Redes-Linux.com
Esta página esta optimizada para ser visualizada tanto en navegadores gráficos, como en navegadores de texto.
 
Buscar en:


 
El Servidor
Current bandwidth utilization 0.01 Mbit/s
Ancho de banda utilizado
 
Redes-Linux
Translation to english
Principal
Noticias antiguas
Sugerencias
Foros
Grupos de noticias
Grupos de noticias en ingles
Documentación
     Apuntes
     Manuales
     RFCs
     Ezines
     Otros Sistemas
Documentación en inglés
     Manuales
     Ezines
     RFC's
     Otros Sistemas
Distros
 
Tip Today by ugu.com
 KEEP THE USERS OFF WITH NOLOGIN

(20/08/2018 14:47:15)
 
Más cosas
Titulares otros sites
     Generales
     Gr. locales
     Seguridad
     Ayuda
     Especiales
Enlaces
Downloads
 
Conóceme
Sobre el autor
     Curriculum
     Proyectos
Contacta con el autor
 
Nota: Este es un articulo escrito por Carlos Sahuquillo.

21/08/2008   Cifrado de una particion con cryptsetup   7:37 P.M.
#
# Manual de Cifrado de una particion concreta desde Linux Debian/Ubuntu
#
# por Carlos Sahuquillo 
#
# 28-07-08

1.- Introducción

Este breve manual trata de explicar cómo cifrar una partición de datos en el ordenador portátil de manera que si se pierde o es sustraido, no se pueda acceder a los datos confidenciales del disco duro.

La idea es cifrar la partición que contiene los datos; en este ejemplo se cifrará la partición HOME donde se encuentran los datos de los usuarios.

Para ello, se crearà un contenedor cifrado de manera que se abra en el inicio del ordenador y se cierre al finalizar sesión. De esta forma, no habrá que cifrar/descifrar a tiempo real los datos de la partición y no existirá tiempo de retardo.

Al contrario de lo que se puede leer en otros manuales disponibles, en este manual no se cifrará el sistema completo por no por no introducir una capa mas de fallo, ademas de ganar en rapidez y poder recuperar el sistema de forma sencilla en caso de fallo en el arranque.

Cabe destacar que no es necesario disponer de una instalación limpia, ya que permite copiar los datos de nuestra partición HOME a otro dispositivo/partición y después moverlos dentro del contenedor cifrado.

2.- Creación del contenedor

Antes que nada, se debe crear un backup de la partición que vayamos a cifrar. TODOS LOS DATOS QUE SE ENCUENTREN EN LA PARTICIÓN SERÁN ELIMINADOS DURANTE EL PROCESO.

Una vez realizado el backup, se desmonta la partición HOME, en el ejemplo es llamada /dev/sda1 

# umount /dev/sda1
Después, se crea el contenedor asociado a la partición. Dicho comando se encuentra dentro del paquete cryptsetup en el repositorio de Debian/Ubuntu 
# apt-get update
# apt-get install cryptsetup
Y se cargan los módulos de cifrado. 
# modprobe dm-crypt
# modprobe aes
# modprobe sha256
Una vez cargados los módulos, se crea el contenedor utilizando una key de 256 bits. Este proceso solicitará una passphrase de cifrado, la cual debe ser lo mas robusta posible. 
# cryptsetup -v --key-size 256 luksFormat /dev/sda1
Se abre el contenedor recien creado y se formatea con ext3 (recuerda que el creador y único mantenedor de reiserFS está en la carcel por matar a su mujer... igual es momento de plantear un cambio de filesystem ;) 
# cryptsetup -v luksOpen /dev/sda1 home
# mkfs -t ext3 /dev/mapper/home

3.- Montaje

Finalmente, se monta en el directorio donde estaba montado anteriormente y se copian los datos que salvados en el primer punto 

# mount -t ext3 /dev/mapper/home /home
Llegados a este punto, el contenedor cifrado ya se encuentra funcionando al 100%, pero se debe preparar el sistema para que sea capaz de montar la partición cifrada en el arranque. Durante el arranque, el sistema montará todas las particiones sin problemas, pero al llegar a la partición cifrada, solicitará la passphrase elegida en la creación del contenedor. Si este password no es introducido, el sistema no se iniciará.

Para ello, se deben realizar pequeñas adiciones en /etc/crypttab (el equivalente a /etc/fstab para particiones cifradas) y cambiar el dispositivo a montar en /etc/fstab. 
/etc/crypttab:
# 				
home	/dev/sda1	none	luks,retry=1,cipher=aes-cbc-essiv:256

/etc/fstab antiguo:
#                
[...]
/dev/sda1	/home           ext3    relatime        0       2
[...]

/etc/fstab modificado:
#                
[...]
# /dev/sda1	/home           ext3    relatime        0       2
/dev/mapper/home	/home	ext3	defaults,errors=remount-ro	0	1
[...]
Una vez realizado esto, se debe reiniciar el sistema para comprobar que solicita la passphrase al inicio. A partir de este momento, toda la información contenida en /home estará protegida por un contenedor cifrado :)



Damos las gracias a Carlos por este interesante manual. Si tu también tienes cualquier otro tutorial que te gustaría que publicaramos en la web o te gustaría que trataramos algun tema en especial, puedes mandar tu sugerencia a través del canal de sugerencias de la web.

Mandar Sugerencia
Comentar el articulo en el Foro