Criando um repositório criptografado de dados com Cryptsetup (dm-crypt) sem (re)particionamento do HD

schaf

Aprenda a criar um repositório criptografado para arquivos e diretórios sem a necessidade de (re)particionar o disco rígido.

[ Hits: 37.511 ]

Por: Stefano Fontes em 17/08/2010

0 0

Denuncie Favoritos Indicar Impressora

Criando o volume criptografado

Uma vez que agora possuímos um dispositivo de blocos pronto para ser usado, crie o volume criptografado através do seguinte comando:

# cryptsetup --verbose --verify-passphrase luksFormat /dev/loop1

O comando acima criará um volume criptografado baseado no dispositivo de blocos /dev/loop1 (que por sua vez está associado ao arquivo vazio /tmp/teste); se tudo der certo o programa apresentará na tela as seguintes mensagens:


WARNING!
========
This will overwrite data on /dev/loop1 irrevocably.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase: 
Verify passphrase: 
Command successful.

Observe que:

Em primeiro lugar o programa avisa que todos os dados em /dev/loop1 serão irrevogavelmente sobrescritos;
A seguir o programa solicita sua confirmação, em letras maiúsculas, através da palavra "YES";
Uma vez que utilizamos a opção --verify-passphrase, o programa solicita-nos a seguir a confirmação da senha digitada, que NÃO é ecoada (não aparece) na tela. Procure utilizar uma senha aleatória, sem palavras conhecidas, que possua letras e números e no mínimo 8 caracteres;
ATENÇÃO: lembre-se de guardar a senha em um local seguro (preferencialmente que não seja no mesmo micro ou junto ao mesmo ! ) e do qual você se lembre, pois se esquecer-se da senha e não conseguir recuperá-la, você muito provavelmente NÃO terá mais acesso aos seus dados;
Sugerimos fortemente que você mantenha uma cópia atualizada de seus dados, a serem transferidos ou criados no volume criptografado, na forma de um "backup" em uma outra mídia (outro HD, cd-r(w), dvd-r(w), pen-drive etc.); a mesma deverá ser armazenada em local seguro e acessível por você, para o caso de você perder ou esquecer-se da senha, corrupção do sistema de arquivos ou falha do dispositivo.

Um bom programa para gerar senhas é o "mkpasswd"; utilize-o, se desejar, como por exemplo:

# mkpasswd -l 12 -d 5 -c 7 -C 0 -s 0

O comando acima gerará uma senha similar à seguinte:

6q2w17zch4sf

Trata-se de uma senha de 12 caracteres, sendo composta por 5 números, 7 caracteres minúsculos, nenhum caractere maiúsculo e nenhum caractere especial. Para maiores informações, ou gerar senhas de características diferentes, consulte a página man do "mkpasswd".

Podemos agora passar à próxima etapa.

Página anterior Próxima página

Páginas do artigo

   1. Introdução
   2. Provendo os suportes no kernel
   3. Provendo outros pré-requisitos
   4. Criando o volume criptografado
   5. Formatando o volume criptografado
   6. Finalizando

Outros artigos deste autor

Provendo dados em um servidor PostgreSQL através do Apache e PHP

Configurando disquete e pendrive para boot sem suporte na BIOS

Leitura recomendada

HoneyPots em Linux

Fundamentos da criptografia assimétrica

Aspecto de segurança para uma arquitetura web

SELinux na prática

Entrevista com um hacker, via Internet

Comentários

[1] Comentário enviado por Arthur Andrade em 17/08/2010 - 15:15h

Cara, apesar de te dar os meus parabéns pelo texto.
Devo adimitir que não compreendi nada, e anda longe de ser
devido á tua didática, que por sinal é muito boa.

Mas devido a minha falta de conhecimento. Eu sonho com
o dia em que eu leia um texto de tal complexidade e o
compreenda.

Parabéns pelo texto! ;]

0 0

[2] Comentário enviado por rogeriojlle em 18/08/2010 - 07:24h

@Arthur

uso uma forma diferente de criptografar meus dados, me pareceu mais simples, mas não sei te dizer se é equivalente em segurança à do artigo acima, eu ao menos estou satisfeito
meu sistema é o OpenSuse 11.3

instale o pacote "encfs" (não é necessário, mas se você reiniciar a máquina logo depois disso, não precisa passar um parâmetro extra aos comandos a seguir, vou assumir que a máquina foi reiniciada ...)

crie uma pasta onde ficarão fisicamente os dados criptografados ex:

mkdir /home.... (tá use o nautilus mesmo, é mais fácil)

crie/use outra pasta onde os dados vão aparecer para uso

mkdir ...(já sabe)

o comando é equivalente ao "mount", só troca por "encfs" (aí faz no terminal mesmo, não tem gui pro OpenSuse, só pra Ubuntu até onde sei, é o Gencfs)

$ encfs /pasta/onde/ficará/o/conteúdo criptografado /pasta/de/onde/eles/devem/ser/acessados

da primeira vez tem um wizard pra criar, sugestão: use a opção "P"
para desmontar é igual a qualquer outro FUSE

$ fusermount -u /pasta/de/onde/eles/devem/ser/acessados

é rapidinho e precisa ser root só pra instalar as coisas
outra sugestão: crie a pasta onde ficam os dados, em sua pasta de disco virtual (ex: Dropbox), já ajuda no backup

0 0

[3] Comentário enviado por removido em 18/08/2010 - 14:27h

Tenho uns arquivos que são super secretos, então uso o encfs dentro de uma partição criptografada com o cryptsetup.Segurança duplicada.

0 0

[4] Comentário enviado por nicolo em 21/08/2010 - 16:55h

Se quiserem fazer isso tudo mais fácil ainda é só instalar o truecrypt , é tudo gráfico.

0 0

[5] Comentário enviado por rogeriojlle em 21/08/2010 - 18:58h

@nicolo

o truecrypt tem alguns problemas quando executado por usuário comum, e se voce dar "sudo" mesmo que só pro truecrypt, ele pode usar todo o sistema como root, se não fizer uma série de outras modificações, agora se for o unico usuario do computador, concordo com voce o truecrypt é bastante fácil de usar

0 0