Com configurar sistemes de fitxers xifrats i intercanviar espai mitjançant l'eina Cryptsetup a Linux - Part 3
Un LFCE (abreviatura de Linux Foundation Certified Engineer) està format i té l'experiència per instal·lar, gestionar i solucionar problemes de serveis de xarxa en sistemes Linux, i s'encarrega de la disseny, implementació i manteniment continu de l'arquitectura del sistema.
Presentació del programa de certificació de la Fundació Linux (LFCE).
La idea darrere del xifratge és permetre que només persones de confiança accedeixin a les vostres dades sensibles i protegir-les de caure en mans equivocades en cas de pèrdua o robatori de la vostra màquina/disc dur.
En termes senzills, s'utilitza una clau per \bloquejar l'accés a la teva informació, de manera que estigui disponible quan el sistema s'està executant i desbloqueja un usuari autoritzat. Això implica que si una persona intenta examinar el contingut del disc (connectant-lo al seu propi sistema o arrencant la màquina amb un LiveCD/DVD/USB), només trobarà dades il·legibles en lloc dels fitxers reals.
En aquest article parlarem de com configurar sistemes de fitxers xifrats amb dm-crypt (abreviatura de device mapper i cryptographic), l'eina estàndard de xifratge a nivell del nucli. Tingueu en compte que com que dm-crypt és una eina a nivell de bloc, només es pot utilitzar per xifrar dispositius complets, particions o dispositius de bucle (no funcionarà amb fitxers o directoris normals).
Preparant una unitat/partició/dispositiu de bucle per al xifratge
Com que esborrarem totes les dades presents a la unitat escollida (/dev/sdb), primer de tot, hem de fer una còpia de seguretat de qualsevol fitxer important contingut en aquesta partició ABANS seguir endavant.
Esborra totes les dades de /dev/sdb. Aquí farem servir l'ordre dd, però també ho podeu fer amb altres eines com ara shred. A continuació, crearem una partició en aquest dispositiu, /dev/sdb1, seguint l'explicació de la Part 4: Crea particions i sistemes de fitxers a Linux de la sèrie LFCS.
# dd if=/dev/urandom of=/dev/sdb bs=4096
Abans de continuar, ens hem d'assegurar que el nostre nucli s'ha compilat amb suport de xifratge:
# grep -i config_dm_crypt /boot/config-$(uname -r)
Com s'indica a la imatge de dalt, el mòdul del nucli dm-crypt s'ha de carregar per configurar el xifratge.
Cryptsetup és una interfície d'interfície per crear, configurar, accedir i gestionar sistemes de fitxers xifrats mitjançant dm-crypt.
# aptitude update && aptitude install cryptsetup [On Ubuntu] # yum update && yum install cryptsetup [On CentOS] # zypper refresh && zypper install cryptsetup [On openSUSE]
El mode operatiu predeterminat per a cryptsetup és LUKS (Linux Unified Key Setup), així que ens mantindrem. Començarem configurant la partició LUKS i la frase de contrasenya:
# cryptsetup -y luksFormat /dev/sdb1
L'ordre anterior executa cryptsetup amb paràmetres predeterminats, que es poden llistar amb,
# cryptsetup --version
Si voleu canviar els paràmetres xifrat, hash o clau, podeu utilitzar els –xifrat, < b>–hash i –key-size, respectivament, amb els valors extrets de /proc/crypto.
A continuació, hem d'obrir la partició LUKS (se'ns demanarà la contrasenya que hem introduït anteriorment). Si l'autenticació té èxit, la nostra partició xifrada estarà disponible a /dev/mapper amb el nom especificat:
# cryptsetup luksOpen /dev/sdb1 my_encrypted_partition
Ara, formatarem la partició com a ext4.
# mkfs.ext4 /dev/mapper/my_encrypted_partition
i creeu un punt de muntatge per muntar la partició xifrada. Finalment, potser volem confirmar si l'operació de muntatge ha tingut èxit.
# mkdir /mnt/enc # mount /dev/mapper/my_encrypted_partition /mnt/enc # mount | grep partition
Quan hàgiu acabat d'escriure o llegir des del vostre sistema de fitxers xifrat, simplement desmunteu-lo
# umount /mnt/enc
i tanqueu la partició LUKS utilitzant,
# cryptesetup luksClose my_encrypted_partition
Finalment, comprovarem si la nostra partició xifrada és segura:
1. Obriu la partició LUKS
# cryptsetup luksOpen /dev/sdb1 my_encrypted_partition
2. Introduïu la vostra frase de contrasenya
3. Munteu la partició
# mount /dev/mapper/my_encrypted_partition /mnt/enc
4. Creeu un fitxer simulat dins del punt de muntatge.
# echo “This is Part 3 of a 12-article series about the LFCE certification” > /mnt/enc/testfile.txt
5. Verifiqueu que podeu accedir al fitxer que acabeu de crear.
# cat /mnt/enc/testfile.txt
6. Desmunteu el sistema de fitxers.
# umount /mnt/enc
7. Tanqueu la partició LUKS.
# cryptsetup luksClose my_encrypted_partition
8. Intenteu muntar la partició com un sistema de fitxers normal. Hauria d'indicar un error.
# mount /dev/sdb1 /mnt/enc
Xifra l'espai d'intercanvi per a més seguretat
La frase de contrasenya que heu introduït anteriorment per utilitzar la partició xifrada s'emmagatzema a la memòria RAM mentre està oberta. Si algú pot posar-se a les mans d'aquesta clau, podrà desxifrar les dades. Això és especialment fàcil de fer en el cas d'un ordinador portàtil, ja que mentre hiberna el contingut de la memòria RAM es manté a la partició d'intercanvi.
Per evitar que una còpia de la clau sigui accessible a un lladre, xifra la partició d'intercanvi seguint aquests passos:
1 Creeu una partició per utilitzar-la com a intercanvi amb la mida adequada (/dev/sdd1 en el nostre cas) i xifreu-la com s'ha explicat anteriorment. Anomena'l només \canvi per comoditat.’
2.Configureu-lo com a intercanvi i activeu-lo.
# mkswap /dev/mapper/swap # swapon /dev/mapper/swap
3. A continuació, canvieu l'entrada corresponent a /etc/fstab.
/dev/mapper/swap none swap sw 0 0
4. Finalment, editeu /etc/crypttab i reinicieu.
swap /dev/sdd1 /dev/urandom swap
Un cop el sistema hagi acabat d'arrencar, podeu verificar l'estat de l'espai d'intercanvi:
# cryptsetup status swap
Resum
En aquest article hem explorat com xifrar una partició i intercanviar espai. Amb aquesta configuració, les vostres dades haurien d'estar considerablement segures. No dubteu a experimentar i no dubteu a contactar amb nosaltres si teniu preguntes o comentaris. Només cal que utilitzeu el formulari següent: estarem més que encantats d'escoltar-vos!