文件系统组成和磁盘加密
硬盘、文件系统的结构组成
Linux系统的结构
Linux文件系统基本结构:
inode table: 存储文件的元数据
inode包含文件的元信息,具体来说有以下内容:
* 文件的字节数
* 文件拥有者的User ID
* 文件的Group ID
* 文件的读、写、执行权限
* 文件的时间戳,共有三个:ctime指inode上一次变动的时间,mtime指文件内容上一次变动的时间,atime指文件上一次打开的时间。
* 链接数,即有多少文件名指向这个inode
* 文件数据block的位置
data block:存储文件的实际数据
tune2fs /dev/sda2
查看一个文件的inode信息
在同一个挂载分区里面,任何一个文件的inode都是唯一的
在不同的挂载分区里面。比如说在A分区文件file-1的inode=123321 在B分区文件file-2的inode=123321
1.查看一个文件的inode信息
[root@centos-6-1 ~]# touch abc
[root@centos-6-1 ~]#
[root@centos-6-1 ~]#
[root@centos-6-1 ~]#
[root@centos-6-1 ~]# stat abc
File: "abc"
Size: 0 Blocks: 0 IO Block: 4096 普通空文件
Device: 802h/2050d Inode: 3276813 Links: 1 #这个文件的Inode值是3276813
Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2017-06-27 08:54:59.626000297 +0800
Modify: 2017-06-27 08:54:59.626000297 +0800
Change: 2017-06-27 08:54:59.626000297 +0800
[root@centos-6-1 ~]#
2.查看每个硬盘分区的inode总数和已经使用的数量
[aaa@centos-6-1 ~]$ df -i
Filesystem Inodes IUsed IFree IUse% Mounted on
/dev/sda2 6414336 38541 6375795 1% /
tmpfs 127489 1 127488 1% /dev/shm
/dev/sda1 51200 38 51162 1% /boot
[aaa@centos-6-1 ~]$
3.查看abc文件的inode号码
[aaa@centos-6-1 ~]$ ls -i abc
3407881 abc
[aaa@centos-6-1 ~]$
xfs和ext性能对比
RHEL7 RHEL6
Kernel kernel 3.10 Kernel 2.6.32
GCC GCC 4.8 GCC 4.4
Anaconda Grub 2 Grub
Desktop Gnome 3 Gnome 2
Firewall Firewalld Iptables
Managing services Systemd upstart
Filesystem XFS(By Default) Ext4(By Default)
HA Pacemaker Corosync/cman
Maximum Logical cpu(X86) 160/5120 160/4096
Maximum Memory(x86) 3TB supported/64TB 3TB supported/64TB
Minimum Memory 1GB minimum/1TB per logical CPU recommended 1GB minimum/1TB per logical CPU recommended
Maximum File Size:XFS 500TB 100TB
Maximum File Size:ext4 16TB 16TB
Maximum Boot Lun Size 50TB 16TB(UEFI&GPT)
Maximum Per-Process Address size (x86) 128TB 128TB
xfs文件系统比ext文件系统的强的方面:
数据完整性
采用XFS文件系统,当意想不到的宕机发生后,由于文件系统开启了日志功能,所以磁盘上的文件不再会意外宕机而遭到破坏,不论目前文件系统上存储的文件与数据有多少,文件系统都可以根据所记录的日志在很短的时间内迅速恢复磁盘文件内容
传输特性
xfs文件系统采用优化算法,日志记录对整体文件操作影响非常小。xfs查询与分配存储空间非常快。xfs文件系统能连续提供快速的反应时间。
可扩展性
xfs是一个全64-bit的文件系统,它可以支持上百万T字节的存储空间。对特大文件及小尺寸文件的支持都表现出众,支持特大数量的目录。最大可支持的文件大小为 9EB,最大文件系统尺寸为18EB
(1EB=1024PB=1024*1024TB)
文件系统 最大文件系统(TB) 最大文件(TB)
xfs 18874368 9437184
ext4 1048576 16
ext3 16 2
4.传输带宽
XFS 能以接近裸设备I/O的性能存储数据。在单个文件系统的测试中,其吞吐量最高可达7GB每秒,对单个文件的读写操作,其吞吐量可达4GB每秒。
EXT4:hash index tree 2
XFS:B-tree
磁盘加密
Linux系统中有很多的磁盘设备,通常我们希望对它们进行加密,这样会更加的安全。LUKS(Linux Unified Key Setup)是标准的设备加密格式;LUKS可以对分区或者卷进行加密。注意:必须首先对加密的卷进行解密,才能挂载其中的文件系统
