Criptografar sua atual partição root usando dm-crypt com luks
Atualmente há vários métodos de criptografia disponíveis dos quais, por exemplo, loop-aes. Minha escolha por cryptsetup-luks com dm-crypt se deu por ser considerado o método adequado para grande volume de dados, por não ter uma perda muito grande na performance e por ser considerado o mais seguro.
[ Hits: 50.431 ]
Por: Aline de Freitas em 11/01/2008
Preparando as partições root e swap a criptografar
Agora vamos preparar a "antiga" root. O primeiro passo é encher toda a partição com 'lixo' de forma que um possível atacante não tenha como saber o quanto de dados foram escritos partição:
# shred -vn 1 /dev/sda3
Agora aproveite para dar uma cochilada, caminhar, ler ou espere bastante dependendo dos recursos da sua máquina.
# cryptsetup -c blowfish -h sha256 -d /dev/urandom create swap /dev/sda2
# mkswap /dev/mapper/swap
# swapon /dev/mapper/swap
Agora vamos criar a nova partição root.
# cryptsetup -y --cipher serpent-cbc-essiv:sha256 --key-size 256 luksFormat /dev/sda3
WARNING!
========
This will overwrite data on /dev/sda3 irrevocably.
Enter LUKS passphrase: (insira a senha)
Verify passphrase: (repita a senha)
Agora você pode abrir sua partição LUKS:
# cryptsetup luksOpen /dev/sda3 root
Enter LUKS passphrase:
key slot 0 unlocked.
A partir de agora sua partição de root passa a ser denominada /dev/mapper/root. Vamos criar um sistema de arquivos na mesma:
# /sbin/mkfs.ext3 -j -m 1 -O dir_index,filetype,sparse_super /dev/mapper/root
(espere vários minutos...)
mke2fs 1.35 (28-Feb-2004)
Filesystem label=
OS type: Linux
Block size=4096 (log=2)
Fragment size=4096 (log=2)
36634624 inodes, 73258400 blocks
732584 blocks (1.00%) reserved for the super user
First data block=0
2236 block groups
32768 blocks per group, 32768 fragments per group
16384 inodes per group
Superblock backups stored on blocks:
32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,
4096000, 7962624, 11239424, 20480000, 23887872, 71663616
Writing inode tables: done
Creating journal (8192 blocks): done
Writing superblocks and filesystem accounting information: done
This filesystem will be automatically checked every 39 mounts or
180 days, whichever comes first. Use tune2fs -c or -i to override.
Monte a agora a partição:
# mount -t ext3 /dev/mapper/root /mnt/crypt
Agora vamos transferir os dados da sua partição root temporária para a nova partição criptografada:
# cd /
# cp -avx / /mnt/crypt
(espere novamente bastante...)
E quando terminar:
# cd /mnt/crypt/dev
# MAKEDEV generic
# shred -vn 1 /dev/sda3
Agora aproveite para dar uma cochilada, caminhar, ler ou espere bastante dependendo dos recursos da sua máquina.
Encriptar a partição swap
Digamos que sua partição swap seja /dev/sda2.# cryptsetup -c blowfish -h sha256 -d /dev/urandom create swap /dev/sda2
# mkswap /dev/mapper/swap
# swapon /dev/mapper/swap
Agora vamos criar a nova partição root.
Criando a nova partição root
Você precisa de uma senha. Segura. Bem Segura. Você pode gerar alguma senha aleatória a partir de algum gerador de senhas aleatório. (veja apg, gpw ou visite http://www.diceware.com/). Você pode escolher uma senha complexa e anotar em um papel secretamente em seu poder. Quando memorizar queime este papel.# cryptsetup -y --cipher serpent-cbc-essiv:sha256 --key-size 256 luksFormat /dev/sda3
WARNING!
========
This will overwrite data on /dev/sda3 irrevocably.
Enter LUKS passphrase: (insira a senha)
Verify passphrase: (repita a senha)
Agora você pode abrir sua partição LUKS:
# cryptsetup luksOpen /dev/sda3 root
Enter LUKS passphrase:
key slot 0 unlocked.
A partir de agora sua partição de root passa a ser denominada /dev/mapper/root. Vamos criar um sistema de arquivos na mesma:
# /sbin/mkfs.ext3 -j -m 1 -O dir_index,filetype,sparse_super /dev/mapper/root
(espere vários minutos...)
mke2fs 1.35 (28-Feb-2004)
Filesystem label=
OS type: Linux
Block size=4096 (log=2)
Fragment size=4096 (log=2)
36634624 inodes, 73258400 blocks
732584 blocks (1.00%) reserved for the super user
First data block=0
2236 block groups
32768 blocks per group, 32768 fragments per group
16384 inodes per group
Superblock backups stored on blocks:
32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,
4096000, 7962624, 11239424, 20480000, 23887872, 71663616
Writing inode tables: done
Creating journal (8192 blocks): done
Writing superblocks and filesystem accounting information: done
This filesystem will be automatically checked every 39 mounts or
180 days, whichever comes first. Use tune2fs -c or -i to override.
Monte a agora a partição:
# mount -t ext3 /dev/mapper/root /mnt/crypt
Agora vamos transferir os dados da sua partição root temporária para a nova partição criptografada:
# cd /
# cp -avx / /mnt/crypt
(espere novamente bastante...)
