cryptsetup – шифрование раздела

Установка пакета cryptsetup:
$ sudo aptitude install cryptsetup
Теперь заполняем весь раздел случайными данными, так как cryptsetup, в отличии от truecrypt, не занимается этой операцией. Процесс очень долгий и многочасовой. (Сейчас проделываю эту операцию. Два sata-3 винчестера от сигейта в софтовом зеркале – примерно 500 мегабайт в час.) По окончании этой операции мы будем иметь устройство или раздел, заполненное неповторяющейся случайной мешаниной:
$ sudo openssl rc4 -e -kfile /dev/urandom -in /dev/zero | dd bs=1M of=/dev/sdX1
Продолжаем. Не знаю как правильно это описать, но создаём заголовок криптоконтейнера на устройстве. Операция очень быстрая, так как заполнение раздела шумом мы выполнили на предыдущем шаге. После этой операции и последующего открытия контейнера, информация, которую мы будем записывать и считывать с этого устройства/раздела, будет проходить через прозрачное шифрование/расшифровывание. При данной операции нас попросят назначит пароль для этого контейнера. Я выбрал, как мне кажется, наиболее передовой механизм шифрования aes-xts-plain, с приемлемой длиной ключа в 256 байт. И ещё, YES надо вводить заглавными буквами:
$ sudo cryptsetup -h sha256 -c aes-xts-plain -s 256 luksFormat /dev/sdX1
Продолжаем. Инициализация/открытие криптоконтейнера и назначение ему удобоваримого имени, каковое имя можно будет употреблять в долженствующих для этого случаях. Для открытия контейнера придётся ввести пароль, который мы придумывали на предыдущем шаге. Открытый криптоящик будет виден под назначенным именем через мэппер – /dev/mapper/назначенное имя. Truecrypt, если не ошибаюсь, автоматически назначает открытым контейнерам имена /dev/mapper/truecrypt1, /dev/mapper/truecrypt2:
$ sudo cryptsetup luksOpen /dev/sdX1 MoiSecretYaschik
Enter LUKS passphrase:
После первого открытия контейнера, надо отформатировать новоявленный секретный ящик (вероятно будет лучше использовать xfs, которая, по моему мнению и опыту, отличается чрезвычайной надёжностью, в отличии от ext4):
$ sudo mkfs.ext4 -L SecretFiles /dev/mapper/MoiSecretYaschik
Теперь создаём папку, к которой мы и будем монтировать свежеотформатированный ящик:
$ sudo mkdir /media/Secrets
Монтируем наш контейнер на созданную папку:
$ sudo mount /dev/mapper/MoiSecretYaschik /media/Secrets
Назначаем права на папку:
$ sudo chown -R myusername.myusername /media/Secrets
А вот и отмонтирование папки, после работы с зашифрованной информацией:
$ sudo umount /media/Secrets
И закрытие контейнера:
$ sudo cryptsetup luksClose /dev/mapper/MoiSecretYaschik

Ссылка на использованный материал:
http://mcwhirter.com.au/craige/blog/2012/EncryptedBackupsonDebian70Wheezy