Linux 下实现“连 root 都无法查看和删除”的加密文件夹(附一键挂载 + 自动超时退出)

最新推荐文章于 2025-08-20 23:11:55 发布
最新推荐文章于 2025-08-20 23:11:55 发布
阅读量469 收藏 6
点赞数 5
CC 4.0 BY-SA版权
分类专栏: Linux 文章标签: linux 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scoone/article/details/150556408

🌟 前言

在 Linux 系统中,root 用户几乎拥有“上帝权限”——可以读取、修改、删除任何文件。但你是否曾想过:能否创建一个连 root 都无法查看内容、甚至无法删除的加密文件夹?

虽然 完全阻止 root 删除文件在理论上不可能(root 可以卸载文件系统、加载内核模块等),但我们可以通过 加密 + 不可变属性 + 自动化脚本 的组合,实现一个“实际意义上防 root 访问”的安全文件夹。

本文将手把手教你:

✅ 使用 cryptsetup + LUKS 创建强加密容器
✅ 设置 chattr +i 防止 root 删除
✅ 实现 无操作 10 分钟自动卸载(可自定义)
✅ 创建 桌面一键挂载快捷方式,像 U 盘一样方便
✅ 全程脚本化管理,安全又省心

🧩 一、技术原理

1. 为什么 root 不能完全被限制?

  • root 可以:
    • 读取所有文件
    • 修改权限
    • 卸载磁盘
    • 进入单用户模式
  • 所以 “完全防 root” 是不可能的

✅ 但我们能实现:

目标是否可达实现方式
root 无法读取内容LUKS 加密,无密码无法解密
root 无法删除文件⚠️(有限)chattr +i 设置 immutable 属性
root 无法长期访问自动卸载 + 无操作超时关闭

🔐 核心思想:加密保护内容,属性保护文件,自动化提升安全性

🛠️ 二、创建加密容器(LUKS + cryptsetup)

1. 安装依赖

sudo apt update
sudo apt install cryptsetup inotify-tools libnotify-bin -y

⚠️ inotify-tools 用于监听文件操作,libnotify-bin 用于弹出通知。

2. 创建项目目录

我们统一管理所有加密相关文件:

mkdir -p ~/crypt_data/mount

3. 创建加密镜像文件(如 1GB)

dd if=/dev/zero of=~/crypt_data/container.img bs=1M count=1024

你也可以用 fallocate 更快:

fallocate -l 1G ~/crypt_data/container.img

4. 初始化 LUKS 加密

sudo cryptsetup luksFormat ~/crypt_data/container.img

💡 系统会提示你设置密码,请使用高强度密码

5. 格式化为 ext4 文件系统

sudo cryptsetup open ~/crypt_data/container.img crypt_data_volume --type luks
sudo mkfs.ext4 /dev/mapper/crypt_data_volume
sudo cryptsetup close crypt_data_volume

📜 三、自动化管理脚本(核心)

我们将创建一个功能完整的脚本,支持:

  • init:初始化容器
  • start:挂载(支持 --timeout=N
  • stop:关闭
  • protect:启用防删除
  • unprotect:取消保护
  • 自动超时退出

1. 创建脚本文件

nano ~/crypt_data/crypt-container

2. 粘贴以下脚本内容

#!/bin/bash

# === 配置区 ===
CRYPT_DIR="$HOME/crypt_data"
CONTAINER_IMG="$CRYPT_DIR/container.img"
MOUNT_POINT="$CRYPT_DIR/mount"
MAPPER_NAME="crypt_data_volume"
SCRIPT_PATH="$CRYPT_DIR/crypt-container"

TIMEOUT=600  # 默认 10 分钟自动退出(秒)

if [[ $EUID -eq 0 ]]; then
   echo "❌ 错误:请不要以 root 身份运行此脚本。"
   exit 1
fi

setup_crypt_dir() {
    [[ ! -d "$CRYPT_DIR" ]] && mkdir -p "$CRYPT_DIR"
}

check_and_install_deps() {
    local missing=()
    for cmd in cryptsetup mount chattr lsblk inotifywait; do
        if ! command -v $cmd &> /dev/null; then
            case $cmd in
                cryptsetup) missing+=("cryptsetup") ;;
                chattr|lsattr) missing+=("e2fsprogs") ;;
                inotifywait) missing+=("inotify-tools") ;;
            esac
        fi
    done

    if [[ ${#missing[@]} -gt 0 ]]; then
        sudo apt update && sudo apt install -y "${missing[@]}" || exit 1
    fi
}

show_help() {
    cat << EOF
🔐 加密容器管理器
用法: $SCRIPT_PATH {init|start|stop|status|protect|unprotect} [--timeout=N]

