Criptografar sua atual partição root usando dm-crypt com luks

Atualmente há vários métodos de criptografia disponíveis dos quais, por exemplo, loop-aes. Minha escolha por cryptsetup-luks com dm-crypt se deu por ser considerado o método adequado para grande volume de dados, por não ter uma perda muito grande na performance e por ser considerado o mais seguro.

[ Hits: 47.223 ]

Por: Aline de Freitas em 11/01/2008


Últimos passos



Edite o fstab da sua partição root encriptada para usar /dev/mapper/root.

# vi /mnt/crypt/etc/fstab

/dev/mapper/root        /         ext3    noatime       0 1

E finalmente edite o bootloader (grub):

title=Gentoo Linux 2.6.23
root (hd0,0)
kernel /vmlinuz root=/dev/sda3 ikmap=br-abnt2-amd64.bin

root é o dispositivo ordinário da sua partição encriptada e ikmap é o mapa do teclado.

Reinicie seu sistema e reze para que o prompt com a senha apareça...

Se deu tudo certo, é hora de cuidar das outras partições.

Encriptando as demais partições

Você pode efetuar o mesmo procedimento de backup para a partição home ou outras, através do comando cp -avx. Claro, a mídia de backup deve ser grande o suficiente para que caibam as partições que deseja.

É preciso criar o mapper das demais partições tal qual fizemos na partição root substituindo apenas o dispositivo da partição que deseja criptografar.

# cryptsetup -y --cipher serpent-cbc-essiv:sha256 --key-size 256 luksFormat /dev/sda4

Para garantir mais segurança você pode usar uma senha diferente que a da partição root.

Edite o arquivo /etc/conf.d/cryptfs. Ele é bem simples e auto-explicativo. Ele cuida da decriptação e encriptação das partições na inicialização, exceto a partição root, que é cuidada pela initramfs.

swap=swap
source='/dev/sda2'

target=home
source='/dev/sda6'

Depois insira os novos dispositivos mapper na sua fstab tal qual a partição root.

/dev/mapper/root       /          ext3      noatime         0 1
/dev/mapper/swap       none       swap      sw              0 0
/dev/mapper/home       /home      ext3      noatime         0 2

Criando um cdrom bootável

Baixe a última versão do syslinux de:
# tar -xvjf syslinux-<versão>.tar.bz2

Crie um diretório para confeccionar seu cdrom:

# mkdir crypt-cd
# cp /boot/vmlinuz-<blablabla> crypt-cd
# cp /caminho/para/syslinux-<versao>/isolinux.bin crypt-cd/vmlinuz
# echo "DEFAULT /vmlinuz ro root=/dev/sda3" > crypt-cd/isolinux.cfg


Agora crie a imagem e queime seu cdrom:

# mkisofs -o crypt-cd.iso -b isolinux.bin -c boot.cat \
-no-emul-boot -boot-load-size 4 -boot-info-table \
-J -hide-rr-moved -R crypt-cd/
# cdrecord cryptcd.iso


No seu dia-a-dia você deve sempre bootar pelo cdrom. A partição boot é apenas para casos de emergência.

Página anterior    

Páginas do artigo
   1. Introdução
   2. Preparativos iniciais
   3. Preparando as partições root e swap a criptografar
   4. Criando a imagem initramfs
   5. Últimos passos
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Descobrir a senha de configuração pelo browser de um Access Point (AP)

Instalação do Fail2Ban no CentOS 7

Resetando senha de usuário root em sistemas Debian e Red Hat

Encapsulando BIND 9 e Apache 2 para obter maior segurança

VPN com FreeS/WAN

  
Comentários
[1] Comentário enviado por EDUPERSOFT em 11/01/2008 - 22:02h

Excelente, assunto sofisticado, atual, útil e por outro lado pouco difundido. O artigo bem escrito, direto, prático. Muito bom ver um artigo escrito por uma mulher aqui no VOl, ainda mais um artigo deste nível. As barreiras vão caindo, as mulheres conquistando espaço no mundo Linux e o Linux conquistando espaço no mundo feminido.

[2] Comentário enviado por maykonhammer em 11/01/2008 - 22:16h

Parabéns pelo atigo...

[3] Comentário enviado por fred_m em 12/01/2008 - 03:05h

Muito bom Aline.
Escrevi também um artigo durante minha pós em segurança sobre o assunto, gostaria de compartilhar com você.
http://www.madeira.eng.br/wiki/index.php?page=Criptografia+de+Disco+%E2%80%93+Garantindo+a+seguran%C... (arquivo em PDF)

[4] Comentário enviado por edupersoft em 12/01/2008 - 08:48h

fred_m, seu artigo também é muito bom. Porque você não coloca aqui no VOL também?

[5] Comentário enviado por capitainkurn em 12/01/2008 - 12:26h

Chix!
Excelente o seu artigo! Tanto em conteúdo quanto em didática!
Já está em meus favoritos!

[6] Comentário enviado por kalib em 12/01/2008 - 13:53h

Parabéns pelo artigo amiga. ;]
Continue com contribuições deste nível com a comunidade e todos ficaremos gratos! :D
Interessante ver meninas se destacando por aqui... ;]

abraços e boa sorte

[7] Comentário enviado por sermart em 12/01/2008 - 15:41h

O que eu mais gostei foi sua imparcialidade quanto as distros, isto é muito importante aqui no vol.

[8] Comentário enviado por removido em 14/01/2008 - 09:52h

Arrepiou-ne até a alma este trabalho... ;-)

[9] Comentário enviado por hiroyuki em 15/01/2008 - 10:24h

Veri gud! Muito bom... estou pensando em até criptografar meu disco tb =)

[10] Comentário enviado por marceloviana em 16/04/2016 - 09:50h

Alinef, obrigado pelo artigo!

É possível remover a senha do cryptsetup da inicialização do sistema e configurar para pedir senha somente quando for necessário descriptografar a partição para alguma manutenção nos arguivos?

Obrigado.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts