรฟ์ก่อนที่จะทำตามขั้นตอนต่างๆ เป็นไปได้ว่าฮาร์ดไดรฟ์จะไม่ต่อเชื่อมหากคุณเชื่อมต่ออีกครั้ง ในกรณีนั้น ให้ค้นหาโดยใช้ sudo fdisk -l จากนั้นทำตามขั้นตอนหรือฟอร์แมตให้มีฮาร์ดไดรฟ์ที่ไม่ได้เข้ารหัส
-
cryptsetup
- มีเอกสารคำถามที่พบบ่อยพร้อมข้อมูลโดยละเอียดเพิ่มเติมเกี่ยวกับการใช้งาน:
คำเตือน
-
อ่านคำเตือนที่มาพร้อมกับ
cryptsetup
- . คุณสามารถอ่านสิ่งเหล่านี้ในคู่มือด้วยคำสั่ง man cryptsetup
- การเข้ารหัสปกป้องข้อมูลในฮาร์ดไดรฟ์ของคุณในขณะที่ไม่ได้ติดตั้งและเปิดพาร์ติชั่นที่เข้ารหัส แม้ว่าจะเปิดอยู่ แต่อาจยังเข้าถึงได้โดยไม่ได้รับอนุญาตถ้าคุณไม่ระวัง