https://ivonblog.com/tags/luks/Recent content in LUKS on Ivon的部落格Hugo -- gohugo.iozh-TWinfoivonblog.nkfjt@aleeas.com (Ivon Huang)infoivonblog.nkfjt@aleeas.com (Ivon Huang)歡迎分享Ivon的部落格(ivonblog.com)的文章，引用請註明文章網址，並遵守【姓名標示-非商業性-禁止改作 4.0 國際】授權條款。如需商業使用請來信告之。Thu, 02 Apr 2026 17:00:00 +0800https://ivonblog.com/posts/systemd-homed-usage/Thu, 02 Apr 2026 17:00:00 +0800infoivonblog.nkfjt@aleeas.com (Ivon Huang)https://ivonblog.com/posts/systemd-homed-usage/<p>Systemd-homed是Systemd v245加入的一個功能，提供一種不依賴Linux主機的機制，來管理使用者帳號與家目錄的資料。正是所謂的重新定義Home管理流程。</p> <p>解說systemd-home的優勢，並討論如何在Ubuntu使用這個功能。</p> <h2 class="relative group">1. systemd-homed優勢 <div id="1-systemd-homed優勢" class="anchor"></div> <span class="absolute top-0 w-6 transition-opacity opacity-0 -start-6 not-prose group-hover:opacity-100 select-none"> <a class="text-primary-300 dark:text-neutral-700 !no-underline" href="#1-systemd-homed%e5%84%aa%e5%8b%a2" aria-label="定位點">#</a> </span> </h2> <p>傳統上Linux系統行之有年的方式，是透過<code>useradd</code>指令新增使用者，<code>usermod</code>調整群組，再搭配<code>/etc/passwd</code>管理密碼。</p> <p>systemd-homed將這個過程大幅簡化。</p> <p>systemd-homed與傳統Linux管理使用者的機制如下圖所示： <figure> <img class="my-0 rounded-md" loading="lazy" decoding="async" fetchpriority="low" alt="" src="https://ivonblog.com/posts/systemd-homed-usage/images/diagram1.webp" onerror="this.onerror=null;this.src='https://ivonblog.com/images/cannotloadimage.avif'" width="1024" height="673"></figure> <figure> <img class="my-0 rounded-md" loading="lazy" decoding="async" fetchpriority="low" alt="" src="https://ivonblog.com/posts/systemd-homed-usage/images/diagram2.webp" onerror="this.onerror=null;this.src='https://ivonblog.com/images/cannotloadimage.avif'" width="1024" height="853"></figure></p> <p>傳統的Linux家目錄，通常是建立使用者之後一併建立的。它建立後就會存在於檔案系統。換言之，如果把硬碟抽出來，是可以直接讀取使用者家目錄的檔案的。</p> <p>systemd-homed將使用者家目錄變成映像檔管理，開機登入後才會動態掛載，登出後取消掛載，增加安全性。</p> <p>systemd-homed還能將使用者的家目錄用LUKS / fscrypt / cifs / btrfs加密保護，外人即使拿到硬碟也難以讀取。</p> <p>透過<code>homectl</code>指令，可以新增或刪除使用者，編輯使用者的基本資料，設定容量限制等等操作。</p>https://ivonblog.com/posts/pinephone-luks-disk-encryption/Wed, 17 Aug 2022 01:52:46 +0800infoivonblog.nkfjt@aleeas.com (Ivon Huang)https://ivonblog.com/posts/pinephone-luks-disk-encryption/<p>已有PinePhone的Linux發行版在其安裝程式提供硬碟加密(Full Disk Encrpytion)的功能，此舉可保護你的手機資料不被人讀取出來，不過也會增加系統複雜度。</p> <p>採用的技術為&quot;LUKS&quot;加密，目前有這個功能，並且容易設定的<a href="https://ivonblog.com/posts/linux-mobile-distros/" target="_blank" rel="noreferrer">手機Linux發行版</a>為postmarketOS和Mobian；Arch Linux ARM以及Manjaro ARM也有提供<a href="https://github.com/dreemurrs-embedded/archarm-mobile-fde-installer" target="_blank" rel="noreferrer">腳本</a>安裝。