Linux加密设置的准备工作
工具:cryptsetup(默认已经安装)
常用参数:luksFormat 加密、luksOpen 打开映射、luksClose 关闭映射、luksAddKey 添加密钥
特点:
? 加密后不能直接挂载
? 加密后硬盘如果丢失,数据不会被盗
? 加密后必须做映射才能挂载
思路:
cryptsetup其实是一种设备的映射关系,我们用它来把一个设备映射成另外一个设备,然后对这个新的设备进行操作,并进行加密,这样就不会使我们的原设备直接被使用,从而达到一种安全的效果。
使用cryptsetup对分区进行了加密后,这个分区就不再允许直接挂载。LUKS也是一种基于device mapper 机制的加密方案。如果要使用这个分区,必须对这个分区做一个映射,映射到/dev/mapper这个目录里去,我们只能挂载这个映射才能使用。然而做映射的时候是需要输入解密密码的
步骤如下:
1. 创建分区
2. 对分区加密
3. 映射分区,映射的分区名称自定义
4 格式化分区成需要的文件系统类型
5 建立挂载点,进行挂载
1.检测工具有没有安装
[root@centos-7-1 ~]# rpm -qf `which cryptsetup`
cryptsetup-1.6.7-1.el7.x86_64
[root@centos-7-1 ~]#
2.添加分区
[root@centos-7-1 ~]#
[root@centos-7-1 ~]# fdisk /dev/sdb
欢迎使用 fdisk (util-linux 2.23.2)。
更改将停留在内存中,直到您决定将更改写入磁盘。
使用写入命令前请三思。
Device does not contain a recognized partition table
使用磁盘标识符 0x9911af25 创建新的 DOS 磁盘标签。
命令(输入 m 获取帮助):n
Partition type:
p primary (0 primary, 0 extended, 4 free)
e extended
Select (default p): p
分区号 (1-4,默认 1):1
起始 扇区 (2048-104857599,默认为 2048):
将使用默认值 2048
Last 扇区, +扇区 or +size{K,M,G} (2048-104857599,默认为 104857599):+100M
分区 1 已设置为 Linux 类型,大小设为 100 MiB #第一块分区已经创建完成,大小为100MB
命令(输入 m 获取帮助):p #查看分区表
磁盘 /dev/sdb:53.7 GB, 53687091200 字节,104857600 个扇区
Units = 扇区 of 1 * 512 = 512 bytes
扇区大小(逻辑/物理):512 字节 / 512 字节
I/O 大小(最小/最佳):512 字节 / 512 字节
磁盘标签类型:dos
磁盘标识符:0x9911af25
设备 Boot Start End Blocks Id System
/dev/sdb1 2048 206847 102400 83 Linux
命令(输入 m 获取帮助):n
Partition type:
p primary (1 primary, 0 extended, 3 free)
e extended
Select (default p): p
分区号 (2-4,默认 2):2
起始 扇区 (206848-104857599,默认为 206848):
将使用默认值 206848
Last 扇区, +扇区 or +size{K,M,G} (206848-104857599,默认为 104857599):+200M
分区 2 已设置为 Linux 类型,大小设为 200 MiB #添加第二块分区,大小为200MB
命令(输入 m 获取帮助):p #查看分区表
磁盘 /dev/sdb:53.7 GB, 53687091200 字节,104857600 个扇区
Units = 扇区 of 1 * 512 = 512 bytes
扇区大小(逻辑/物理):512 字节 / 512 字节
I/O 大小(最小/最佳):512 字节 / 512 字节
磁盘标签类型:dos
磁盘标识符:0x9911af25
设备 Boot Start End Blocks Id System
/dev/sdb1 2048 206847 102400 83 Linux
/dev/sdb2 206848 616447 204800 83 Linux
命令(输入 m 获取帮助):n
Partition type:
p primary (2 primary, 0 extended, 2 free)
e extended
Select (default p): p
分区号 (3,4,默认 3):3
起始 扇区 (616448-104857599,默认为 616448):
将使用默认值 616448
Last 扇区, +扇区 or +size{K,M,G} (616448-104857599,默认为 104857599):+400M
分区 3 已设置为 Linux 类型,大小设为 400 MiB #创建第三块分区,大小为400MB
命令(输入 m 获取帮助):n
Partition type:
p primary (3 primary, 0 extended, 1 free)
e extended
