在信息安全愈發重要的今天，為 Linux 系統盤配置全盤加密已經成為很多企業和個人的選擇。LUKS（Linux Unified Key Setup）配合工具 cryptsetup 可以在不犧牲性能的前提下實現高強度加密。本文將通過一個故事化的場景，介紹整個配置過程。

---

什么是 LUKS？

LUKS 是 Linux 下廣泛使用的磁盤加密標準，能夠為整個分區或設備提供高強度的對稱加密。搭配 cryptsetup 使用，用戶可以通過設置密碼解鎖加密卷。

[外鏈圖片轉存中…(img-HHGhz2zi-1753111358467)]

---

先決條件

• 一臺 Linux 機器
• 可引導的 Live Linux USB
• 已備份的數據

建議在操作前閱讀相關指南和官方文檔：

LUKS 官方文檔：https://gitlab.com/cryptsetup/cryptsetup

---

配置步驟

1. 啟動 Live Linux

插入 Live Linux USB，選擇「試用」模式啟動。

2. 確認目標磁盤

運行以下命令確認目標磁盤，例如 /dev/sda。

lsblk

3. 創建加密卷

使用 LUKS 對整個磁盤進行加密：

cryptsetup luksFormat /dev/sda

輸入并確認強密碼。

然后打開加密卷：

cryptsetup luksOpen /dev/sda cryptroot

4. 創建文件系統

在解鎖的設備上創建文件系統：

mkfs.ext4 /dev/mapper/cryptroot

然后將其掛載：

mount /dev/mapper/cryptroot /mnt

5. 安裝系統

按照正常的方式（例如使用 debootstrap 或者發行版安裝程序）在 /mnt 上安裝 Linux 系統。

安裝完成后別忘了生成 initramfs 以支持啟動時解鎖加密卷。

---

注意事項

• 密碼丟失后無法找回，請務必安全保存。
• 啟用加密會略微影響性能，但在現代硬件上幾乎可以忽略。

---

相關鏈接推薦

為了獲得更靈活的出行體驗，也可以了解 eSIM 技術的應用及開通方法：
紅茶eSIM 2塊錢保號一年 原生英國IP：
https://www.wanmoon.mom/redteago-esim/

更多關于 Linux 加密、隱私保護的資源請參考：
Linux Journal 安全專欄：https://www.linuxjournal.com/tag/security