需求：

1. 在便携硬盘盒（M.2 SATA/NVME）安装 Linux（Ubuntu/Zorin），以便在不同的电脑上都可以启动使用。
2. root 级别的系统分区加密（使用 LUKS & LVM）。
3. 不要把整块硬盘都加密，而是在硬盘上保留一个未加密分区。这样也可以作为普通的移动硬盘使用。

——这篇攻略和是否外置硬盘盒，没多大关系。普通内置硬盘也可以这样加密安装。

最新的 Ubuntu 22.04 之后的版本，在安装界面里自带了 LVM 全盘加密安装的选项。但是并不能满足第 3 条需求。所以还需要一些复杂的手动操作。

安装过程尽量围绕 ubuntu 的图形安装界面，对新人友好。参考并验证了这篇教程。但原文连同 /boot 引导分区也一起加密了，于是在配置上略显繁琐。我觉得加密 /boot 并不是很有必要，做了一些改动。最终的硬盘分区结构为（以 512GB 硬盘为例）：

• 大约 800MB，EFI 引导分区
• 大约 300GB，LUKS 加密分区。在其中配置 LVM 逻辑分区：
  • 2GB，swap 交换分区
  • 大约 300GB，Ubuntu 系统分区 root /
• 大约 200GB，普通移动硬盘分区

---

操作步骤：

下载 Ubuntu，制作 USB 安装盘（过程略）。——然后，强烈建议在整个安装过程之前，在电脑的 BIOS 里，把内置的其它硬盘暂时卸载。

插上移动硬盘和 USB 启动盘。从 U 盘启动电脑，选择 Try Ubuntu。最新的 Ubuntu 22.04 安装程序里，已经内置了所需的 cryptsetup 和 cryptsetup-initramfs 软件包。因此，整个安装过程中，应该不需要连接互联网。

首先，把硬盘预分区。分区软件有很多种，可以用原文的 sgdidk，也可以直接用图形界面下的 Disk 或者 Gparted。在硬盘上创建 GPT 分区表，然后分成：

• 大约 800MB，EFI 引导分区
• 大约 300GB，要加密的系统分区
• 余下的约 200GB 移动硬盘

这些分区都先不用格式化。记住第二个分区的名字，本文假定为 /dev/sda2。

分区成功后，关闭分区软件，打开 Terminal 命令界面，执行 root 权限

sudo -i

将系统分区加密。按提示输入密码，——这个密码，就是以后每次启动时，挂在硬盘用的密码。和安装 Ubuntu 时的用户密码，并不是一回事。

cryptsetup luksFormat --type=luks1 /dev/sda2

解锁刚刚加密的分区：

cryptsetup open /dev/sda2 hd2_crypt

创建逻辑卷组（LVM），然后在其中创建 2GB 的 swap 交换分区，再把剩余的空间创建为系统分区（这两个分区的大小，大家自行调整）：

pvcreate /dev/mapper/hd2_crypt

vgcreate ubuntu--vg /dev/mapper/hd2_crypt

lvcreate -L 2G -n swap_1 ubuntu--vg

lvcreate -l 100%FREE -n root ubuntu--vg

然后，运行桌面上的 Ubuntu 安装程序（Terminal 先不要关），在磁盘分区页面，选择 Something else，进行手动分区。

• 把 /dev/mapper/ubuntu—-vg-root 格式化成 ext4，挂载为系统根目录 /
• 把 /dev/mapper/ubuntu—-vg-swap_1 设为 swap 交换分区
• 把 /dev/sda1 设为 EFI 引导分区

点击 Install Now，确认对分区的设置。注意，到了下一步创建用户的界面时，先不要继续。切换回 Terminal 命令行界面，正式安装前，在 GRUB 中启用加密（能看懂下面这些命令的话，也可以直接去编辑相应的文件）：

while [ ! -d /target/etc/default/grub.d ]; do sleep 1; done; echo "GRUB_ENABLE_CRYPTODISK=y" > /target/etc/default/grub.d/local.cfg

然后回到创建用户的页面，点击继续，开始安装系统。安装结束后，先不要 restart。而是点击 Continue Testing。

回到 Terminal 命令行界面，chroot 到新装的系统：

mount /dev/mapper/ubuntu----vg-root /target

for n in proc sys dev etc/resolv.conf; do mount --rbind /$n /target/$n; done

chroot /target

mount -a

原文说此时需要（联网）安装 apt install cryptsetup-initramfs；但我用的 ubuntu 安装程序已经自带了，并不需要联网安装软件包。

添加密钥文件相关设置：

echo "KEYFILE_PATTERN=/etc/luks/*.keyfile" >> /etc/cryptsetup-initramfs/conf-hook

echo "UMASK=0077" >> /etc/initramfs-tools/initramfs.conf

创建密钥文件并将其添加到 LUKS

mkdir /etc/luks

dd if=/dev/urandom of=/etc/luks/boot_os.keyfile bs=512 count=1

chmod u=rx,go-rwx /etc/luks

chmod u=r,go-rwx /etc/luks/boot_os.keyfile

将密钥添加到 boot_os.file 和 Crypttab

cryptsetup luksAddKey /dev/sda2 /etc/luks/boot_os.keyfile

echo "hd2_crypt UUID=$(blkid -s UUID -o value /dev/sda2) /etc/luks/boot_os.keyfile luks,discard" >> /etc/crypttab

更新 Initialramfs 内核映像

update-initramfs -u -k all

此时全部结束。可以重启系统啦。

---

关于这个硬盘密码：

• 是用来防止，别人拿到这块硬盘时，无法查看硬盘的文件；
• 并不能防止，当你登入系统后，因为系统漏洞或操作失误，而造成的入侵；
• 这个密码，如果忘记了，硬盘里的文件，就再也无法看到了！！（有添加 recovery 的操作，但我觉得没必要）；
• 每次开机启动时，都要输入一次这个密码。所以，虽然密码需要足够复杂，但最好选一个，自己能方便记住，日常使用的方式。

如何修改硬盘密码：

最简单的方式，是在已经启动的移动硬盘系统里，先通过 disk 等分区软件，确认加密分区的名字（这里假设仍然是 /dev/sda2，但实际上不一定了），打开 Terminal 界面，

sudo -i

cryptsetup luksChangeKey /dev/sda2

按照提示，输入旧密码，再输入两遍新密码。最后，更新 initramfs，

update-initramfs -u -k all

就可以了。

Cygwin 是一个 Windows 下的 Linux POSIX 模拟器，通过它我们可以直接运行一个 Linux 终端，非常好用。

网络上关于如何添加一个 “在当前目录打开 Cygwin” 的右键菜单的教程有很多，但是这些方法都有一个问题，那就是不能在中文目录下正常工作，于是研究了一番，修复了这个问题。

探索

既然英文路径可以但中文不行，我最先想到的是使用 Cygwin 自带的 base64 命令，将 encode(path) 后的非中文字符串传给 Cygwin 之后，再 decode 得到包含中文的路径。然而不行，正确的 base64 传递到 Cygwin 之后 decode 却是乱码。

问题的原因很容易想到，那就是编码的问题。经过几次输出中间变量后验证了这个猜想：Windows 采用的是 GB2312 编码，而 Cygwin 采用的是 UTF-8. Windows 将当前路径作为参数传递给 Cygwin 主程序时，Cygwin 不能正确读取路径。

解决

修改 Windows 或者 Cygwin 的默认编码肯定是下下之策。解决该问题最终还是绕不开编码转换。我最终的思路为：

1. 右键点击后，Windows 将当前路径作为参数 1 传递给 run_by_right_click.bat 入口程序
2. run_by_right_click.bat 将路径写入 chere.path 文件（GB2312 编码），并运行 Cygwin
3. Cygwin 运行后，将 chere.path 转换为 UTF-8 编码，读取后 cd

我的 Cygwin 安装目录为 C:\cygwin64，Shell 为 ZSH，如果你使用的是 Bash，有的地方与我的不同。具体步骤如下：

step1. 创建右键按钮

导入注册表文件 cygwin.reg：

Windows Registry Editor Version 5.00
 [HKEY_CLASSES_ROOT\Directory\Background\shell\cygwin64_bash]
 @="打开 Cygwin 终端"
 "icon"="C:\cygwin64\Cygwin.ico"
 [HKEY_CLASSES_ROOT\Directory\Background\shell\cygwin64_bash\command]
 @="C:\cygwin64\run_by_right_click.bat \"%V\""

step2. 编写入口程序

我们的入口程序 C:\cygwin64\run_by_right_click.bat

@echo off
 SET dir=%1
 REM 双引号删除
 SET dir=%dir:"=%

 C:
 chdir C:\cygwin64
 rem del /Q chere.path
 set /p="%dir%">chere.path
 bin\zsh.exe -li

bat 代码是真的难写。。。写这段代码我便踩了无数的坑。

step3. 完成目录跳转

在 Cygwin 内编写 ~/.zshrc，在末尾添加目录跳转命令：

if [ -e /chere.path ];then
     /usr/bin/enca -L zh_CN -x utf-8 /chere.path
     CPWD=/usr/bin/cat /chere.path
     rm /chere.path
     cd /bin/cygpath "$CPWD"
 fi

