DigitalOcean是我们熟悉的美国云主机服务器公司。其整体性能优越，采用SSD硬盘存储，支持按小时计费模式，因此受到国内站长的欢迎。DigitalOcean Volumes是一款基于固态硬盘的可扩展块存储设备。宗卷使您能够创建和扩展基础架构的存储容量，而无需调整Droplet的大小。卷在静态时是加密的，这意味着卷上的数据不能在其存储群集之外读取。当Volumes连接到Droplet时，Droplet会显示一个解密的块存储设备，所有数据都通过隔离网络传输。

为了提高安全性，您还可以在卷的LUKS加密磁盘上创建文件系统。这意味着磁盘将需要被小滴上的操作系统解密以读取任何数据。这里简单介绍一下如何在DigitalOcean block storage上创建加密文件系统，仅供参考。

首先，创建一个加密磁盘

Cryptsetup是一个用于管理LUKS卷而不是其他加密格式的实用程序。首先，它用于cryptsetup初始化卷上的加密磁盘。

sudo cryptsetup-y-v luks format/dev/disk/by-id/SCSI-0DO _ Volume _ Volume-lon 1-01

确保将Volume-lon1-01替换为卷名。-y当提示创建密码时，标牌会要求您输入两次密码。v标志添加了其他人类可读的输出来验证命令是否成功。

输出将要求您确认覆盖卷上的数据。键入YES，全部大写，然后按ENTER键继续。

输出

警告！

========

这将不可撤销地覆盖/dev/disk/by-id/SCSI-0DO _ Volume _ Volume-lon 1-01上的数据。

你确定吗？(键入大写的是):是

接下来，输出将提示您为加密磁盘创建一个密码。输入唯一的强密码，然后再次输入以进行验证。此密码无法恢复，因此请将其保存在安全的地方。

输出。

输入密码：

验证密码：

命令成功。

如果需要，以后可以使用cryptsetup luksChangeKey命令来更改此密码。您还可以使用为每台设备添加最多八个其他密码。

此时，您的磁盘已创建并加密。接下来，对其进行解密，并将其映射到一个标签，以便于引用。在这里，我们将其标记为安全卷，但您可以随意标记。

sudo cryptsetup luksOpen/dev/disk/by-id/SCSI-0DO _ Volume _ Volume-lon 1-01 secure-Volume

