Saludos,
Nuevamente estoy aquí repasando mis temas sobre Linux y este en particular es muy interesante para mí, ya que envuelve la seguridad de nuestros datos. El tema es cifrado de volúmenes (volume encryption).
Para este ejercicio vamos a utilizar un de volumen de 1 GB en /dev/vg2/cryptvol en la particion /dev/sdb1. Repasando como hago esto …
- #pvcreate /dev/sdb1
- #vgcreate vg2 /dev/sdb1
- #lvcreate –name cryptvol –size 1GB vg2
Y antes de comenzar vamos a revolcar (scramble) los datos en dicho volumen para evitar posibles ataques al algoritmo de cifrado. Este proceso puede tomar mucho tiempo dependiendo en el tamaño del volumen.
#fdisk -ul /dev/vg2/cryptovol
Extraemos los siguientes datos de los resultados de fdisk para utilizarlos con dd:
sector size = bs, total sectors = count
Utilzamos dd para sobre escribir el volumen con datos aleatorios.
#dd if=/dev/urandom of=/dev/vg2/cryptovol bs=512 count=2097152
Ahora estamos listos para continuar. Para crea la capa cifrada sobre nuestro volumen y proteger los datos utilizamos el comando cryptsetup, utilizamos el subcomando luksFormat y proveemos una contraseña fuerte de 15 chars o mas (Ej. M1Dat@3s7aSegur4!)
#cryptsetup luksFormat /dev/vg2/cryptovol
Abrimos el volumen para uso nuestro con el subcomando luksOpen y le asigmamos el nombre vault al volumen cifrado
#cryptsetup luksOpen /dev/vg2/cryptovol vault
Es necesario aplicar un sistema de archivos para poder trabajar con datos. Esto lo hacemos como siempre pero tenemos que apuntar al volumen virtual que acabamos de crear con cryptsetup.
#mkfs.ext4 /dev/mapper/vault
Creamos un directorio para montar el volumen …
#mkdir /media/vault
… y una ves tenemos el sistema de archivos montamos el volumen en /media/vault
#mount /dev/mapper/vault /media/vault
Hecho!, ya estamos listos para utilizar el volumen y mantener nuestros datos seguros. Una ves terminemos de copiar nuestros archivo o modificarlos desmontamos el volumen …
#umount /media/vault
… y finalmente cerramos la capa de cifrado sobre el sistema de archivos para evitar acceso al mismo.
#cryptsetup luksClose vault
Si deseamos que los volúmenes se monten automáticamente hacemos la estrada en /etc/fstab y creamos /etc/crypttab con la información necesaria. También necesitaremos utilizar el subcomando luksAddKey para habilitar la llave y abrir el sistema.
–update
En el formato del archivo /etc/crypttab se esatblese asi:
<nombre> <volumen> <archivo>
vault /dev/vg2/cryptovol /etc/vault.key
Nota importante: para el volumen tienen que utilizar su nombre (/dev/vg2/cryptovol) o UUID, NO se puede utilizar el mapper.
Una vez creado el se guarda la contraseña en el fiel utilizando cryptsetup nuevamente:
#cryptsetup luksAddKey /dev/vg2/cryptovol /etc/vault.key
Entras la contraseña en el prompt:
Solo qeuda editar /etc/fstab para que se carge automaticamente. Añade la siguiente linea.
/dev/mapper/vault/ /media/vault ext4 defaults 0 0
listo!
–/update
Hasta la próxima!
JQ