选项:
  --timeout=N  设置无操作自动退出时间(秒)

示例:
  $SCRIPT_PATH start --timeout=300  # 5分钟后自动关闭
EOF
}

do_init() {
    read -p "请输入大小(MB,默认 512): " size
    size=${size:-512}

    fallocate -l ${size}M "$CONTAINER_IMG" || dd if=/dev/zero of="$CONTAINER_IMG" bs=1M count="$size"
    sudo cryptsetup luksFormat "$CONTAINER_IMG"
    sudo cryptsetup open "$CONTAINER_IMG" "$MAPPER_NAME" --type luks
    sudo mkfs.ext4 /dev/mapper/$MAPPER_NAME
    sudo cryptsetup close "$MAPPER_NAME"
    echo "✅ 初始化完成!"
}

check_container() {
    [[ ! -f "$CONTAINER_IMG" ]] && echo "❌ 容器不存在,请先 init" && exit 1
}

do_start() {
    while [[ $# -gt 0 ]]; do
        case $1 in
            --timeout=*)
                TIMEOUT="${1#*=}"
                [[ "$TIMEOUT" =~ ^[0-9]+$ ]] || exit 1
                shift
                ;;
            *) shift ;;
        esac
    done

    check_container
    do_unprotect_silent

    sudo cryptsetup open "$CONTAINER_IMG" "$MAPPER_NAME" --type luks || exit 1
    sudo mount /dev/mapper/$MAPPER_NAME "$MOUNT_POINT" || { sudo cryptsetup close "$MAPPER_NAME"; exit 1; }
    sudo chown -R $USER:$USER "$MOUNT_POINT"

    echo "✅ 已挂载到 $MOUNT_POINT"
    echo "⏱️  ${TIMEOUT}秒无操作将自动关闭"

    touch "$MOUNT_POINT/.last_access"
    while mount | grep -q "$MOUNT_POINT"; do
        inotifywait -t 1 -q -r -e modify,access "$MOUNT_POINT" > /dev/null 2>&1 && touch "$MOUNT_POINT/.last_access"
        find "$MOUNT_POINT/.last_access" -mmin +$((TIMEOUT/60)) > /dev/null 2>&1 && {
            echo "⏰ 超时!正在关闭..."
            do_stop_silent
            break
        }
        sleep 2
    done
}

do_stop_silent() {
    mount | grep -q "$MOUNT_POINT" && sudo umount "$MOUNT_POINT" 2>/dev/null || true
    sudo lsblk -o NAME | grep -q "$MAPPER_NAME" && sudo cryptsetup close "$MAPPER_NAME" 2>/dev/null || true
    do_unprotect_silent
}

do_stop() {
    do_stop_silent
    echo "✅ 已关闭"
}

do_status() {
    echo "容器: $CONTAINER_IMG"
    sudo lsblk -o NAME | grep -q "$MAPPER_NAME" && echo "🔐 已打开" || echo "🔓 未打开"
    mount | grep -q "$MOUNT_POINT" && echo "📁 已挂载" || echo "⚠️ 未挂载"
    [[ -f "$CONTAINER_IMG" ]] && sudo lsattr "$CONTAINER_IMG" | grep -q 'i' && echo "🛡️ 保护: 已启用"
}

do_protect() {
    [[ -f "$CONTAINER_IMG" ]] && sudo chattr +i "$CONTAINER_IMG" && echo "✅ 已启用防删除"
}

do_unprotect_silent() {
    [[ -f "$CONTAINER_IMG" ]] && sudo chattr -i "$CONTAINER_IMG" 2>/dev/null || true
}
do_unprotect() {
    do_unprotect_silent
    echo "🔓 保护已关闭"
}

main() {
    setup_crypt_dir
    check_and_install_deps
    case "${1:-}" in
        init)     do_init ;;
        start)    shift; do_start "$@" ;;
        stop)     do_stop ;;
        status)   do_status ;;
        protect)  do_protect ;;
        unprotect) do_unprotect ;;
        *)        show_help; exit 1 ;;
    esac
}

main "$@"

