Шифрованный образ раздела

Изредка бывает необходимо зашифровать не целый раздел, а отдельный образ раздела, хранящийся в виде файла. Плюсы в таком подходе - лёгкость переноса образа на другую машину, отсутствие необходимости двигать разделы и т.д.

Использовать будем старый добрый LUKS, с той небольшой разницей, что работа будет вестись с loop-устройством.
Создали сам образ из псевдослучайных значений:

# dd if=/dev/urandom of=/mnt/250/image.img bs=4M count=10

Создаём ассоциацию образа и loop-устройства:

# losetup /dev/loop0 /mnt/250/image.img

Вместо непосредственно указания loop-устройства можно поставить опцию -f, что значит "найти незанятое устройство".
А дальше работа с /dev/loop0 ничем не отличается от обычной работы cryptosetup:

# cryptosetup luksFormat /dev/loop0
# cryptosetup luksOpen /dev/loop0 secret
# mkfs.ext3 /dev/mapper/secret
# mount /dev/mapper/secret /mnt/secret

Отключение в таком порядке:

# umount /mnt/secret
# cryptosetup luksClose secret
# losetup -d /dev/loop0