Criptografia de disco
Neste artigo mostrarei como fazer criptografia de disco, um ponto muito importante na segurança da informação. Espero que gostem!
[ Hits: 77.304 ]
Por: Henrique Vieira Leanor em 02/02/2010
O que a norma da segurança diz sobre criptografia de disco
Em relação ao acesso físico, a norma ABNT NBR ISO/IEC 27002:2005 diz no item 9.1.1, que convém que sejam utilizados perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e instalações de processamento da informação.
Sobre a criptografia a norma diz no item 12.3.1, na letra C, que convém o uso de criptografia para a proteção de informações sensíveis transportadas em celulares e PDAs, mídias removíveis ou móveis, dispositivos ou linhas de comunicação.
Essa criptografia é feita na instalação do sistema operacional ou depois que ele está instalado?
Quando trabalhamos com criptografia de discos, podemos escolher se desejamos fazer na instalação do sistema ou fazer depois que o sistema já está instalado. As distribuições Debian e Red Hat tem essa opção de fazer a criptografia logo na instalação.
Como será o nosso trabalho?
No nosso caso, estamos supondo que estamos trabalhando em um servidor que já estava instalado, então temos alguns procedimentos a seguir para fazer esse trabalho. Se vamos fazer em um servidor que já está em produção, qual é o primeiro passo a ser feito?
Se vamos criptografar uma partição que já está montada e já contém dados, vamos ter que fazer um backup, pois na construção do sistema de criptografia os dados serão perdidos. Caso seja uma partição que ainda não contenha dados esse procedimento é mais tranquilo.
Para o nosso ambiente, vou supor que vocês tem uma partição sobrando, no caso no meu exemplo, vou usar a /dev/sda10.
Para trabalharmos com o sistema de criptografia dm-crypt precisamos que os módulos relacionados a ele estejam ativados:
# lsmod | grep dm
dm_crypt 11172 0
crypto_blkcipher 15236 1 dm_crypt
dm_mod 46184 1 dm_crypt
# lsmod | grep md5
# cat /proc/crypto
Com os módulos carregados, podemos instalar a ferramenta cryptsetup:
# aptitude install cryptsetup
Com o cryptsetup instalado, podemos configurar como será utilizada a criptografia em nossa partição:
# cryptsetup -y --cipher aes-cbc-essiv:sha256 --key-size 256 luksFormat
/dev/sda10
WARNING!
========
This will overwrite data on /dev/hda10 irrevocably.
Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase: <Digite a senha>
Verify passphrase: <Confirme a senha>
Command successful.
Parâmetros do cryptsetup:
Nesse momento, outros módulos de criptografia foram ativados:
# lsmod | grep aes
# cat /proc/crypto
Sobre a criptografia a norma diz no item 12.3.1, na letra C, que convém o uso de criptografia para a proteção de informações sensíveis transportadas em celulares e PDAs, mídias removíveis ou móveis, dispositivos ou linhas de comunicação.
Essa criptografia é feita na instalação do sistema operacional ou depois que ele está instalado?
Quando trabalhamos com criptografia de discos, podemos escolher se desejamos fazer na instalação do sistema ou fazer depois que o sistema já está instalado. As distribuições Debian e Red Hat tem essa opção de fazer a criptografia logo na instalação.
Como será o nosso trabalho?
No nosso caso, estamos supondo que estamos trabalhando em um servidor que já estava instalado, então temos alguns procedimentos a seguir para fazer esse trabalho. Se vamos fazer em um servidor que já está em produção, qual é o primeiro passo a ser feito?
Se vamos criptografar uma partição que já está montada e já contém dados, vamos ter que fazer um backup, pois na construção do sistema de criptografia os dados serão perdidos. Caso seja uma partição que ainda não contenha dados esse procedimento é mais tranquilo.
Para o nosso ambiente, vou supor que vocês tem uma partição sobrando, no caso no meu exemplo, vou usar a /dev/sda10.
Para trabalharmos com o sistema de criptografia dm-crypt precisamos que os módulos relacionados a ele estejam ativados:
# lsmod | grep dm
dm_crypt 11172 0
crypto_blkcipher 15236 1 dm_crypt
dm_mod 46184 1 dm_crypt
# lsmod | grep md5
# cat /proc/crypto
Com os módulos carregados, podemos instalar a ferramenta cryptsetup:
# aptitude install cryptsetup
Com o cryptsetup instalado, podemos configurar como será utilizada a criptografia em nossa partição:
# cryptsetup -y --cipher aes-cbc-essiv:sha256 --key-size 256 luksFormat
/dev/sda10
WARNING!
========
This will overwrite data on /dev/hda10 irrevocably.
Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase: <Digite a senha>
Verify passphrase: <Confirme a senha>
Command successful.
