Como cifrar volumenes en Linux (Encrypting Volumes)

Saludos,

Nuevamente estoy aquí repasando mis temas sobre Linux  y este en particular es muy interesante para mí, ya que envuelve la seguridad de nuestros datos. El tema es cifrado de volúmenes (volume encryption).

Para este ejercicio vamos a utilizar un de volumen de 1 GB en /dev/vg2/cryptvol en la particion /dev/sdb1.  Repasando como hago esto …

  1. #pvcreate /dev/sdb1
  2. #vgcreate vg2 /dev/sdb1
  3. #lvcreate –name cryptvol –size 1GB vg2

Y antes de comenzar vamos a revolcar (scramble) los datos en dicho volumen para evitar posibles ataques al algoritmo de cifrado.  Este proceso puede tomar mucho tiempo dependiendo en el tamaño del volumen.

#fdisk -ul /dev/vg2/cryptovol

Extraemos los siguientes datos de los resultados de fdisk para utilizarlos con dd:

sector size = bs,  total sectors = count

Utilzamos dd para sobre escribir el volumen con datos aleatorios.

#dd if=/dev/urandom of=/dev/vg2/cryptovol bs=512 count=2097152

Ahora estamos listos para continuar. Para crea la capa cifrada sobre nuestro volumen y proteger los datos utilizamos el comando cryptsetup, utilizamos el subcomando luksFormat y proveemos una contraseña fuerte de 15 chars o mas (Ej. M1Dat@3s7aSegur4!)

#cryptsetup luksFormat /dev/vg2/cryptovol

Abrimos el volumen para uso nuestro con el subcomando luksOpen y le asigmamos el nombre vault al volumen cifrado

#cryptsetup luksOpen /dev/vg2/cryptovol vault

Es necesario aplicar un sistema de archivos para poder trabajar con datos.  Esto lo hacemos como siempre pero tenemos que apuntar al volumen virtual que acabamos de crear con cryptsetup.

#mkfs.ext4 /dev/mapper/vault

Creamos un directorio para montar el volumen …

#mkdir /media/vault

… y una ves tenemos el sistema de archivos montamos el volumen en /media/vault

#mount /dev/mapper/vault /media/vault

Hecho!, ya estamos listos para utilizar el volumen y mantener nuestros datos seguros.  Una ves terminemos de copiar nuestros archivo o modificarlos desmontamos el volumen …

#umount /media/vault

… y finalmente cerramos la capa de cifrado sobre el sistema de archivos para evitar acceso al mismo.

#cryptsetup luksClose vault

Si deseamos que los volúmenes se monten automáticamente hacemos la estrada en /etc/fstab y creamos /etc/crypttab con la información necesaria.  También necesitaremos utilizar el subcomando luksAddKey para habilitar la llave y abrir el sistema.

–update

En el formato del archivo /etc/crypttab se esatblese asi:

<nombre>    <volumen>                          <archivo>

vault           /dev/vg2/cryptovol       /etc/vault.key

Nota importante: para el volumen tienen que utilizar su nombre (/dev/vg2/cryptovol) o UUID, NO se puede utilizar el mapper.

Una vez creado el se guarda la contraseña en el fiel utilizando cryptsetup nuevamente:

#cryptsetup luksAddKey  /dev/vg2/cryptovol  /etc/vault.key

Entras la contraseña en el prompt:

Solo qeuda editar /etc/fstab para que se carge automaticamente.  Añade la siguiente linea.

/dev/mapper/vault/    /media/vault   ext4   defaults 0 0

listo!

–/update

Hasta la próxima!

 

JQ

 

Leave a Reply

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.