E quando terminar:
# cd /mnt/crypt/dev
# MAKEDEV generic
Páginas do artigo
1. Introdução2. Preparativos iniciais
3. Preparando as partições root e swap a criptografar
4. Criando a imagem initramfs
5. Últimos passos
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Configurando uma VPN IPSec Openswan no SUSE Linux 9.3
Acesso remoto de forma simples e segura
Quando próximo, finja estar longe; quando longe, finja estar próximo
Esteganografia utilizando steghide
Comentários
[1] Comentário enviado por EDUPERSOFT em 11/01/2008 - 22:02h
Excelente, assunto sofisticado, atual, útil e por outro lado pouco difundido. O artigo bem escrito, direto, prático. Muito bom ver um artigo escrito por uma mulher aqui no VOl, ainda mais um artigo deste nível. As barreiras vão caindo, as mulheres conquistando espaço no mundo Linux e o Linux conquistando espaço no mundo feminido.
Excelente, assunto sofisticado, atual, útil e por outro lado pouco difundido. O artigo bem escrito, direto, prático. Muito bom ver um artigo escrito por uma mulher aqui no VOl, ainda mais um artigo deste nível. As barreiras vão caindo, as mulheres conquistando espaço no mundo Linux e o Linux conquistando espaço no mundo feminido.
[3] Comentário enviado por fred_m em 12/01/2008 - 03:05h
Muito bom Aline.
Escrevi também um artigo durante minha pós em segurança sobre o assunto, gostaria de compartilhar com você.
http://www.madeira.eng.br/wiki/index.php?page=Criptografia+de+Disco+%E2%80%93+Garantindo+a+seguran%C... (arquivo em PDF)
Muito bom Aline.
Escrevi também um artigo durante minha pós em segurança sobre o assunto, gostaria de compartilhar com você.
http://www.madeira.eng.br/wiki/index.php?page=Criptografia+de+Disco+%E2%80%93+Garantindo+a+seguran%C... (arquivo em PDF)
[4] Comentário enviado por edupersoft em 12/01/2008 - 08:48h
fred_m, seu artigo também é muito bom. Porque você não coloca aqui no VOL também?
fred_m, seu artigo também é muito bom. Porque você não coloca aqui no VOL também?
[5] Comentário enviado por capitainkurn em 12/01/2008 - 12:26h
Chix!
Excelente o seu artigo! Tanto em conteúdo quanto em didática!
Já está em meus favoritos!
Chix!
Excelente o seu artigo! Tanto em conteúdo quanto em didática!
Já está em meus favoritos!
[6] Comentário enviado por kalib em 12/01/2008 - 13:53h
Parabéns pelo artigo amiga. ;]
Continue com contribuições deste nível com a comunidade e todos ficaremos gratos! :D
Interessante ver meninas se destacando por aqui... ;]
abraços e boa sorte
Parabéns pelo artigo amiga. ;]
Continue com contribuições deste nível com a comunidade e todos ficaremos gratos! :D
Interessante ver meninas se destacando por aqui... ;]
abraços e boa sorte
[7] Comentário enviado por sermart em 12/01/2008 - 15:41h
O que eu mais gostei foi sua imparcialidade quanto as distros, isto é muito importante aqui no vol.
O que eu mais gostei foi sua imparcialidade quanto as distros, isto é muito importante aqui no vol.
[8] Comentário enviado por removido em 14/01/2008 - 09:52h
Arrepiou-ne até a alma este trabalho... ;-)
Arrepiou-ne até a alma este trabalho... ;-)
[9] Comentário enviado por hiroyuki em 15/01/2008 - 10:24h
Veri gud! Muito bom... estou pensando em até criptografar meu disco tb =)
Veri gud! Muito bom... estou pensando em até criptografar meu disco tb =)
[10] Comentário enviado por marceloviana em 16/04/2016 - 09:50h
Alinef, obrigado pelo artigo!
É possível remover a senha do cryptsetup da inicialização do sistema e configurar para pedir senha somente quando for necessário descriptografar a partição para alguma manutenção nos arguivos?
Obrigado.
Alinef, obrigado pelo artigo!
É possível remover a senha do cryptsetup da inicialização do sistema e configurar para pedir senha somente quando for necessário descriptografar a partição para alguma manutenção nos arguivos?
Obrigado.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Atualizando o Passado: Linux no Lenovo G460 em 2025
aaPanel - Um Painel de Hospedagem Gratuito e Poderoso
O macete do Warsaw no Linux Mint e cia
Dicas
Git config não aplica configurações
O que você quer para sua vida ao usar o Linux?
Visualizar arquivos em formato markdown (ex.: README.md) pelo terminal
Tópicos
Linux mint só reproduz vídeos em navegadores se estiverem mutados [RES... (2)
Alerta Google Chrome 138.0.7204.10... (3)
Teclado n~ao escreve abnt2 (7)
Top 10 do mês
-
Xerxes
1° lugar - 76.314 pts -
Fábio Berbert de Paula
2° lugar - 54.677 pts -
Mauricio Ferrari
3° lugar - 17.057 pts -
Daniel Lara Souza
4° lugar - 17.319 pts -
Alberto Federman Neto.
5° lugar - 14.480 pts -
Buckminster
6° lugar - 13.832 pts -
edps
7° lugar - 13.799 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
8° lugar - 12.795 pts -
Diego Mendes Rodrigues
9° lugar - 12.458 pts -
Andre (pinduvoz)
10° lugar - 11.731 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