3. 添加可执行权限

chmod +x ~/crypt_data/crypt-container

⏱️ 四、启用自动超时退出(无操作自动关闭)

脚本已支持:

# 5 分钟无操作自动关闭
~/crypt_data/crypt-container start --timeout=300

# 30 分钟
~/crypt_data/crypt-container start --timeout=1800

✅ 适合办公、公共电脑等场景,防止忘记卸载。

🛡️ 五、防止 root 删除文件(chattr +i)

1. 启用保护

~/crypt_data/crypt-container protect

2. 验证

sudo rm ~/crypt_data/container.img
# 提示:Operation not permitted

3. 取消保护(升级前)

~/crypt_data/crypt-container unprotect

🖱️ 六、创建桌面快捷方式(一键挂载)

1. 创建启动脚本

nano ~/crypt_data/mount-secure.sh

#!/bin/bash
CRYPT_DIR="$HOME/crypt_data"
CONTAINER_SCRIPT="$CRYPT_DIR/crypt-container"
TIMEOUT=600

if [[ ! -x "$CONTAINER_SCRIPT" ]]; then
    notify-send -u critical "❌ 错误" "未找到脚本"
    exit 1
fi

if mount | grep -q "$CRYPT_DIR/mount"; then
    notify-send "⚠️ 已挂载"
    exit 0
fi

if command -v gnome-terminal &> /dev/null; then
    exec gnome-terminal --title="🔐 加密容器" -- bash -c "\
echo '🔓 正在打开...';
$CONTAINER_SCRIPT start --timeout=$TIMEOUT;
echo '✅ 完成,5秒后关闭...';
sleep 5;
"
else
    notify-send -u critical "⚠️ 缺少终端"
    echo "请安装 gnome-terminal"
    sleep 10
fi

chmod +x ~/crypt_data/mount-secure.sh

2. 创建桌面快捷方式

nano ~/Desktop/挂载加密文件夹.desktop

[Desktop Entry]
Version=1.0
Name=🔐 挂载加密文件夹
Comment=一键挂载,10分钟无操作自动关闭
Exec=/home/$USER/crypt_data/mount-secure.sh
Icon=folder-locked
Terminal=false
Type=Application
Categories=Utility;Security;

chmod +x ~/Desktop/挂载加密文件夹.desktop

✅ 双击即可弹出终端输入密码,实现“傻瓜式”操作。

📊 七、使用流程总结

步骤命令
首次初始化~/crypt_data/crypt-container init
挂载使用双击桌面图标 或 start --timeout=600
查看状态status
启用保护protect
手动关闭stop

🎯 八、安全性总结

安全特性是否实现说明
内容加密LUKS + 密码,root 无法读
防 root 删除⚠️chattr +i 可防常规删除
自动卸载无人操作自动关闭
一键使用桌面快捷方式,降低使用门槛

📌 九、注意事项

  1. 物理安全第一:如果别人能接触你的硬盘,仍可能暴力破解。
  2. 备份加密文件container.img 一旦损坏,数据无法恢复。
  3. 不要共享脚本:否则他人可修改逻辑绕过保护。
  4. 定期测试:确保 protect 和自动卸载正常工作。

🎁 十、结语

通过本文的方法,你已经拥有了一个:

“连 root 都无法轻易查看和删除” 的加密文件夹!