Parâmetros do cryptsetup:
- -y ou --verify-passphrase: faz a checagem da senha digitada.
- --cipher: define qual é o modo de criptografia que o dispositivo vai usar.
- --key-size: define em bits o tamanho da chave de criptografia.
- luksFormat: indica que o dispositivo vai utilizar o padrão LUKS.
Nesse momento, outros módulos de criptografia foram ativados:
# lsmod | grep aes
# cat /proc/crypto
Páginas do artigo
1. Porque criptografar o disco2. O que a norma da segurança diz sobre criptografia de disco
3. Ativando o serviço e dando os últimos retoques
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Enjaulamento de usuário no sistema operacional
Nmap - Escaneando sua Rede e Mantendo-a Segura
Apache2 + PHP5 com ModSecurity no Debian Squeeze
Gerenciando logs do Linux pela WEB com o PHPSYSLOG-NG (parte 1)
Servidor de autenticação 802.1x com Freeradius
Comentários
[1] Comentário enviado por removido em 02/02/2010 - 17:00h
No artigo você cita que pode ser utilizado um dispositivo para acesso, pode ser um pendrive? preciso formatar ele de forma especial? sabe como fazer isso para não precisar ficar digitando senha?
No artigo você cita que pode ser utilizado um dispositivo para acesso, pode ser um pendrive? preciso formatar ele de forma especial? sabe como fazer isso para não precisar ficar digitando senha?
[2] Comentário enviado por luizvieira em 02/02/2010 - 21:33h
Acrescentando uma informação à dica do amigo: o TrueCrypt é uma boa opção de ferramenta open source para criptografia de disco, partições e arquivos.
Veja essa dica: http://www.vivaolinux.com.br/dica/TrueCrypt-Open-Source-para-criptografia/
[ ]'s
Acrescentando uma informação à dica do amigo: o TrueCrypt é uma boa opção de ferramenta open source para criptografia de disco, partições e arquivos.
Veja essa dica: http://www.vivaolinux.com.br/dica/TrueCrypt-Open-Source-para-criptografia/
[ ]'s
[3] Comentário enviado por felipeferreira em 02/02/2010 - 23:07h
legal, mais se eu pega este hd, e colocar em outra maquina com debian, como faço para montar a partiçao, sendo que eu nao sei nenhuma informaçao deste hd, so sei o passhare.
legal, mais se eu pega este hd, e colocar em outra maquina com debian, como faço para montar a partiçao, sendo que eu nao sei nenhuma informaçao deste hd, so sei o passhare.
[4] Comentário enviado por henrique.inside em 03/02/2010 - 02:31h
Daniel na Verdade a Senha, é uma forma de Segurança...
Sobre o Trocar o HD de máquina. não sei o que pode acontecer, porque pode dar algumas incompatibildades...
rsrs Mas qualquer coisa estarei postando mais aqui !
ate maiss !
Daniel na Verdade a Senha, é uma forma de Segurança...
Sobre o Trocar o HD de máquina. não sei o que pode acontecer, porque pode dar algumas incompatibildades...
rsrs Mas qualquer coisa estarei postando mais aqui !
ate maiss !
[5] Comentário enviado por nicolo em 19/02/2010 - 13:00h
Eu uso o cryptsetup. POde trocar o HD com a partição criptografada tanto de linux como de máquina e continua funcionando.
Já há tempo em funcioamento sem problemas
O Truecrypt com partição eu nunca usei. Com arquivo conteiner deu variação de um linux para outro. Com as versões mais novas do truecrypt e do linux parece que melhorou. O sistema de arquivo do conteiner parece não ser reconhecido sempre e parece ter problema de tamanho acima de 2 Gb, mas não sei dizer se isso é problema da máquina ou da versão do linux, ou do TrueCrypt mais antigo.
Estranhamente o conteiner velho voltou a funcionar com tudo novo: Máquina nova, linux ultima versão, e truecrypt última versão.
2-Ainda não testei em pen drive, teoricamente pode funcionar.
Artigo nota 10.
Eu uso o cryptsetup. POde trocar o HD com a partição criptografada tanto de linux como de máquina e continua funcionando.
Já há tempo em funcioamento sem problemas
O Truecrypt com partição eu nunca usei. Com arquivo conteiner deu variação de um linux para outro. Com as versões mais novas do truecrypt e do linux parece que melhorou. O sistema de arquivo do conteiner parece não ser reconhecido sempre e parece ter problema de tamanho acima de 2 Gb, mas não sei dizer se isso é problema da máquina ou da versão do linux, ou do TrueCrypt mais antigo.
Estranhamente o conteiner velho voltou a funcionar com tudo novo: Máquina nova, linux ultima versão, e truecrypt última versão.
2-Ainda não testei em pen drive, teoricamente pode funcionar.
Artigo nota 10.
