Quando falamos de segurança da informação, podemos usar várias técnicas e ferramentas para evitar intrusões remotas e locais através do terminal. Mas nós devemos pensar em outras possibilidades além do acesso ao terminal propriamente dito.

Como podemos garantir a segurança do nosso servidor se ele for roubado? E se alguém conseguir clonar o HD? E se roubarem o nosso notebook?

Nessas situações não teremos o que fazer, o ladrão (invasor) vai ter acesso a todas as nossas informações.

O que podemos fazer para evitar esse tipo de situação?

Existem duas coisas que podemos fazer:

A primeira é ter uma boa proteção física aos seus servidores, colocando acessos através de cartões, acessos biométricos, salas cofres ou pelo menos que a sala fique trancada e somente pessoas de confiança tenham acesso a eles.

O segundo ponto é criptografar o disco, ou melhor dizendo, colocar uma criptografia nas partições onde ficam as informações confidencias da empresa.

Como fazer essa criptografia

Para trabalharmos com criptografia de discos e partições, devemos adotar primeiramente um método de criptografia. Um método que é muito recomendado em sistemas GNU/Linux é o LUKS, que significa Linux Unified Key Setup.

O LUKS foi desenvolvido para implementar uma padrão único de criptografia de discos, pois outras soluções não mantinham uma padronização de criptografia, o que causava grandes dores de cabeças aos usuários quando precisavam fazer alguma migração de versão ou migração de ferramentas.

Por que o LUKS?

Por que o LUKS é um método padronizado de implementar criptografia de discos.

Qual tipo de padrão?

O LUKS se baseia em uma documentação escrita por Clemens Fruhwirth chamada "TKS1 - An anti-forensic, two level, and iterated key setup scheme". Pode-se dizer que o LUKS é a implementação de prova de conceitos dessa documentação. Para implementarmos o LUKS em um sistema Linux utilizaremos as seguintes ferramentas:

• dm-crypt: o dm-crypt é um subsistema de criptografia de discos em kernel Linux versão 2.6. Ele faz parte do infraestrutura device-mapper (sistema de mapeamento de dispositivos de blocos). O dm-crypt foi desenvolvido para trabalhar com vários modos de criptografia, como CBC, ESSIV, LRW e XTS. Como o dm-crypt reside na camada de kernel, ele precisa de front-ends para criar os dispositivos criptografados e manuseá-los. Esses front-ends são o cryptsetup e cryptmount.
• cryptsetup: o cryptsetup é usado para configurar a criptografia nos dispositivos utilizando o dm-crypt. Ele possui comandos para trabalhar com e sem o LUKS.
• cryptmount: comando usado para montar/desmontar dispositivos criptografados. Ele permite que usuários montem dispositivos criptografados sem a necessidade do superusuário.

[1] Comentário enviado por danielgianni em 02/02/2010 - 17:00h:

No artigo você cita que pode ser utilizado um dispositivo para acesso, pode ser um pendrive? preciso formatar ele de forma especial? sabe como fazer isso para não precisar ficar digitando senha?

[2] Comentário enviado por luizvieira em 02/02/2010 - 21:33h:

Acrescentando uma informação à dica do amigo: o TrueCrypt é uma boa opção de ferramenta open source para criptografia de disco, partições e arquivos.
Veja essa dica: http://www.vivaolinux.com.br/dica/TrueCrypt-Open-Source-para-criptografia/

[ ]'s

[3] Comentário enviado por felipeferreira em 02/02/2010 - 23:07h:

legal, mais se eu pega este hd, e colocar em outra maquina com debian, como faço para montar a partiçao, sendo que eu nao sei nenhuma informaçao deste hd, so sei o passhare.

[4] Comentário enviado por henrique.inside em 03/02/2010 - 02:31h:

Daniel na Verdade a Senha, é uma forma de Segurança...


Sobre o Trocar o HD de máquina. não sei o que pode acontecer, porque pode dar algumas incompatibildades...

rsrs Mas qualquer coisa estarei postando mais aqui !

ate maiss !

[5] Comentário enviado por bakunin em 19/02/2010 - 13:00h:

Eu uso o cryptsetup. POde trocar o HD com a partição criptografada tanto de linux como de máquina e continua funcionando.
Já há tempo em funcioamento sem problemas
O Truecrypt com partição eu nunca usei. Com arquivo conteiner deu variação de um linux para outro. Com as versões mais novas do truecrypt e do linux parece que melhorou. O sistema de arquivo do conteiner parece não ser reconhecido sempre e parece ter problema de tamanho acima de 2 Gb, mas não sei dizer se isso é problema da máquina ou da versão do linux, ou do TrueCrypt mais antigo.
Estranhamente o conteiner velho voltou a funcionar com tudo novo: Máquina nova, linux ultima versão, e truecrypt última versão.

2-Ainda não testei em pen drive, teoricamente pode funcionar.
Artigo nota 10.