它不仅安全,还通过脚本和桌面快捷方式实现了 极简操作,真正做到了“高安全性 + 高可用性”的平衡。

🔗 相关资源

Linux--Ansible服务实现自动运维
恐龙让Lee的博客
07-19 1962
一、Ansible介绍与安装;二、设置主机清单;三、运行临时命令;四、剧本文件实战;五、创建及使用角色;1、加载系统内置角色;2、从外部获取角色;3、创建新的角色;六、创建使用逻辑卷;七、判断主机组名;八、管理文件属性;九、管理密码库文件;致谢
linux下的NFSFTP部署
General_zy的博客
01-17 1665
是一个用于设置/var/ftp目录及其内容的所有者所属组的命令,以确保FTP服务能够正确访问操作这些目录。通过查看/etc/group文件,你可以获取系统中所有用户组的详细信息。如果只需要用户或组名称,可以使用cut命令进行筛选。使用idgroups命令可以查看当前用户的详细信息及其所属的组。这行记录表示ftp用户名ftp用户ID(UID)14组ID(GID)50,通常与组名ftp关联描述FTPUser主目录/var/ftp登录Shell。
忘记root密码怎么办,没关系,一招教你如何防止破解root密码GRUB加密
2301_78594830的博客
04-04 1295
GRUB是一个引导加载程序(bootloader),用于启动管理计算机系统。GRUB,全称为"Grand Unified Bootloader",是LinuxUnix系统上广泛使用的启动管理器。启动操作系统:GRUB负责在计算机开机时加载操作系统的内核到内存中,并启动它。这是启动过程中的第一步,之后内核会初始化系统的其余部分,如Shell、显示管理器桌面环境等。多系统管理:如果计算机上安装了多个操作系统,比如WindowsLinux,GRUB可以让用户选择要启动的特定操作系统。
Linux中安装、配置挂载NFS的完整指南!
tersky的专栏
05-29 565
Linux中安装、配置挂载NFS的完整指南!
Linux进入GRUB改root密码
m0_74821582的博客
04-05 1271
如果我们在登录Linux用户时忘记了Linuxroot密码,可以在GRUB中修改配置来进行恢复。如果我们想保护GRUB引导选项来限制修改,可以设置GRUB密码。输入命令挂载mount -o remoun,rw /sysroot。,确保只有授权人员才能访问,就可以通过这个改变root密码。改变为临时挂载目录chroot /sysroot。最后输入passwd直接修改。还是进入这个界面第二行。
Linux下NAT带宽控制的C++实现指南
weixin_42611310的博客
06-11 1040
Linux NAT(网络地址转换)技术是网络编程系统管理中不可或缺的一部分,它允许在私有网络与公网之间转换IP地址,实现网络的透明访问与安全控制。本章旨在为读者提供对Linux NAT技术的概览,了解其作用与应用场合,并为进一步深入探讨Netfilter框架NAT编程打下基础。NAT技术可以在一个组织内部使用私有IP地址,而在连接到外部网络时使用少量的全局唯一的公共IP地址。这不仅有助于缓解IPv4地址耗尽的问题,还提供了加的安全功能,因为内部网络的拓扑结构对互联网上的用户隐藏。
Linux系统上挂载网络代理
linkedin_21843693的博客
06-29 1429
由于大部分国内镜像已被封锁,且环境安装依赖于外部网络仓库,因此需要在云服务器上设置网络代理。鉴于阿里云上的集群通常通过route节点进行网络出口,我们仅需在该route节点配置路由代理服务即可满足需求。
Linux 系统启动过程及相关实验(破解密码;明文密文加密;修复grub2目录boot目录)
t_suifeng的博客
07-29 797
摘要:本文详细介绍了Linux系统的启动过程,包括从开机自检到进入登录界面的完整流程,并解释了系统运行级别的概念及其配置方法。重点提供了三个实用实验:1)破解root密码的步骤;2)GRUB2引导程序的明文/密文加密方法;3)GRUB2及/boot目录损坏的修复方案。每个实验均包含详细的操作步骤命令说明,涵盖了常见的系统维护场景,如修改GRUB2超时时间、进入救援模式等实用技巧,为Linux系统管理故障排除提供了实用指导。
全网最全 | Linux(Ubuntn)系统安装 | 硬盘挂载 | 用户创建 | 生信分析配置
BioinfoDu
07-24 1957
昨天(2024年7月23日)我们分享了学生及科研人员电脑配置推荐 | 笔记本+外置显卡配置,性能足够支持完成你博士论文文本内容,那么今天我们就分享一文解决 | Linux(Ubuntn)系统安装 | 硬盘挂载 | 用户创建 | 生信分析配置的教程,我们使用一文来解决大家在做生信时遇到安装系统、配置环境的问题。在此文中,我们尽快可能给出一套全网最全的教程。目标是解决新手小白同学查资源的困惑难题。但是,每个童鞋遇到的问题不一样,此教程也不可能把你遇到的每个问题都归纳在其中。我们也希望,