Select (default e): p
已选择分区 4
起始 扇区 (1435648-104857599,默认为 1435648):
将使用默认值 1435648
Last 扇区, +扇区 or +size{K,M,G} (1435648-104857599,默认为 104857599):+800M
分区 4 已设置为 Linux 类型,大小设为 800 MiB #创建第四块分区大小为800MB
命令(输入 m 获取帮助):p
磁盘 /dev/sdb:53.7 GB, 53687091200 字节,104857600 个扇区
Units = 扇区 of 1 * 512 = 512 bytes
扇区大小(逻辑/物理):512 字节 / 512 字节
I/O 大小(最小/最佳):512 字节 / 512 字节
磁盘标签类型:dos
磁盘标识符:0x9911af25
设备 Boot Start End Blocks Id System
/dev/sdb1 2048 206847 102400 83 Linux
/dev/sdb2 206848 616447 204800 83 Linux
/dev/sdb3 616448 1435647 409600 83 Linux
/dev/sdb4 1435648 3074047 819200 83 Linux
命令(输入 m 获取帮助):w #最后一步一定要保存,否则刚才所有配置的都将撤回
The partition table has been altered!
Calling ioctl() to re-read partition table.
正在同步磁盘。
[root@centos-7-1 ~]#
3.查看刚才所分的分区
[root@centos-7-1 ~]# ls /dev/sdb*
/dev/sdb /dev/sdb1 /dev/sdb2 /dev/sdb3 /dev/sdb4
[root@centos-7-1 ~]#
4.对分区进行加密
[root@centos-7-1 ~]# cryptsetup luksFormat /dev/sdb1 #对/dev/sdb1进行加密
WARNING!
========
This will overwrite data on /dev/sdb1 irrevocably.
Are you sure? (Type uppercase yes): YES #一定要大写!!!!
Enter passphrase:
Verify passphrase:
[root@centos-7-1 ~]# echo $? ##验证上一个命令是否执行成功0为真,除0以外都为假
0
[root@centos-7-1 ~]#
5.对分区进行映射
注释:
映射分区:打开LUKS这个步骤是把原设备转换成/dev/mapper下的设备,赋予了它新的名字,这个过程需要输入刚才设置的密码。
本次设的密码是:linuxtouch
[root@centos-7-1 ~]# cryptsetup luksOpen /dev/sdb1 linuxtouch_disk
Enter passphrase for /dev/sdb1:
[root@centos-7-1 ~]# echo $?
0
[root@centos-7-1 ~]# ls /dev/mapper/linuxtouch_disk
/dev/mapper/linuxtouch_disk
[root@centos-7-1 ~]# ll !$
ll /dev/mapper/linuxtouch_disk
lrwxrwxrwx. 1 root root 7 6月 28 22:20 /dev/mapper/linuxtouch_disk -> ../dm-2
[root@centos-7-1 ~]#
6.查看状态
[root@centos-7-1 ~]# cryptsetup status linuxtouch_disk
/dev/mapper/linuxtouch_disk is active.
type: LUKS1
cipher: aes-xts-plain64
keysize: 256 bits
device: /dev/sdb1
offset: 4096 sectors
size: 200704 sectors
mode: read/write
[root@centos-7-1 ~]#
我们确实有了一个设备,但是记住这个设备是不能被直接使用的,必须要对它进行格式化
[root@centos-7-1 ~]# mkfs.xfs /dev/mapper/linuxtouch_disk
meta-data=/dev/mapper/linuxtouch_disk isize=256 agcount=4, agsize=6272 blks
= sectsz=512 attr=2, projid32bit=1
= crc=0 finobt=0
data = bsize=4096 blocks=25088, imaxpct=25
= sunit=0 swidth=0 blks
naming =version 2 bsize=4096 ascii-ci=0 ftype=0
log =internal log bsize=4096 blocks=853, version=2
= sectsz=512 sunit=0 blks, lazy-count=1
realtime =none extsz=4096 blocks=0, rtextents=0
[root@centos-7-1 ~]# echo $?
