Criptografar sua atual partição root usando dm-crypt com luks

Atualmente há vários métodos de criptografia disponíveis dos quais, por exemplo, loop-aes. Minha escolha por cryptsetup-luks com dm-crypt se deu por ser considerado o método adequado para grande volume de dados, por não ter uma perda muito grande na performance e por ser considerado o mais seguro.

[ Hits: 47.224 ]

Por: Aline de Freitas em 11/01/2008


Preparando as partições root e swap a criptografar



Agora vamos preparar a "antiga" root. O primeiro passo é encher toda a partição com 'lixo' de forma que um possível atacante não tenha como saber o quanto de dados foram escritos partição:

# shred -vn 1 /dev/sda3

Agora aproveite para dar uma cochilada, caminhar, ler ou espere bastante dependendo dos recursos da sua máquina.

Encriptar a partição swap

Digamos que sua partição swap seja /dev/sda2.

# cryptsetup -c blowfish -h sha256 -d /dev/urandom create swap /dev/sda2
# mkswap /dev/mapper/swap
# swapon /dev/mapper/swap


Agora vamos criar a nova partição root.

Criando a nova partição root

Você precisa de uma senha. Segura. Bem Segura. Você pode gerar alguma senha aleatória a partir de algum gerador de senhas aleatório. (veja apg, gpw ou visite http://www.diceware.com/). Você pode escolher uma senha complexa e anotar em um papel secretamente em seu poder. Quando memorizar queime este papel.

# cryptsetup -y --cipher serpent-cbc-essiv:sha256 --key-size 256 luksFormat /dev/sda3
WARNING!
========
This will overwrite data on /dev/sda3 irrevocably.

Enter LUKS passphrase: (insira a senha)
Verify passphrase: (repita a senha)

Agora você pode abrir sua partição LUKS:

# cryptsetup luksOpen /dev/sda3 root
Enter LUKS passphrase:
key slot 0 unlocked.

A partir de agora sua partição de root passa a ser denominada /dev/mapper/root. Vamos criar um sistema de arquivos na mesma:

# /sbin/mkfs.ext3 -j -m 1 -O dir_index,filetype,sparse_super /dev/mapper/root

(espere vários minutos...)

mke2fs 1.35 (28-Feb-2004)
Filesystem label=
OS type: Linux
Block size=4096 (log=2)
Fragment size=4096 (log=2)
36634624 inodes, 73258400 blocks
732584 blocks (1.00%) reserved for the super user
First data block=0
2236 block groups
32768 blocks per group, 32768 fragments per group
16384 inodes per group
Superblock backups stored on blocks:
       32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,
       4096000, 7962624, 11239424, 20480000, 23887872, 71663616

Writing inode tables: done
Creating journal (8192 blocks): done
Writing superblocks and filesystem accounting information: done

This filesystem will be automatically checked every 39 mounts or
180 days, whichever comes first. Use tune2fs -c or -i to override.

Monte a agora a partição:

# mount -t ext3 /dev/mapper/root /mnt/crypt

Agora vamos transferir os dados da sua partição root temporária para a nova partição criptografada:

# cd /
# cp -avx / /mnt/crypt


(espere novamente bastante...)

E quando terminar:

# cd /mnt/crypt/dev
# MAKEDEV generic


Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Preparativos iniciais
   3. Preparando as partições root e swap a criptografar
   4. Criando a imagem initramfs
   5. Últimos passos
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Introdução ao Anonimato na Web - Web Anonimity

Logwatch - Enviando relatórios via e-mail

Ajustes finos no Bind (servidor DNS)

Analizando os logs do IPTables

Armazenamento de senhas no Linux

  
Comentários
[1] Comentário enviado por EDUPERSOFT em 11/01/2008 - 22:02h

Excelente, assunto sofisticado, atual, útil e por outro lado pouco difundido. O artigo bem escrito, direto, prático. Muito bom ver um artigo escrito por uma mulher aqui no VOl, ainda mais um artigo deste nível. As barreiras vão caindo, as mulheres conquistando espaço no mundo Linux e o Linux conquistando espaço no mundo feminido.

[2] Comentário enviado por maykonhammer em 11/01/2008 - 22:16h

Parabéns pelo atigo...

[3] Comentário enviado por fred_m em 12/01/2008 - 03:05h

Muito bom Aline.
Escrevi também um artigo durante minha pós em segurança sobre o assunto, gostaria de compartilhar com você.
http://www.madeira.eng.br/wiki/index.php?page=Criptografia+de+Disco+%E2%80%93+Garantindo+a+seguran%C... (arquivo em PDF)

[4] Comentário enviado por edupersoft em 12/01/2008 - 08:48h

fred_m, seu artigo também é muito bom. Porque você não coloca aqui no VOL também?

[5] Comentário enviado por capitainkurn em 12/01/2008 - 12:26h

Chix!
Excelente o seu artigo! Tanto em conteúdo quanto em didática!
Já está em meus favoritos!

[6] Comentário enviado por kalib em 12/01/2008 - 13:53h

Parabéns pelo artigo amiga. ;]
Continue com contribuições deste nível com a comunidade e todos ficaremos gratos! :D
Interessante ver meninas se destacando por aqui... ;]

abraços e boa sorte

[7] Comentário enviado por sermart em 12/01/2008 - 15:41h

O que eu mais gostei foi sua imparcialidade quanto as distros, isto é muito importante aqui no vol.

[8] Comentário enviado por removido em 14/01/2008 - 09:52h

Arrepiou-ne até a alma este trabalho... ;-)

[9] Comentário enviado por hiroyuki em 15/01/2008 - 10:24h

Veri gud! Muito bom... estou pensando em até criptografar meu disco tb =)

[10] Comentário enviado por marceloviana em 16/04/2016 - 09:50h

Alinef, obrigado pelo artigo!

É possível remover a senha do cryptsetup da inicialização do sistema e configurar para pedir senha somente quando for necessário descriptografar a partição para alguma manutenção nos arguivos?

Obrigado.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts