Agora vamos preparar a "antiga" root. O primeiro passo é encher toda a partição com 'lixo' de forma que um possível atacante não tenha como saber o quanto de dados foram escritos partição:
# shred -vn 1 /dev/sda3
Agora aproveite para dar uma cochilada, caminhar, ler ou espere bastante dependendo dos recursos da sua máquina.
Encriptar a partição swap
Digamos que sua partição swap seja /dev/sda2.
# cryptsetup -c blowfish -h sha256 -d /dev/urandom create swap /dev/sda2
# mkswap /dev/mapper/swap
# swapon /dev/mapper/swap
Agora vamos criar a nova partição root.
Criando a nova partição root
Você precisa de uma senha. Segura. Bem Segura. Você pode gerar alguma senha aleatória a partir de algum gerador de senhas aleatório. (veja apg, gpw ou visite http://www.diceware.com/). Você pode escolher uma senha complexa e anotar em um papel secretamente em seu poder. Quando memorizar queime este papel.
# cryptsetup -y --cipher serpent-cbc-essiv:sha256 --key-size 256 luksFormat /dev/sda3
WARNING!
========
This will overwrite data on /dev/sda3 irrevocably.
Enter LUKS passphrase: (insira a senha)
Verify passphrase: (repita a senha)
Agora você pode abrir sua partição LUKS:
# cryptsetup luksOpen /dev/sda3 root
Enter LUKS passphrase:
key slot 0 unlocked.
A partir de agora sua partição de root passa a ser denominada /dev/mapper/root. Vamos criar um sistema de arquivos na mesma:
# /sbin/mkfs.ext3 -j -m 1 -O dir_index,filetype,sparse_super /dev/mapper/root
(espere vários minutos...)
mke2fs 1.35 (28-Feb-2004)
Filesystem label=
OS type:
Linux
Block size=4096 (log=2)
Fragment size=4096 (log=2)
36634624 inodes, 73258400 blocks
732584 blocks (1.00%) reserved for the super user
First data block=0
2236 block groups
32768 blocks per group, 32768 fragments per group
16384 inodes per group
Superblock backups stored on blocks:
32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,
4096000, 7962624, 11239424, 20480000, 23887872, 71663616
Writing inode tables: done
Creating journal (8192 blocks): done
Writing superblocks and filesystem accounting information: done
This filesystem will be automatically checked every 39 mounts or
180 days, whichever comes first. Use tune2fs -c or -i to override.
Monte a agora a partição:
# mount -t ext3 /dev/mapper/root /mnt/crypt
Agora vamos transferir os dados da sua partição root temporária para a nova partição criptografada:
# cd /
# cp -avx / /mnt/crypt
(espere novamente bastante...)
E quando terminar:
# cd /mnt/crypt/dev
# MAKEDEV generic