0
[root@centos-7-1 ~]#
7.进行挂载
root@centos-7-1 ~]# mkdir /linuxtouch_disk #创建挂载目录
[root@centos-7-1 ~]# mount /dev/mapper/linuxtouch_disk /linuxtouch_disk/ #挂载到/linuxtouch_disk/目录下
[root@centos-7-1 ~]# df -h #查看所有分区
文件系统 容量 已用 可用 已用% 挂载点
/dev/mapper/centos-root 48G 5.2G 43G 11% /
devtmpfs 482M 0 482M 0% /dev
tmpfs 497M 88K 497M 1% /dev/shm
tmpfs 497M 7.0M 490M 2% /run
tmpfs 497M 0 497M 0% /sys/fs/cgroup
/dev/sda1 297M 149M 149M 50% /boot
tmpfs 100M 12K 100M 1% /run/user/0
/dev/mapper/linuxtouch_disk 95M 5.1M 90M 6% /linuxtouch_disk
[root@centos-7-1 ~]#
9.设置开机自动启动
这个开机自动启动和我们以前的那个不一样,因为这个盘是加密的。所以你要设置自动启动挂载,就必须创建一个密钥文件
root@centos-7-1 ~]# touch linuxtouch_passwd #创建linuxtouch_passwd文件
[root@centos-7-1 ~]# cryptsetup luksAddKey /dev/sdb1 ./linuxtouch_passwd #设置秘钥文件
Enter any passphrase: #输入密码(linuxtouch))
[root@centos-7-1 ~]# cat linuxtouch_passwd #查看密文文件文件
[root@centos-7-1 ~]#
扩展:
创建密码文件另外一种方式:
手工创建一个文件,然后赋予它指定权限
[root@centos-7-1 ~]# touch linuxtouch_pw_txt
[root@centos-7-1 ~]# chmod 644 linuxtouch_pw_txt
[root@centos-7-1 ~]# ll !$
ll linuxtouch_pw_txt
-rw-r--r--. 1 root root 0 6月 28 22:30 linuxtouch_pw_txt
配置自动启动项,编辑/etc/crypttab
[root@centos-7-1 ~]# vi /etc/crypttab
[root@centos-7-1 ~]# cat !$
cat /etc/crypttab
linuxtouch_disk /dev/sdb1 /root/linuxtouch_passwd
说明:
linuxtouch_disk为映射名称,/dev/sdb1是加密设备,/root/linuxtouch_passwd为密码文件
如果想开机手动输入密码,密码文件处空着即可,如下命令
[root@centos-7-1 ~]# vi /etc/crypttab
[root@centos-7-1 ~]# cat !$
cat /etc/crypttab
linuxtouch_disk /dev/sdb1
[root@centos-7-1 ~]#
8.开机自动挂载
[root@centos-7-1 ~]# cp /etc/fstab /etc/fstab.bak #切记修改任何配置文件都要备份
[root@centos-7-1 ~]# echo "/dev/mapper/linuxtouch_disk /linuxtouch_disk xfs defaults 0 0" >> /etc/fstab #加载到开机自动加载文件系统文件里
[root@centos-7-1 ~]#
root@centos-7-1 ~]# tail -l /etc/fstab
# /etc/fstab
# Created by anaconda on Wed Jun 28 18:01:23 2017
#
# Accessible filesystems, by reference, are maintained under '/dev/disk'
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
/dev/mapper/centos-root / xfs defaults 0 0
UUID=1391b8f6-0598-48dc-882f-52255b9f8e70 /boot xfs defaults 0 0
/dev/mapper/centos-swap swap swap defaults 0 0
/dev/mapper/linuxtouch_disk /linuxtouch_disk xfs defaults 0 0
[root@centos-7-1 ~]#
最后输入reboot重启命令即可