Instalação do Arch Linux com LVM + Luks
Em tempos que a segurança deve ser levada cada vez mais a sério, criptografia é um ótimo caminho para melhorar nossa sensação de segurança. Utilizar criptografia em disco, portanto, é um meio muito bom para conseguir isso.
[ Hits: 14.684 ]
Por: Gildásio Júnior em 14/01/2016
Introdução
Artigo originalmente postado em: http://gjuniioor.github.io/blog/archlinux-lvm-luks/
E como quase sempre a solução para aumentar a sensação de segurança é recorrer à criptografia. Criptografar o disco, partições e arquivos nos deixa mais seguro quando se trata dessas coisas. Tendo essa perspectiva, aproveitei e juntei o útil (criptografar o disco) ao agradável (voltar ao usar o lindo Arch Linux) e aqui está o resultado de tudo isso.
LVM tem alguns conceitos bacanas a se abordar que guardarei para quando fizer um melhor sentido nesse texto. :) Se tiver interesse, recomendo a leitura de alguns links: [2], [3], [4], [5], [6] e [7]. E como são textos direcionados exclusivamente à LVM e não à implementação dele em uma instalação de um sistema, recomendo ainda mais para quem quer entendê-lo melhor.
Luks foi o que me motivou a fazer todo esse processo e por consequência, fazer esse post. Lembra que falei da criptografia do disco? Pois bem, ele quem vai permitir isso para a gente. Rapidamente falando, Luks é uma especificação de encriptação de disco que veio para padronizar esse processo. Antes era utilizado de vários formatos diferentes, mas com o Luks isso foi resolvido. Vamos lá!
[1]: http://hmarco.org/bugs/CVE-2015-8370-Grub2-authentication-bypass.html
[2]: https://www.vivaolinux.com.br/dica/LVM-Logical-Volume-Manager
[3]: https://www.vivaolinux.com.br/artigo/Entendendo-e-configurando-o-LVM-manualmente
[4]: https://www.vivaolinux.com.br/artigo/LVM-completo-e-sem-misterios
[5]: https://wiki.archlinux.org/index.php/LVM
[6]: http://www.devin.com.br/lvm/
[7]: http://www.hardware.com.br/dicas/entendendo-lvm.html
Siga para a próxima página...
Engraçado que já fiz um post falando sobre a pós instalação do Arch Linux [0] antes mesmo de fazer a instalação. Portanto, depois daqui, recomendo que dê uma olhada nesse outro post. :)Recentemente foi encontrado um bug no bootloader [1] Grub, que pressionando backspace vinte e oito vezes resultava numa shell do Grub. Isso foi um reboliço danado na comunidade. A questão é que por se tratar de uma falha de exploração física, necessário ter acesso à máquina, "não precisa" dessa falha para uma possível invasão. Como com ela vai acontecer o reboot da máquina, você poderia fazer esse reboot manualmente e fazer o boot por um pendrive com um live CD, assim, vendo todos os arquivos da máquina.
E como quase sempre a solução para aumentar a sensação de segurança é recorrer à criptografia. Criptografar o disco, partições e arquivos nos deixa mais seguro quando se trata dessas coisas. Tendo essa perspectiva, aproveitei e juntei o útil (criptografar o disco) ao agradável (voltar ao usar o lindo Arch Linux) e aqui está o resultado de tudo isso.
LVM + Luks
LVM (Logical Volume Manager - Gerenciador de Volume Lógico) permite gerenciar os discos com algumas funcionalidades interessantes, como por exemplo utilizar vários discos físicos para funcionar como um ou mais volumes, ou ainda poder remanejar o tamanho das partições e fazer toda essa gerência em tempo de execução.LVM tem alguns conceitos bacanas a se abordar que guardarei para quando fizer um melhor sentido nesse texto. :) Se tiver interesse, recomendo a leitura de alguns links: [2], [3], [4], [5], [6] e [7]. E como são textos direcionados exclusivamente à LVM e não à implementação dele em uma instalação de um sistema, recomendo ainda mais para quem quer entendê-lo melhor.