这里用到了 enca 用于自动编码转换，所以需要在 Cygwin 包管理器中安装这个软件。

over！ 现在便可以在中文文件夹中右键打开 Cygwin 了。

为啥我要用 Cygwin

最后最后。你可能会说，为啥都新世纪了，你还在用 Cygwin 这种… 模拟器？原生 Linux/ 虚拟机 不好用嘛？WSL 不香吗？甚至 Powershell 不也不错？

那我还真觉得 Cygwin 秒杀上述所有的方案。首先，我只是想在 Windows 上安装一个代替 cmd 的 Shell 环境用于日常操作，并不需要高性能什么的，所以原生 Linux 系统、虚拟机、Docker 就不是解决同一个问题的东西。

至于 Powershell，虽说是比 cmd 好多了，但毕竟是另一套语法和体系，我不想学它也对它不感兴趣。Bash+GNU tools 那才是世界通用法则。ZSH 作为日常使用的终端也确实美观好用！

而 WSL 这东西确实很吸引人，性能比 Cygwin 强太多，几乎就是原生系统。然而！WSL 运行于内核态，与 Windows 平级，就算有文件系统的映射，WSL 也并不能直接当作 Windows 的 Shell 来使用的。看下面的图你就知道我在说啥了。

图中，npm 和 git 是我在 Windows 中安装的 exe 包，而 ssh、tail、md5sum 是 Cygwin 中提供的 Linux 命令，直接相互调用无压力，这才是 Windows 中我想要的 Shell 的样子。可是 WSL 是不能这么做的，两个系统是隔开的。

我这基于 OpenWrt 的路由器可以说是超级强大，不仅仅是一个无线路由器，插上 U 盘可以变身为 NAS+下载机，可以运行 Python 小程序，甚至还有人在上面搭建 LNMP 运行 Owncloud。可以说是一台 VPS 可以干的事情我都可以在宿舍的路由器上实现，十分强大。

然而最近才了解到，这颗 580MHz 的 MTK7260A 仅仅是一颗智能路由器当中处于中低端的 CPU，说实话我是不信的，于是打算用 UnixBench 来客观测试一下这个小家伙的真实水平。

UnixBench 是基于 Perl 并拥有 30 年历史的基准测试软件，也就是跑分软件。通过运行一系列科学计算函数测试 CPU 性能，以及 OS 的任务执行效率、硬盘性能等。最终得到一个分数。

测试平台

路由器：Newifi Mini
OS：LEDE 17.01.2（一个 OpenWrt 的著名分支）
Linux Kernel：4.4.71
架构：MIPS
RAM：128M
ROM：16M

系统基本为纯净的 LEDE，除了正在运行着路由器的基本网络服务外，跑分时运行了一个 PPTP VPN Client 服务。

交叉编译及运行步骤

OpenWrt 的 libgcc 套件体积 22M 的样子，但正如上面所写，我的路由器 ROM 总共只有 16M，挂载分区什么的不是很有必要，于是我使用交叉编译 UnixBench。

简单介绍一下交叉编译的步骤吧：

1、找一台 x64 的 Linux 机器，按照 <https://wiki.openwrt.org/doc/devel/crosscompile> 步骤开始接下来的操作。必须得要 x64 的主机。

2、下载你的路由器当前系统当前机型对应的 DevPack，比如我的 LEDE 在这里下载的：<http://downloads.lede-project.org/releases/17.01.2/targets/ramips/mt7620/lede-sdk-17.01.2-ramips-mt7620_gcc-5.4.0_musl-1.1.16.Linux-x86_64.tar.xz>，OpenWrt 请在 <https://downloads.openwrt.org/> 下寻找。