</p> <p>(圖片來自<a href="https://gitlab.com/cryptsetup/cryptsetup" target="_blank" rel="noreferrer">Gitlab</a>以及<a href="https://www.pine64.org/pinephone/" target="_blank" rel="noreferrer">PinePhone</a>官網)</p> <p><figure> <img class="my-0 rounded-md" loading="lazy" decoding="async" fetchpriority="low" alt="" src="https://i.imgur.com/hXg549X.jpg" onerror="this.onerror=null;this.src='https://ivonblog.com/images/cannotloadimage.avif'" ></figure></p> <h2 class="relative group">1. 背景 <div id="1-背景" class="anchor"></div> <span class="absolute top-0 w-6 transition-opacity opacity-0 -start-6 not-prose group-hover:opacity-100 select-none"> <a class="text-primary-300 dark:text-neutral-700 !no-underline" href="#1-%e8%83%8c%e6%99%af" aria-label="定位點">#</a> </span> </h2> <p>PinePhone預設會從SD卡開機，如果插入裝有<a href="https://github.com/dreemurrs-embedded/Jumpdrive" target="_blank" rel="noreferrer">Jumpdrive</a>的SD卡開機，手機內部的分區資料就會一覽無疑。Jumpdrive原意是要讓人簡單安裝系統，大多數發行版也不會給分區加密，但這樣的話無法確保手機資料安全。</p> <p>因此，唯有讓手機的資料就算插到電腦能被讀取，也是呈現加密狀態，這樣才能有保護效果。</p> <h2 class="relative group">2. LUKS加密簡介 <div id="2-luks加密簡介" class="anchor"></div> <span class="absolute top-0 w-6 transition-opacity opacity-0 -start-6 not-prose group-hover:opacity-100 select-none"> <a class="text-primary-300 dark:text-neutral-700 !no-underline" href="#2-luks%e5%8a%a0%e5%af%86%e7%b0%a1%e4%bb%8b" aria-label="定位點">#</a> </span> </h2> <p>根據紅帽公司的<a href="https://access.redhat.com/documentation/zh-tw/red_hat_enterprise_linux/6/html/installation_guide/apcs02" target="_blank" rel="noreferrer">介紹</a>：</p> <blockquote><p>Linux Unified Key Setup（LUKS）是個區塊裝置加密的規格。它會為資料建置一個 on-disk 的格式，以及一個密碼/金鑰管理政策。LUKS 透過了 dm-crypt 模組使用 kernel 裝置映射子系統。這提供了一個能夠處理裝置資料加密與解密的低階層映射。用戶層級的作業（比方說建立和存取已加密的裝置）是透過使用 cryptsetup 這項工具來完成的。</p> </blockquote><p>使用者可以將目前的硬碟加密。在使用者存取硬碟時，必須要輸入一組密碼，硬碟資料才能以明文方式讀取。換電腦仍然可以解密硬碟。</p> <h2 class="relative group">3. postmarketOS啟用硬碟加密 <div id="3-postmarketos啟用硬碟加密" class="anchor"></div> <span class="absolute top-0 w-6 transition-opacity opacity-0 -start-6 not-prose group-hover:opacity-100 select-none"> <a class="text-primary-300 dark:text-neutral-700 !no-underline" href="#3-postmarketos%e5%95%9f%e7%94%a8%e7%a1%ac%e7%a2%9f%e5%8a%a0%e5%af%86" aria-label="定位點">#</a> </span> </h2> <p>postmarektOS的安裝方法有pmbootstrap、以及使用官方建立的映像檔二種。加密的主要是<code>pmOS_root</code>分區。硬碟加密後，開機要另外輸入解密的密碼。</p>