Luks foi o que me motivou a fazer todo esse processo e por consequência, fazer esse post. Lembra que falei da criptografia do disco? Pois bem, ele quem vai permitir isso para a gente. Rapidamente falando, Luks é uma especificação de encriptação de disco que veio para padronizar esse processo. Antes era utilizado de vários formatos diferentes, mas com o Luks isso foi resolvido. Vamos lá!
Links
[0]: https://gjuniioor.github.io/blog/pos-instalacao-archlinux/[1]: http://hmarco.org/bugs/CVE-2015-8370-Grub2-authentication-bypass.html
[2]: https://www.vivaolinux.com.br/dica/LVM-Logical-Volume-Manager
[3]: https://www.vivaolinux.com.br/artigo/Entendendo-e-configurando-o-LVM-manualmente
[4]: https://www.vivaolinux.com.br/artigo/LVM-completo-e-sem-misterios
[5]: https://wiki.archlinux.org/index.php/LVM
[6]: http://www.devin.com.br/lvm/
[7]: http://www.hardware.com.br/dicas/entendendo-lvm.html
Siga para a próxima página...
Páginas do artigo
1. Introdução2. Instalação
3. Configuração
Outros artigos deste autor
EditorConfig - Padronização de código para seus projetos
Copie/Cole conteúdo do terminal para o X e vice-versa
WeeChat - Um (O) cliente IRC CLI
A pós-instalação do Arch Linux
Leitura recomendada
GNU/Linux de Bolso como Ferramenta Anti-Vírus
Software livre, software comunitário!
LaTeX, um poderoso diagramador de textos (parte 2)
Conseguindo o reembolso da licença do Microsoft Windows
Esteganografia - Lendo o que os olhos não conseguem ler
Comentários
[1] Comentário enviado por willian.firmino em 18/01/2016 - 09:50h
Como ficaria a configuração com dual boot com outra distro, no meu caso o Slackware, encontrei este artigo http://blog.darknedgy.net/technology/2014/07/27/1/ mas não sei como colocar isso tudo junto, eu gostaria de deixar o Slackware e o Arch com lvm+luks, e o grub do Arch gerenciando o boot.
Como ficaria a configuração com dual boot com outra distro, no meu caso o Slackware, encontrei este artigo http://blog.darknedgy.net/technology/2014/07/27/1/ mas não sei como colocar isso tudo junto, eu gostaria de deixar o Slackware e o Arch com lvm+luks, e o grub do Arch gerenciando o boot.
[2] Comentário enviado por gjuniioor em 21/01/2016 - 10:05h
[1] Comentário enviado por willian.firmino em 18/01/2016 - 09:50h
Como ficaria a configuração com dual boot com outra distro, no meu caso o Slackware, encontrei este artigo http://blog.darknedgy.net/technology/2014/07/27/1/ mas não sei como colocar isso tudo junto, eu gostaria de deixar o Slackware e o Arch com lvm+luks, e o grub do Arch gerenciando o boot.
Bem, nunca fiz dual boot com lvm+luks, portanto, o que vou falar só segue a lógica teórica...
P.S.: Antes de seguir qualquer procedimento assim, sempre recomendado fazer backup de tudo o que precisar para não correr risco de mais aborrecimento.
Em teoria você poderia fazer assim:
sda1 - /boot
sda2 - / (arch)
sda3 - / (slack)
sda4 - /home
E no fstab configurar para utilizar a mesma partição /home em ambas as distro.
Como a tela do Grub aparece antes da parte para inserção da senha para abrir a partição, presumo que fazendo a configuração assim o Grub se responsabilizaria dessa parte.
Só lembrando novamente, isso em teoria. Se quiser se arriscar a fazer o teste chama no telegram com esse meu nick ai que a gente vai se falando para trocar figurinhas. Depois pode surgir um texto teu aqui :)
[1] Comentário enviado por willian.firmino em 18/01/2016 - 09:50h
Como ficaria a configuração com dual boot com outra distro, no meu caso o Slackware, encontrei este artigo http://blog.darknedgy.net/technology/2014/07/27/1/ mas não sei como colocar isso tudo junto, eu gostaria de deixar o Slackware e o Arch com lvm+luks, e o grub do Arch gerenciando o boot.
