如何加密Linux目录 ecryptfs加密工具使用

ecryptfs加密linux目录的方法包括：1. 安装ecryptfs-utils工具包；2. 推荐使用ecryptfs-migrate-home加密用户主目录，操作前需备份并创建临时管理员账户；3. 可手动创建加密目录并通过mount命令挂载，配置密码、加密算法等参数；4. 可配置自动挂载以提升使用便捷性；5. 需注意密码安全、文件名加密选项及备份时机，ecryptfs适用于特定目录加密，非全盘加密场景，且在兼容性上优于fscrypt。

在 Linux 系统中，

eCryptfs

eCryptfs

一、安装 eCryptfs 工具

大多数 Linux 发行版默认未安装 eCryptfs 工具包，需要手动安装：

Ubuntu/Debian：

sudo apt update
sudo apt install ecryptfs-utils

CentOS/RHEL/Fedora：

# CentOS/RHEL（需启用 EPEL）
sudo yum install epel-release
sudo yum install ecryptfs-utils

# Fedora
sudo dnf install ecryptfs-utils

二、使用 ecryptfs-migrate-home 加密用户主目录（推荐方式）

如果你希望加密某个用户的主目录（例如

alice

ecryptfs-migrate-home

⚠️ 警告：操作前务必备份重要数据！

1. 创建临时管理员账户用于操作

   sudo adduser tempadmin
   sudo usermod -aG sudo tempadmin  # 赋予 sudo 权限

   切换到该账户登录，避免加密当前正在使用的用户。

2. 运行迁移工具加密用户目录

   sudo ecryptfs-migrate-home -u alice

3. 按提示操作：

   • 工具会提示你登录

     alice

     账户并验证密码是否能解密目录。
   • 设置挂载密码（mount passphrase），建议保存好。
   • 系统会备份原目录并创建加密版本。

4. 重启并测试登录

   • 重新以

     alice

     登录，系统应自动挂载加密目录。
   • 登出后，目录内容在底层是加密状态。

注意：若

ecryptfs-migrate-home

失败，原始数据可能仍保留在备份中（如

/home/alice.XXXXX

），可手动恢复。

三、手动加密任意目录（如 ~/Private）

如果你想加密某个自定义目录（比如

~/Private

1. 加载 eCryptfs 模块

   

   Programming Helper

   AI代码自动生成器，在AI的帮助下更快地编程

   下载

   sudo modprobe ecryptfs

2. 创建明文和加密目录

   mkdir ~/encrypted-data    # 底层存储加密数据
   mkdir ~/private           # 上层挂载点，访问明文

3. 挂载加密目录

   mount -t ecryptfs ~/encrypted-data ~/private

   挂载时会提示配置参数：

   • Select key type:

     passphrase

   • Passphrase: 输入你的密码（建议强密码）
   • Cipher:

     aes

     （推荐）
   • Key bytes:

     16

     （对应128位）或

     32

     （256位）
   • Enable plaintext passthrough:

     n

   • Enable filename encryption:

     y

     （建议开启）

   挂载成功后，往

   ~/Private

   写入的文件都会自动加密并存储在

   ~/encrypted-data

   中。

4. 卸载目录

   umount ~/private

   卸载后，

   ~/encrypted-data

   中的内容为密文，无法直接读取。

5. 重新挂载

   mount -t ecryptfs ~/encrypted-data ~/private

   需要输入相同的密码和参数才能正确解密。

四、自动挂载配置（可选）

为了方便使用，可将挂载信息写入

~/.ecryptfs/auto-mount

例如，在

~/.bashrc

alias mount-private='mount -t ecryptfs ~/encrypted-data ~/private'
alias umount-private='umount ~/private'

或者使用脚本自动处理挂载参数。

五、注意事项与安全建议

• 密码即密钥：eCryptfs 使用口令派生密钥，务必使用高强度密码。
• 保存好挂载密码：如果忘记密码，数据无法恢复。
• 文件名加密需单独开启：否则文件名仍为明文。
• 性能影响较小：eCryptfs 是堆叠文件系统，性能损耗较低。
• 不适用于全盘加密：如需全盘加密，建议使用 LUKS + dm-crypt。
• 备份加密数据前确保已挂载：否则备份的是密文，恢复后仍需正确挂载才能访问。

基本上就这些。eCryptfs 适合对特定目录进行细粒度加密，尤其是用户主目录或敏感项目目录。虽然现在部分新系统转向 fscrypt（尤其在 ext4 上更高效），但 eCryptfs 在兼容性和灵活性上仍有优势，特别是在非 root 分区加密场景中。