系统将提示您输入密码。输入后，卷现在将映射到/dev/mapper/secure-volume。

为了确保一切正常，请验证加密磁盘的详细信息。

加密设置状态安全卷

您将看到指示卷标和类型的输出。

输出

/dev/mapper/secure-volume处于活动状态。

类型：LUKS1

密码：aes-xts-plain64

密钥大小：256位

设备：/dev/sda

偏移量：4096个扇区

尺寸：209711104扇区

模式：读/写

此时，您有一个受密码保护的加密磁盘。下一步是在这个磁盘上创建一个文件系统，以便操作系统可以使用它来存储文件。

其次，创建并挂载文件系统

首先，我们来看看Droplet上当前可用的磁盘空间。

东风-h

根据您的Droplet配置，您将看到与此类似的输出：

输出

已使用的文件系统大小可用百分比装载于

udev 2.0G 0 2.0G 0%/开发

tmpfs 396M米5.6米390米2%/运行

/dev/vda1 78G 877M 77G 2% /

tmpfs 2.0G 0 2.0G 0% /dev/shm

tmpfs 5.0M 0 5.0M 0%/运行/锁定

tmpfs 2.0G 0 2.0G 0% /sys/fs/cgroup

/dev/vda 15 105米3.4米101米4% /boot/efi

tmpfs 396m 0 396m 0%/运行/用户/1000

目前，该Droplet没有出现在此列表中，因为它还不能访问该卷。为了使其可访问，我们需要创建并挂载文件系统。/dev/mapper/安全卷

使用mkfs.xfs实用程序(一个介质？乐飞小号系统)来创建一个F ILE系统与XFS对卷。

sudo mkfs . xfs/dev/mapper/安全卷

创建文件系统后，您可以挂载它，这意味着您可以在Droplet上让操作系统使用它。

创建一个挂载点，并将文件系统连接到该挂载点。对于挂载点，一个好的建议是在这个目录中有一个空的/mnt目录，所以我们将使用。/mnt/secure

sudo mkdir /mnt/secure

然后挂载文件系统。

sudo装载/开发/映射器/安全-卷/管理/安全

为了确保它正常工作，请再次检查Droplet上的可用磁盘空间。

东风-h

现在，您将看到列出的内容。/dev/mapper/安全卷

输出

已使用的文件系统大小可用百分比装载于

udev 2.0G 0 2.0G 0%/开发

tmpfs 396M米5.6米390米2%/运行

/dev/vda1 78G 877M 77G 2% /

tmpfs 2.0G 0 2.0G 0% /dev/shm

tmpfs 5.0M 0 5.0M 0%/运行/锁定

tmpfs 2.0G 0 2.0G 0% /sys/fs/cgroup

/dev/vda 15 105米3.4米101米4% /boot/efi

tmpfs 396m 0 396m 0%/运行/用户/1000

/dev/mapper/secure-卷100G 33M 100G 1% /mnt/secure

这意味着您的加密文件系统已连接并且可以使用。

当您不再需要访问宗卷上的数据时，您可以卸载文件系统并锁定加密的磁盘。

sudo卸载/管理/安全

sudo cryptsetup luksClose安全卷

您可以验证df -h文件系统不再可用。为了使卷上的数据可以再次访问，您将执行以下步骤来打开磁盘(cryptsetup luksOpen …)，创建挂载点并挂载文件系统。

为了避免每次想要使用宗卷时都要进行手动操作，您可以将文件系统配置为在Droplet启动时自动装载。

3.启动时自动挂载文件系统。

加密磁盘最多可以有8个密码。在最后一步中，我们将创建一个密钥并将其添加为一个密码短语，然后使用这个密钥来配置在Droplet引导时要解密和装载的卷。

创建密钥文件/root/。输入secure_key。该命令将创建一个包含随机内容的4 KB文件：

sudo dd if=/dev/urandom of=/root/。安全密钥bs=1024计数=4

调整此密钥文件的权限，以便只有根用户可以读取它。

sudo chmod 0400 /root/。安全密钥

然后添加密钥作为加密磁盘的密码。

cryptsetup luksAddKey/dev/disk/by-id/SCSI-0DO _ Volume _ Volume-lo n1-01/root/。安全密钥

系统将提示您输入密码。您可以输入第一次创建加密磁盘时设置的磁盘。

/etc/crypttab是一个配置文件，它定义了系统启动时要设置的加密磁盘。用nano或者你喜欢的文本编辑器打开这个文件。

sudo nano /etc/crypttab

将下面一行添加到文件的底部，以便在启动时映射卷。

/etc/crypttab。

secure-Volume/dev/disk/by-id/SCSI-0DO _ Volume _ Volume-lo n1-01/root/。安全钥匙luk

/etc/crypttab中的行格式是device _ name device _ path key _ path options。这里，设备名是secure-volume(或您选择的名称)，路径是，密钥文件是我们刚刚创建的，选项指定加密。/dev/disk/by-id/…/root/。secure_keyluks

保存并关闭文件。

/etc/fstab是用于自动安装的配置文件。打开此文件进行编辑。

sudo nano /etc/fstab

在文件的底部添加下面一行，以便在引导时自动挂载磁盘。

/etc/fstab。

/dev/mapper/secure-volume/mnt/secure xfs默认值，nofail 0 0

/etc/fstab行中的前三个参数始终是设备路径装载点文件系统类型。这里，我们有与步骤2中相同的设备路径和安装点，并指定XFS文件系统。您可以在fstab的手册页中了解其他字段。

保存并关闭文件。现在，将您的加密文件系统设置为在Droplet启动时自动挂载。您可以通过重新启动Droplet来测试它，但请谨慎使用任何正在运行的服务。

默认情况下，DigitalOcean宗卷在未连接到Droplet时会被加密。在本教程中，您通过将文件系统放在卷上的加密磁盘上，添加了额外的安全层。您可以创建加密磁盘，给它添加密码，然后手动或自动装载它，以便在Droplet中使用。

本文由美国主持侦探(www.idcspy.com)原创，转载请注明！

更多关于云服务器，域名注册，虚拟主机的问题，请访问西部数码代理官网：www.chenqinet.cn。