Bem, nunca fiz dual boot com lvm+luks, portanto, o que vou falar só segue a lógica teórica...
P.S.: Antes de seguir qualquer procedimento assim, sempre recomendado fazer backup de tudo o que precisar para não correr risco de mais aborrecimento.
Em teoria você poderia fazer assim:
sda1 - /boot
sda2 - / (arch)
sda3 - / (slack)
sda4 - /home
E no fstab configurar para utilizar a mesma partição /home em ambas as distro.
Como a tela do Grub aparece antes da parte para inserção da senha para abrir a partição, presumo que fazendo a configuração assim o Grub se responsabilizaria dessa parte.
Só lembrando novamente, isso em teoria. Se quiser se arriscar a fazer o teste chama no telegram com esse meu nick ai que a gente vai se falando para trocar figurinhas. Depois pode surgir um texto teu aqui :)
[3] Comentário enviado por r_carreiro em 24/01/2016 - 19:10h
Wow!!!
Muito bom o artigo cara, parabéns!
Wow!!!
Muito bom o artigo cara, parabéns!
[4] Comentário enviado por Alexandreaf em 09/02/2016 - 12:41h
Gjuniioor,
Olá, por gentileza, poderia esclarecer essa minha dúvida?
Você criou /dev/sda2 com o flag "Linux LVM", código 8e.
Isso é um volume físico (physical volume)?
Ao executar
cryptsetup -c aes-xts-plain64 -y -s 512 luksFormat /dev/sda2
O que você está criptografando? Ou seja, tudo que estiver sobre ele "volume group", "logical volumes" e "file systems" estarão criptografados. É isso mesmo? Pode confirmar?
https://img.vivaolinux.com.br/imagens/dicas/comunidade/Captura-de-tela-de-2013-05-02-21:28:05.png
https://www.vivaolinux.com.br/dica/LVM-Logical-Volume-Manager
Ou seja, / , /home, swap...? Como poderia conferir se estão de fato criptografados?
Minha preocupação é a seguinte, quero que, com exceção do /boot, esteja criptografado, inclusivo e sem falta, a partição swap.
Obrigado.
Gjuniioor,
Olá, por gentileza, poderia esclarecer essa minha dúvida?
Você criou /dev/sda2 com o flag "Linux LVM", código 8e.
Isso é um volume físico (physical volume)?
Ao executar
cryptsetup -c aes-xts-plain64 -y -s 512 luksFormat /dev/sda2
O que você está criptografando? Ou seja, tudo que estiver sobre ele "volume group", "logical volumes" e "file systems" estarão criptografados. É isso mesmo? Pode confirmar?
https://img.vivaolinux.com.br/imagens/dicas/comunidade/Captura-de-tela-de-2013-05-02-21:28:05.png
https://www.vivaolinux.com.br/dica/LVM-Logical-Volume-Manager
Ou seja, / , /home, swap...? Como poderia conferir se estão de fato criptografados?
Minha preocupação é a seguinte, quero que, com exceção do /boot, esteja criptografado, inclusivo e sem falta, a partição swap.
Obrigado.
[5] Comentário enviado por gjuniioor em 09/02/2016 - 22:53h
Na verdade, isso é uma partição do disco. E para poder utilizar essa partição com LVM utilizei a flag determinado pelo código 8e (Linux LVM).
Quase isso. Na verdade, todo o conteúdo da partição /dev/sda2 estará criptografado. Depois disso que abro essa partição com Luks+LVM:
# cryptsetup luksOpen /dev/sda2 lvm
E então posso criar o volume físico, grupo e o lógico.
Você pode tentar montar a partição /dev/sda2 para ver no que dá :)
Faz o seguinte teste: Roda a máquina com um liveUSB e tenta acessar a partição. Claro, sem abrí-la e montá-la com luks+lvm.