[6] Comentário enviado por marceloviana em 16/04/2016 - 09:30h
Henrique, obrigado pelo artigo!
- Como faço para arrancar o sistema sem a necessidade de senha para o ponto de montagem?
- Como faço para descriptografar a partição criptografada (em linha de comando) para visualizar os arquivos e fazer manutenção?
Obrigado.
Henrique, obrigado pelo artigo!
- Como faço para arrancar o sistema sem a necessidade de senha para o ponto de montagem?
- Como faço para descriptografar a partição criptografada (em linha de comando) para visualizar os arquivos e fazer manutenção?
Obrigado.
[7] Comentário enviado por ottolinux em 14/12/2016 - 16:11h
Muito bom seu artigo Henrique. Parabéns,
Como só hoje li ele , fiz o mesmo processo usando uma outra receita de outro artigo em inglês, link : https://www.cyberciti.biz/hardware/howto-linux-hard-disk-encryption-with-luks-cryptsetup-command/ .
No meu caso eu fiz um testes com o Pendrive de 4GB, funcionou perfeito. Ficou bem fácil e prático. Eu estou usando o Linux Elementary OS , e quando espeto o pendrive no lap ele já mostra no gerenciador de arquivos e avisa que é encriptado. Quando se manda montar pelo gerenciador ele logo pede a passphrase ( senha gerada no inicio do processo).
Sobre o que o pessoal perguntou de montar sem senha, bom ai perde toda a função de segurança. POis é a senha de segurança que impede de outros monta-lo e visualizar os dados. Apenas cuidado com a senha , pois se perder a senha ou esquece-la babaus !
Bom trabalho ai,
Att
Muito bom seu artigo Henrique. Parabéns,
Como só hoje li ele , fiz o mesmo processo usando uma outra receita de outro artigo em inglês, link : https://www.cyberciti.biz/hardware/howto-linux-hard-disk-encryption-with-luks-cryptsetup-command/ .
No meu caso eu fiz um testes com o Pendrive de 4GB, funcionou perfeito. Ficou bem fácil e prático. Eu estou usando o Linux Elementary OS , e quando espeto o pendrive no lap ele já mostra no gerenciador de arquivos e avisa que é encriptado. Quando se manda montar pelo gerenciador ele logo pede a passphrase ( senha gerada no inicio do processo).
Sobre o que o pessoal perguntou de montar sem senha, bom ai perde toda a função de segurança. POis é a senha de segurança que impede de outros monta-lo e visualizar os dados. Apenas cuidado com a senha , pois se perder a senha ou esquece-la babaus !
Bom trabalho ai,
Att
[8] Comentário enviado por ric_rock em 30/03/2017 - 17:19h
eu fiz uma instalação do debian ja com uma partição criptografada, so que quando erro a senha na hora do boot mesmo assim ele da acesso a pasta, e consigo salvar as coisas entrando com a senha root, mas quando entro com a senha da criptografia as coisas q salvei nao aparecem, e vice versa, alguem sabe me explicar se isso é assim mesmo? o certo nao seria nao ter acesso nenhum a pasta da partição? se nao for digitado a senha?
obrigado.
eu fiz uma instalação do debian ja com uma partição criptografada, so que quando erro a senha na hora do boot mesmo assim ele da acesso a pasta, e consigo salvar as coisas entrando com a senha root, mas quando entro com a senha da criptografia as coisas q salvei nao aparecem, e vice versa, alguem sabe me explicar se isso é assim mesmo? o certo nao seria nao ter acesso nenhum a pasta da partição? se nao for digitado a senha?
obrigado.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Atenção a quem posta conteúdo de dicas, scripts e tal (1)
Artigos
Manutenção de sistemas Linux Debian e derivados com apt-get, apt, aptitude e dpkg
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
Dicas
Como Atualizar Fedora 39 para 40
Instalar Google Chrome no Debian e derivados
Consertando o erro do Sushi e Wayland no Opensuse Leap 15
Instalar a última versão do PostgreSQL no Lunix mantendo atualizado
Flathub na sua distribuição Linux e comandos básicos de gerenciamento
Tópicos
Top 10 do mês
-
Xerxes
1° lugar - 73.215 pts -
Fábio Berbert de Paula
2° lugar - 58.518 pts -
Clodoaldo Santos
3° lugar - 46.104 pts -
Buckminster
4° lugar - 26.580 pts -
Sidnei Serra
5° lugar - 26.530 pts -
Daniel Lara Souza
6° lugar - 17.992 pts -
Mauricio Ferrari
7° lugar - 17.595 pts -
Alberto Federman Neto.
8° lugar - 17.590 pts -
Diego Mendes Rodrigues
9° lugar - 15.688 pts -
edps
10° lugar - 14.869 pts
Scripts
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
