硬盘和 SSD 可以轻松地从笔记本电脑或台式电脑上移除。至此，你的操作系统实施的所有安全措施都将没有更多的想法。如果您有要保护的数据，您可以创建加密容器。您将在那里存储敏感文件，其余文件保存在普通分区上。

最简单的方法是在安装 Linux 发行版时设置加密分区。安装程序可以指导您执行此操作。如果您已跳过此阶段，请按照以下指南中的步骤创建秘密分区。

先决条件

此过程需要一个空分区。这意味着一个未格式化的分区（上面没有文件系统）。

如果您的格式化分区当前占用了存储设备上的所有空闲空间，则需要使用 GParted 缩小其中一个。

警告 ：您应该先备份您的数据。在收缩其分区和文件系统时，存在一定的风险。处理过程中计算机可能出现故障或断电，导致文件系统不一致且难以恢复。

按照本教程的第一步使用 GParted 调整分区大小。或者，如果有不必要的分区，您可以将其删除。 （在您释放一些空间并且它们显示“未分配”状态，跳过本教程中的其余步骤）。具体来说，不要创建名为 ext4. 的分区。相反，请右键单击未分配的空间，如指南中所示。在打开的对话窗口中，您将看到一个标有'文件系统'的字段。 通常，此处将选择 ext4 作为默认值。单击它并将其更改为“清除”。

选择'添加'后，点击绿色复选标记以应用更改。

安装cryptsetup

如果您直接启动操作系统以使用 GParted 编辑您的分区，请重新启动到主 Linux 发行版。

打开终端模拟器。在基于 Debian 的系统上，例如 Ubuntu 或 Linux Mint，输入以下命令：

 sudo apt update && sudo apt install cryptsetup 

在 Fedora 或 CentOS 等发行版以及其他使用 RPM 而不是 DEB 的版本上，您可以安装 cryptsetup。如果没有，你可以安装它：

 sudo yum install cryptsetup 

在 OpenSUSE 上，如果 cryptsetup 没有预装，你可以安装：

 sudo zypper refresh && sudo zypper install cryptsetup 

在基于 Arch 的发行版上，您将使用以下命令：

 sudo pacman-S cryptsetup 

查找分区的块设备名称

输入以下命令：

 lsblk 

图片提供的例子中，存储设备为'vda'。 'vda1'到 'vda3' 是分区。

要找到你准备好的分区，记住你为它保留的大小。您会在没有挂载点的分区中找到它。在您的情况下，这可能是 '/dev/sda2' 而不是 '/dev/sda3'。

分区加密会覆盖上面的数据（如果有的话），这意味着如果你弄错了设备名，你可能会取消有用的数据。为了确保你有正确的设备名，你可以安装GParted和检查您的分区布局。设备名称将列在图形用户界面中。不要使用直接从系统启动时在 GParted 中看到的名称（如果您这样做了）。实时系统中显示的布局将不同于从已安装的发行版启动时看到的布局。

还有另一种方法可以确保您不会在错误的设备上书写。试试挂载。通常，它会拒绝这样做，因为它上面没有文件系统。

重要提示：请记住始终将 "vda3" 替换为您的设备名称：

 sudo mount/dev/vda3/mnt 

在您的情况下，命令可以是 sudo mount/dev/sda2/mnt 或其他。

这是您将收到的消息。

设置标题LUKS

当您确定您拥有合适的设备名称时，将 LUKS 标头添加到分区中。

 sudo cryptsetup luksFormat/dev/vda3 

输入'YES'，然后为加密分区创建一个强密码。要求验证密码时重新输入相同的密码。

在分区上创建文件系统

您必须将此物理设备映射到虚拟设备。写入虚拟设备的内容将在存储到物理设备之前进行加密。

 sudo cryptsetup luksOpen/dev/vda3 encrypted-partition 

分区需要一个可以使用的文件系统。使用以下命令创建 ext4 文件系统：

 sudo mkfs.ext4/dev/mapper/encrypted-partition 

挂载加密分区

创建一个文件夹，您将从该分区挂载文件系统。

 mkdir ~/encrypted-storage 

挂载文件系统：

 sudo mount/dev/mapper/encrypted-partition ~/encrypted-storage 

更改目录：

 cd ~/encrypted-storage 

目前这里只有root用户可以写。通过将用户设置为更高级别文件夹的所有者，允许您的用户在此文件系统中进行记录。复制并粘贴整个命令，包括末尾的“.”。

 sudo chown $USER:$USER. 

限制其他用户对该目录的读写。

 chmod o=. 

此时，大多数文件管理器都会在界面上向您展示新的加密设备。下图显示了它在文件管理器 Thunar 中的外观，默认用于 XFCE 桌面环境。

如果驱动没有挂载，点击后会询问sudo驱动密码和密码。驱动器将自动挂载，您可以浏览它。挂载点将不同于 '~/encrypted-storage'。 可能如下所示：'/media/user/f42f3025-755d-4a71-95e0-37eaeb761730/'。

没关系。您之前设置的权限仍然适用。当您成功完成驱动器的所有任务时，请务必记住右键单击它并断开连接。卸载和关闭虚拟设备可确保没有人可以从加密分区读取数据，即使是您的操作系统。

如果由于某种原因你的管理器文件不支持这个功能，你可以从终端挂载它：

 sudo cryptsetup luksOpen/dev/vda3 encrypted-partition 

 sudo mount/dev/mapper/encrypted-partition ~/encrypted-storage 

您现在可以通过文件管理器中的"/home/username/encrypted-storage"访问驱动器。完成后，移除文件系统挂载并关闭虚拟设备：

 cd && sudo umount/dev/mapper/encrypted-partition sudo cryptsetup luksClose/dev/mapper/encrypted-partition 

现在您的重要文件是安全的。知道没有人可以看到您存储在计算机中的内容将使您更加安全。祝你好运！

查看更多：

1. 安装 Kali Linux 时如何加密 LVM 分区
2. 在 Linux 中选择 Scheme 分区
3. 如何隐藏整个文件系统