Então é só seguir as configurações que tem ai, adaptando, claro, com os valores que desejar. Pois fiz dessa mesma forma. Com exeção do /boot, todo o disco está criptografado.
Disponha ^-^
[4] Comentário enviado por Alexandreaf em 09/02/2016 - 12:41h
Gjuniioor,
Olá, por gentileza, poderia esclarecer essa minha dúvida?
Você criou /dev/sda2 com o flag "Linux LVM", código 8e.
Isso é um volume físico (physical volume)?
Gjuniioor,
Olá, por gentileza, poderia esclarecer essa minha dúvida?
Você criou /dev/sda2 com o flag "Linux LVM", código 8e.
Isso é um volume físico (physical volume)?
Na verdade, isso é uma partição do disco. E para poder utilizar essa partição com LVM utilizei a flag determinado pelo código 8e (Linux LVM).
[4] Comentário enviado por Alexandreaf em 09/02/2016 - 12:41h
Ao executar
cryptsetup -c aes-xts-plain64 -y -s 512 luksFormat /dev/sda2
O que você está criptografando? Ou seja, tudo que estiver sobre ele "volume group", "logical volumes" e "file systems" estarão criptografados. É isso mesmo? Pode confirmar?
Ao executar
cryptsetup -c aes-xts-plain64 -y -s 512 luksFormat /dev/sda2
O que você está criptografando? Ou seja, tudo que estiver sobre ele "volume group", "logical volumes" e "file systems" estarão criptografados. É isso mesmo? Pode confirmar?
Quase isso. Na verdade, todo o conteúdo da partição /dev/sda2 estará criptografado. Depois disso que abro essa partição com Luks+LVM:
# cryptsetup luksOpen /dev/sda2 lvm
E então posso criar o volume físico, grupo e o lógico.
[4] Comentário enviado por Alexandreaf em 09/02/2016 - 12:41h
Ou seja, / , /home, swap...? Como poderia conferir se estão de fato criptografados?
Ou seja, / , /home, swap...? Como poderia conferir se estão de fato criptografados?
Você pode tentar montar a partição /dev/sda2 para ver no que dá :)
Faz o seguinte teste: Roda a máquina com um liveUSB e tenta acessar a partição. Claro, sem abrí-la e montá-la com luks+lvm.
[4] Comentário enviado por Alexandreaf em 09/02/2016 - 12:41h
Minha preocupação é a seguinte, quero que, com exceção do /boot, esteja criptografado, inclusivo e sem falta, a partição swap.
Obrigado.
Minha preocupação é a seguinte, quero que, com exceção do /boot, esteja criptografado, inclusivo e sem falta, a partição swap.
Obrigado.
Então é só seguir as configurações que tem ai, adaptando, claro, com os valores que desejar. Pois fiz dessa mesma forma. Com exeção do /boot, todo o disco está criptografado.
Disponha ^-^
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
E a guerra contra bots continua
Tradução do artigo do filósofo Gottfried Wilhelm Leibniz sobre o sistema binário
Conheça o firewall OpenGFW, uma implementação do (Great Firewall of China).
Dicas
Instalando o FreeOffice no LMDE 6
Anki: Remover Tags de Estilo HTML de Todas as Cartas
Colocando uma opção de redimensionamento de imagem no menu de contexto do KDE
Tópicos
Erro ao converter string para inteiro (4)
Não consigo acessar os modos de desempenho no mint 2.3 (6)
Criar uma base de reconhecimento de HW no VOL (8)
Top 10 do mês
-
Xerxes
1° lugar - 69.304 pts -
Fábio Berbert de Paula
2° lugar - 57.211 pts -
Clodoaldo Santos
3° lugar - 42.851 pts -
Buckminster
4° lugar - 22.637 pts -
Sidnei Serra
5° lugar - 22.229 pts -
Alberto Federman Neto.
6° lugar - 17.107 pts -
Daniel Lara Souza
7° lugar - 17.069 pts -
Mauricio Ferrari
8° lugar - 17.014 pts -
Diego Mendes Rodrigues
9° lugar - 15.798 pts -
edps
10° lugar - 14.008 pts
Scripts
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
