Quando falamos de segurança da informação, podemos usar várias técnicas e ferramentas para evitar intrusões remotas e locais através do terminal. Mas nós devemos pensar em outras possibilidades além do acesso ao terminal propriamente dito.

Como podemos garantir a segurança do nosso servidor se ele for roubado? E se alguém conseguir clonar o HD? E se roubarem o nosso notebook?

Nessas situações não teremos o que fazer, o ladrão (invasor) vai ter acesso a todas as nossas informações.

O que podemos fazer para evitar esse tipo de situação?

Existem duas coisas que podemos fazer:

A primeira é ter uma boa proteção física aos seus servidores, colocando acessos através de cartões, acessos biométricos, salas cofres ou pelo menos que a sala fique trancada e somente pessoas de confiança tenham acesso a eles.

O segundo ponto é criptografar o disco, ou melhor dizendo, colocar uma criptografia nas partições onde ficam as informações confidencias da empresa.

Como fazer essa criptografia

Para trabalharmos com criptografia de discos e partições, devemos adotar primeiramente um método de criptografia. Um método que é muito recomendado em sistemas GNU/Linux é o LUKS, que significa Linux Unified Key Setup.

O LUKS foi desenvolvido para implementar uma padrão único de criptografia de discos, pois outras soluções não mantinham uma padronização de criptografia, o que causava grandes dores de cabeças aos usuários quando precisavam fazer alguma migração de versão ou migração de ferramentas.

Por que o LUKS?

Por que o LUKS é um método padronizado de implementar criptografia de discos.

Qual tipo de padrão?

O LUKS se baseia em uma documentação escrita por Clemens Fruhwirth chamada "TKS1 - An anti-forensic, two level, and iterated key setup scheme". Pode-se dizer que o LUKS é a implementação de prova de conceitos dessa documentação. Para implementarmos o LUKS em um sistema Linux utilizaremos as seguintes ferramentas:

• dm-crypt: o dm-crypt é um subsistema de criptografia de discos em kernel Linux versão 2.6. Ele faz parte do infraestrutura device-mapper (sistema de mapeamento de dispositivos de blocos). O dm-crypt foi desenvolvido para trabalhar com vários modos de criptografia, como CBC, ESSIV, LRW e XTS. Como o dm-crypt reside na camada de kernel, ele precisa de front-ends para criar os dispositivos criptografados e manuseá-los. Esses front-ends são o cryptsetup e cryptmount.
• cryptsetup: o cryptsetup é usado para configurar a criptografia nos dispositivos utilizando o dm-crypt. Ele possui comandos para trabalhar com e sem o LUKS.
• cryptmount: comando usado para montar/desmontar dispositivos criptografados. Ele permite que usuários montem dispositivos criptografados sem a necessidade do superusuário.