linux 系统虚拟机与开发板都在同一局域网下,如何将文件夹挂载到开发板上
03-21
好的,我需要帮助用户了解如何将文件夹Linux虚拟机挂载到同一局域网下的开发板上。首先,我应该理清步骤,确保覆盖所有必要环节。 首先,用户的环境是Linux虚拟机开发板在同一局域网下。目标是将虚拟机上的...
一文解决 | Linux(Ubuntn)系统安装 | 硬盘挂载 | 用户创建 | 生信分析配置
BioinfoDu
07-24 1637
注意:我们文章中只是总结了一部分内容,很多详细的内容,都需要自己有正对性的设置,大家可以尽情地“度娘”。中,@九筒同学的教程,这个教程他在23日刚做了更新,比较全面,我们就直接引用他的教程即可。若是这个教程,无法满足您的需求,那么你也可以继续查找其他的教程,在网上一搜索,会有很多个教程。用户还需要一个密码。是一个用于更改用户密码的命令,或者具有管理员权限的用户可以更改其他用户的密码。对于制作启动盘的工具更多,我们这里只是进行介绍我们本次安装时所使用到的工具,其余的工具,大家可以结合自己实际情况而定。
Linux_加密安全详细介绍
Blog of Stevenux
11-10 985
加密安全 一.安全机制 安全攻击的几种典型方式: STRIDE Spoofing 假冒 Tampering 篡改 Repudiation 否认 Information Disclosure 信息泄漏 Denial of Service 拒绝服务 Elevation of Priv...
PXE + KS 实现系统自动部署系统
weixin_44983653的博客
10-13 3073
PXE 系统部署PXE 节点部署1、DHCP Server 部署1.1 DHCP Server 配置1.2 DHCP Server 服务启动2、tftp server 部署2.1 安装 tftp server client2.2 验证并登陆 tftp3、制作 yum 仓库3.1 安装 httpd3.2 挂载镜像光盘3.3 进行 web 访问,可以访问成功4、准备 PXE 文件4.1 安装 sy...
【实时Linux实战系列】基于实时Linux的自适应控制系统
望获实时Linux系统
08-19 709
本文介绍了基于实时Linux的自适应控制系统开发技术,重点阐述了其在工业自动化、航空航天等领域的应用价值。文章详细说明了环境准备、案例实现步骤调试方法,包括温度自适应控制系统的开发过程,涉及实时任务调度、传感器数据采集PWM控制等关键技术。同时提供了常见问题的解决方案性能优化建议,为开发者掌握这一技术提供了实用指导。该技术能显著提升系统响应速度稳定性,适用于需要高精度实时控制的各类场景。
Linux仓库】进程等待【进程·捌】
最新发布
egoist2023的博客
08-20 759
本文介绍了Linux中进程等待的必要性实现方法。主要内容包括:1)子进程退出后若父进程不回收会导致僵尸进程内存泄漏;2)waitwaitpid函数的使用方法,重点讲解了如何获取子进程退出状态信号编号;3)非阻塞等待的实现方式,通过WNOHANG选项让父进程在等待子进程时能同时处理其他任务;4)解释了孤儿进程无法被Ctrl+C终止的原因。文章还通过代码示例演示了如何正确获取子进程退出信号,以及父进程如何通过轮询方式非阻塞等待子进程。
Linux -- 文件【下】
2301_80059080的博客
08-17 856
本文讲述了EXT2文件系统的构成,以及文件增删查改背后的原理,及文件时间,还介绍了软硬链接。
网络运维Linux 文本处理利器:sed 命令
G_H_S_3_的博客
08-20 460
sed(Stream Editor)是一款非交互式的流编辑器,诞生于 1973–1974 年间的贝尔实验室,由 McMahon 开发。它专为文本处理而生,功能强大,是 Linux 文本处理常客之一。 (另外两名常客通常视为 grep命令 awk命令) 其中,sed 与 awk 并称 Linux/Unix 两大文字处理王牌工具,sed 侧重于替换,awk 侧重于分割与重组。 本文将深入探讨 sed 命令的使用方法与实用技巧。
如何在rk3588 Linux 主板 中使用 HDMI IN?
Wynter
08-19 345
本文介绍了在Linux ARM64平台上使用ffplay播放HDMI输入信号的方法。通过V4L2设备识别HDMI输入源(/dev/videoX),使用ffplay命令捕获信号,并详细说明了参数配置、常见问题解决方案。内容包括:设备检测、基本播放命令、高级参数调整(帧率控制、硬件加速等)、常见错误处理及完整示例命令。该方法适用于开发调试、监控预览等场景,也可结合ffmpeg进行录制。核心步骤为识别设备、匹配格式分辨率、参数优化,为Linux系统实现HDMI输入功能提供了实用方案。
linux 常用代码
jacke121的专栏
08-17 211
linux 常用代码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值