3、按照官方 Wiki 的步骤将编译器添加到环境变量。

4、下载 UnixBench 的源代码并解压：<https://github.com/kdlucas/byte-unixbench>

5、开始编译。这里注意官方 Wiki 有误，请使用 make CC=mipsel-openwrt-linux-musl-gcc LD=mipsel-openwrt-linux-musl-ld 命令使用指定编译器进行编译。

6、编译失败？根据提示删除 Makefile 中编译器无法识别的两个参数，即可完成编译。

7、将除了 /src 外的文件 scp 到路由器。

8、安装相关依赖：opkg install perlbase-posix perl perlbase-time perlbase-io perlbase-findbin coreutils-od，跑分完后即可删除。

9、尝试运行 ./Run，你会发现弹出错误，根据错误内容做出以下修改。

10、修改 ./Run，注释掉 use strict 和两处尝试执行 make all 的语句。

11、这时再运行 ./Run，就已经自动开始跑分了。虽然会有几个 Wrong 弹出，但是不要紧。

基准测试结果

========================================================================
   BYTE UNIX Benchmarks (Version 5.1.3)

   System: : GNU/Linux
   OS: GNU/Linux -- 4.4.71 -- #0 Wed Jun 7 19:24:41 2017
   Machine: mips (unknown)
   Language:  (charmap=, collate=)
   17:01:34 up 13:01,  load average: 0.25, 0.49, 0.34; runlevel

------------------------------------------------------------------------
Benchmark Run: Sun Sep 24 2017 17:01:34 - 17:37:25
0 CPUs in system; running 1 parallel copy of tests

Dhrystone 2 using register variables        1261494.8 lps   (10.0 s, 7 samples)
Double-Precision Whetstone                       24.3 MWIPS (9.9 s, 7 samples)
Execl Throughput                                452.5 lps   (29.9 s, 2 samples)
File Copy 1024 bufsize 2000 maxblocks            41.0 KBps  (30.0 s, 2 samples)
File Copy 256 bufsize 500 maxblocks              18.5 KBps  (30.0 s, 2 samples)
File Copy 4096 bufsize 8000 maxblocks           115.4 KBps  (30.0 s, 2 samples)
Pipe Throughput                              154847.5 lps   (10.0 s, 7 samples)
Pipe-based Context Switching                  51157.7 lps   (10.0 s, 7 samples)
Process Creation                               1260.9 lps   (30.0 s, 2 samples)
Shell Scripts (1 concurrent)                     43.2 lpm   (61.1 s, 2 samples)
Shell Scripts (8 concurrent)                      6.5 lpm   (64.3 s, 2 samples)
System Call Overhead                         308931.8 lps   (10.0 s, 7 samples)

System Benchmarks Index Values               BASELINE       RESULT    INDEX
Dhrystone 2 using register variables         116700.0    1261494.8    108.1
Double-Precision Whetstone                       55.0         24.3      4.4
Execl Throughput                                 43.0        452.5    105.2
File Copy 1024 bufsize 2000 maxblocks          3960.0         41.0      0.1
File Copy 256 bufsize 500 maxblocks            1655.0         18.5      0.1
File Copy 4096 bufsize 8000 maxblocks          5800.0        115.4      0.2
Pipe Throughput                               12440.0     154847.5    124.5
Pipe-based Context Switching                   4000.0      51157.7    127.9
Process Creation                                126.0       1260.9    100.1
Shell Scripts (1 concurrent)                     42.4         43.2     10.2
Shell Scripts (8 concurrent)                      6.0          6.5     10.9
System Call Overhead                          15000.0     308931.8    206.0
                                                                   ========
System Benchmarks Index Score                                          11.3

感叹

总分 11.3 是什么水平呢，我用我的洛杉矶服务器也跑了一下，3.5GHz 的 E3 处理器，不过是共享主机，并且只有单核的使用权。得到的分数为 1245.

这说明，这个功率为 10W 不到的路由器综合能力果然很弱，哈哈哈。。。

不过就算再弱，竟然可以跑完整的 Linux 4.4，能够运行起 Python、Nginx、MySQL、PHP-FPM、SSHD、Samba、DNS 等等一系列服务，还非常的稳定，不得不让人对 Linux 竖起大拇指呀~

 

---

后来我又换了 K3 路由器，ARM 双核 1.4GHz，可以代表着当前家用路由的最高水平，我用它跑了一遍 UnixBench，结果见下一页。