Como criptografar uma partição com DM-Crypt LUKS

Ninguém escapa que você tem que procurar melhorar a segurança de nossos equipamentos na medida do possível, tanto para desktops quanto para laptops, embora no caso destes últimos seja algo diretamente imperativo -especialmente se os utilizarmos para o trabalho- pelo fato de levá-los de um a outro lugar aumenta as chances de perdê-lo ou de ser roubado de nós, e em ambos os casos nossas informações podem ser expostas e as consequências disso seriam muito graves.

As alternativas, nesse sentido, são poucas, e isso é o que há de bom sobre Software Livre em geral, embora neste caso eu queira falar sobre DM-Crypt LUKS, uma solução de criptografia muito popular por um longo tempo, graças ao fato de estar integrado ao kernel como um módulo - oferecendo acesso às APIs de criptografia do kernel do linux- e oferecer criptografia transparente e a capacidade de mapear dispositivos e partições em níveis de blocos virtuais, permitindo assim criptografar partições, discos rígidos inteiros, volumes RAID, volumes lógicos, arquivos ou unidades removíveis.

Para começar precisamos tem uma partição livre (no meu caso, / dev / sda4), se não for esse o caso, teremos que criar uma nova partição usando uma ferramenta como o GParted. Assim que tivermos espaço livre, vamos começar com instalar o cryptsetup se não tivermos mais essa ferramenta, que geralmente é incluída por padrão, mas talvez quando instalarmos nosso Ubuntu optamos por uma instalação mínima:

#apt-get install cryptsetup

Agora vamos começar com inicializar partição que vamos criptografar, para o qual usamos aquela partição livre que mencionamos anteriormente. Esta é uma etapa que também gera a chave inicial, e embora seu nome pareça indicar que a partição está formatada isso não acontece, mas simplesmente a prepara para funcionar com criptografia (no nosso caso optamos por AES com um tamanho de chave de 512 bytes:

# cryptsetup –verbose –verbose –cipher aes-xts-plain64 –key-size 512 –hash sha512 –iter-time 5000 –use-random luksFormat / dev / sda4

Receberemos uma mensagem de aviso onde somos notificados de que o conteúdo que armazenamos neste momento em / Dev / sda4, e somos questionados se temos certeza. Concordamos escrevendo SIM, assim em letras maiúsculas, e depois somos solicitados a inserir a frase LUKS, duas vezes, para garantir que não haja erros.

Agora, 'abrimos' o contêiner criptografado, dando a ele um nome virtual, que será aquele com o qual ele aparecerá no sistema (por exemplo, quando executamos o comando df -h para visualizar as diferentes partições, no nosso caso vamos vê-lo em / dev / mapper / criptografado):

# crytpsetup luksOpen / dev / sda4 criptografado

Somos questionados sobre Chave LUKS que criamos anteriormente, entramos nele e estamos prontos. Agora devemos criar o sistema de arquivos para esta partição criptografada:

# mkfs.ext3 / dev / mapper / criptografado

A próxima etapa é adicione esta partição ao arquivo / etc / crypttab, semelhante a / etc / fstab, pois é responsável por fornecer unidades criptografadas na inicialização do sistema:

# cryto_test / dev / sda4 nenhum luks

Em seguida, criamos o ponto de montagem dessa partição criptografada e adicionamos todas as informações ao arquivo / etc / fstab para que tenhamos tudo disponível a cada reinicialização:

# mkdir / mnt / criptografado

# nano / etc / fstab

Adicionar o seguinte deve ser adequado, embora aqueles que procuram o mais personalizado possam dar uma olhada nas páginas de manual do fstab (man fstab), onde há muitas informações sobre ele:

/ dev / mapper / criptografado / mnt / criptografado ext3 padrões 0 2

Agora, toda vez que reiniciarmos o sistema, seremos solicitados a inserir a senha, e após fazer isso a partição criptografada será desbloqueada para que possamos disponibilizá-la.