Particiones cifradas

De MEPIS Documentation Wiki

MEPIS reforzado criptográficamente

Durante un timpo quise tener particiones cifradas en mi sistema. Finalmente el proceso es suficientemente fácil para que cualquiera pueda configurarlo en MEPIS (incluso yo).

Normalmente en Linux hay dos particiones que se debería cifrar para propocionar un sistema seguro; la partición /home que contiene toda la información personal de los usuarios y para seguridad adicional el archivo de intercambio (swap), dado que es la zona del disco duro dónde se puede escribir información cuando se queda sin memoria RAM. Puede que en él se almacene de cuanto en cuando datos personales, dao que la partición de intercambio nunca es automáticamente eliminada, por lo que cifrarla es una buena medida de precaución. Normalmente no tiene sendio cifrar la partición raíz dado que no se guarda información personal en ella. La única excepción sería si se tuviera instalados programas que de por sí, se consideraran confidenciales (no simplemente los datos asociados).

All the software to encrypt your /home & swap are already installed in MEPIS as of version 6. If you have not already done so, install MEPIS in the normal fashion on your system. You will need to add or replace lines in a few files, and will need to be root to apply most if not all of these changes.

Note: These examples assume you used a default MEPIS installation:

• /dev/hda1 es la partición raíz
• /dev/hda2 es la partición de intercambio
• /dev/hda3 es el directorio home

¡no olvidar cambiarlo pertinentemente en cao se usar otra asignación de particiones! Nothing in this will affect the MEPIS OnTheGo system an any way.

Primero la partición de intercambio:

Partición de intercambio (swap) cifrada

Mirar sie el archivo /etc/fstab tiene una línea como la siguiente:

# Dynamic entries below, identified by 'users' option

En caso de tenerla prestar atención a todas las líneas que van a continuación del la que contiene 'users' Ninguna de las líneas que se vayan a añadir pueden ir después de esta ---siempre antes de esa línea--- ¡incluso si reemplazan una línea anterior a esta!

Buscar la entrada swap semejante a la siguiente:

/dev/hda2 none swap sw,pri=1 0 0

ahora sustituir la parte /dev/hda2 por el nuevo nombre de dispositivo /dev/mapper/cswap:

/dev/mapper/cswap none swap sw,pri=1 0 0

tras esto, añadir esta línea en /etc/crypttab:

cswap /dev/hda2 /dev/random swap

Reiniciar ¡y ya está! el dispositivo de intercambio está listo; comprobar que funciona:

# cat /proc/swaps

debría de devolver algo del estilo de:

Filename                                Type            Size    Used    Priority
/dev/mapper/cswap                       partition       3148700 0       1

# cryptsetup status cswap

debría de devolver algo del estilo de:

/dev/mapper/cswap is active:
 cipher:  aes-cbc-plain
 keysize: 256 bits
 device:  /dev/.static/dev/hda2
 offset:  0 sectors
 size:    6297417 sectors
 mode:    read/write

A que no fue demasiado difícil

Ahora cifrar home

AVISO: ESTE PROCESO ES DESTRUCTIVO! ¡¡¡SE DEBE HACER UNA COPIA DE SEGURIDAD DE CUALQUIER INFORMACIÓN CONTENIDA EN LA PARTICIÓN /home O DICHOS FICHEROS SE PERDERÁN PARA SIEMPRE!!!

Se se está securizando un sistema recien instalado o no se tiene NINGUNA información personal en el equipo, no hay que hacer copias de seguridad de nada. Las instrucciones para hacer una copia de seguridad se pueden encontrar en el Proyecto de documentación de MEPIS en Hacer copias de seguridad de los datos

Usando las Utilidades de MEPIS, borrar todos los usuario excepto OnTheGo (suponiendo que se tengan copias de seguridad de todos los archivo relevantes) se crearán de nuevo los usuarios una vez acabado el proceso.

unmount (if mounted) /dev/hda3

# umount /dev/hda3

comprobar si hay errores en la partición (y esperar varios minutos...):

# /sbin/badblocks -c 10240 -s -w -t random -v /dev/hda3

rellenar el disco con información aleatorio (y esperar algunos minutos más...); /dev/urandom no es tan aleatorio como /dev/random, pero es la mejor solución disponible:

# dd if=/dev/urandom of=/dev/hda3

AVISO: algunos sistemas baratos (Intel Celeron) o viejos no tienen generador de números aleatorios hardware. ¡Estos equipos deben generar información aleatorio lo que llevará varios días! Se puede detener prematuramente el proceso con Ctrl+Z si se inició y después de muchos, muchos, minutos no ha acabado. Para esos equipos rellenar la partición con ceros en lugar de con datos aleatorios usando

# dd if=/dev/zero of=/dev/hda3

crear una partición LUKS:

# cryptsetup --verify-passphrase --verbose --hash=sha256 --cipher=aes-cbc-essiv:sha256 --key-size=256 luksFormat /dev/hda3

Recordar que una cadena es tan fuerte como su eslabón más débil, y con el cifrado, la contraseña es siempre el eslabón más débil. Crear una buena contraseña o los datos no estarán mucho más seguros que sin cifrado.

configurar el mapeador de dispositivos:

# cryptsetup luksOpen /dev/hda3 home

comprobar que funcionó:

# cryptsetup status home

debría de devolver algo del estilo de:

/dev/mapper/home is active:
 cipher:  aes-cbc-essiv:sha256
 keysize: 256 bits
 device:  /dev/.static/dev/hda3
 offset:  2056 sectors
 size:    20962706 sectors
 mode:    read/write

crear el sistema de ficheros (por ejemplo ext3):

# mke2fs -j -O dir_index,filetype,sparse_super /dev/mapper/home

montar temporalmente para copiar los datos desde el directorio home anterior:

# mount -t ext3 /dev/mapper/home /mnt

Abrir las utilidades de MEPIS y volver a crear los usuarios usando la pestaña "añadir nuevos usuarios". Suponiendo que se necesitó hacer una copia de seguridad de la partición /home, ahora es el momentos de recuperar la los datos de dicha copia usando el mismo método que se uso para crearla.

Desmontar el elemento temporal:

# umount /mnt

montado permanente

Si se mira en el archivo /etc/fstab, se debería tener una línea como la siguiente:

# Dynamic entries below, identified by 'users' option

En caso de tenerla prestar atención a todas las líneas que van a continuación del la que contiene 'users' Ninguna de las líneas que se vayan a añadir pueden ir después de esta ---siempre antes de esa línea--- ¡incluso si reemplazan una línea anterior a esta!

Buscar en /etc/fstab la línea sobre /home y sustituirla por:

/dev/mapper/home   /home           ext3     defaults    1       2

IN THE TOP HALF of the file ABOVE the 'users' line.

tras esto, añadir una entrada en /etc/crypttab:

home                /dev/hda3         none         luks

reiniciar y el home cifrado está listo

La mayoría de esta guía esta tomada https://help.ubuntu.com/community/EncryptedFilesystemHowto3. Fue adaptada para MEPIS 6 por LanceHaverkamp 18:59, el 5 de Noviembre de 2006 (EST)