Criptografia de disco
Neste artigo mostrarei como fazer criptografia de disco, um ponto muito importante na segurança da informação. Espero que gostem!
[ Hits: 78.154 ]
Por: Henrique Vieira Leanor em 02/02/2010
Porque criptografar o disco
Quando falamos de segurança da informação, podemos usar várias técnicas e ferramentas para evitar intrusões remotas e locais através do terminal. Mas nós devemos pensar em outras possibilidades além do acesso ao terminal propriamente dito.
Como podemos garantir a segurança do nosso servidor se ele for roubado? E se alguém conseguir clonar o HD? E se roubarem o nosso notebook?
Nessas situações não teremos o que fazer, o ladrão (invasor) vai ter acesso a todas as nossas informações.
O que podemos fazer para evitar esse tipo de situação?
Existem duas coisas que podemos fazer:
A primeira é ter uma boa proteção física aos seus servidores, colocando acessos através de cartões, acessos biométricos, salas cofres ou pelo menos que a sala fique trancada e somente pessoas de confiança tenham acesso a eles.
O segundo ponto é criptografar o disco, ou melhor dizendo, colocar uma criptografia nas partições onde ficam as informações confidencias da empresa.
O LUKS foi desenvolvido para implementar uma padrão único de criptografia de discos, pois outras soluções não mantinham uma padronização de criptografia, o que causava grandes dores de cabeças aos usuários quando precisavam fazer alguma migração de versão ou migração de ferramentas.
Por que o LUKS?
Por que o LUKS é um método padronizado de implementar criptografia de discos.
Qual tipo de padrão?
O LUKS se baseia em uma documentação escrita por Clemens Fruhwirth chamada "TKS1 - An anti-forensic, two level, and iterated key setup scheme". Pode-se dizer que o LUKS é a implementação de prova de conceitos dessa documentação. Para implementarmos o LUKS em um sistema Linux utilizaremos as seguintes ferramentas:
Como podemos garantir a segurança do nosso servidor se ele for roubado? E se alguém conseguir clonar o HD? E se roubarem o nosso notebook?
Nessas situações não teremos o que fazer, o ladrão (invasor) vai ter acesso a todas as nossas informações.
O que podemos fazer para evitar esse tipo de situação?
Existem duas coisas que podemos fazer:
A primeira é ter uma boa proteção física aos seus servidores, colocando acessos através de cartões, acessos biométricos, salas cofres ou pelo menos que a sala fique trancada e somente pessoas de confiança tenham acesso a eles.
O segundo ponto é criptografar o disco, ou melhor dizendo, colocar uma criptografia nas partições onde ficam as informações confidencias da empresa.
Como fazer essa criptografia
Para trabalharmos com criptografia de discos e partições, devemos adotar primeiramente um método de criptografia. Um método que é muito recomendado em sistemas GNU/Linux é o LUKS, que significa Linux Unified Key Setup.O LUKS foi desenvolvido para implementar uma padrão único de criptografia de discos, pois outras soluções não mantinham uma padronização de criptografia, o que causava grandes dores de cabeças aos usuários quando precisavam fazer alguma migração de versão ou migração de ferramentas.
Por que o LUKS?
Por que o LUKS é um método padronizado de implementar criptografia de discos.
Qual tipo de padrão?
O LUKS se baseia em uma documentação escrita por Clemens Fruhwirth chamada "TKS1 - An anti-forensic, two level, and iterated key setup scheme". Pode-se dizer que o LUKS é a implementação de prova de conceitos dessa documentação. Para implementarmos o LUKS em um sistema Linux utilizaremos as seguintes ferramentas:
- dm-crypt: o dm-crypt é um subsistema de criptografia de discos em kernel Linux versão 2.6. Ele faz parte do infraestrutura device-mapper (sistema de mapeamento de dispositivos de blocos). O dm-crypt foi desenvolvido para trabalhar com vários modos de criptografia, como CBC, ESSIV, LRW e XTS. Como o dm-crypt reside na camada de kernel, ele precisa de front-ends para criar os dispositivos criptografados e manuseá-los. Esses front-ends são o cryptsetup e cryptmount.
- cryptsetup: o cryptsetup é usado para configurar a criptografia nos dispositivos utilizando o dm-crypt. Ele possui comandos para trabalhar com e sem o LUKS.
- cryptmount: comando usado para montar/desmontar dispositivos criptografados. Ele permite que usuários montem dispositivos criptografados sem a necessidade do superusuário.
Páginas do artigo
1. Porque criptografar o disco2. O que a norma da segurança diz sobre criptografia de disco
3. Ativando o serviço e dando os últimos retoques
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Quebrando chave WEP - Wired Equivalent Privacy (parte 2)
Certificações em Segurança: para qual estudar?
Servidor de autenticação 802.1x com Freeradius
Instalação do Fail2Ban no CentOS 7
Nmap do início ao fim (parte 1)
Comentários
[1] Comentário enviado por removido em 02/02/2010 - 17:00h
No artigo você cita que pode ser utilizado um dispositivo para acesso, pode ser um pendrive? preciso formatar ele de forma especial? sabe como fazer isso para não precisar ficar digitando senha?
No artigo você cita que pode ser utilizado um dispositivo para acesso, pode ser um pendrive? preciso formatar ele de forma especial? sabe como fazer isso para não precisar ficar digitando senha?
[2] Comentário enviado por luizvieira em 02/02/2010 - 21:33h
Acrescentando uma informação à dica do amigo: o TrueCrypt é uma boa opção de ferramenta open source para criptografia de disco, partições e arquivos.
Veja essa dica: http://www.vivaolinux.com.br/dica/TrueCrypt-Open-Source-para-criptografia/
[ ]'s
Acrescentando uma informação à dica do amigo: o TrueCrypt é uma boa opção de ferramenta open source para criptografia de disco, partições e arquivos.
Veja essa dica: http://www.vivaolinux.com.br/dica/TrueCrypt-Open-Source-para-criptografia/
[ ]'s
[3] Comentário enviado por felipeferreira em 02/02/2010 - 23:07h
legal, mais se eu pega este hd, e colocar em outra maquina com debian, como faço para montar a partiçao, sendo que eu nao sei nenhuma informaçao deste hd, so sei o passhare.
legal, mais se eu pega este hd, e colocar em outra maquina com debian, como faço para montar a partiçao, sendo que eu nao sei nenhuma informaçao deste hd, so sei o passhare.
[4] Comentário enviado por henrique.inside em 03/02/2010 - 02:31h
Daniel na Verdade a Senha, é uma forma de Segurança...
Sobre o Trocar o HD de máquina. não sei o que pode acontecer, porque pode dar algumas incompatibildades...
rsrs Mas qualquer coisa estarei postando mais aqui !
ate maiss !
Daniel na Verdade a Senha, é uma forma de Segurança...
Sobre o Trocar o HD de máquina. não sei o que pode acontecer, porque pode dar algumas incompatibildades...
rsrs Mas qualquer coisa estarei postando mais aqui !
ate maiss !
[5] Comentário enviado por nicolo em 19/02/2010 - 13:00h
Eu uso o cryptsetup. POde trocar o HD com a partição criptografada tanto de linux como de máquina e continua funcionando.
Já há tempo em funcioamento sem problemas
O Truecrypt com partição eu nunca usei. Com arquivo conteiner deu variação de um linux para outro. Com as versões mais novas do truecrypt e do linux parece que melhorou. O sistema de arquivo do conteiner parece não ser reconhecido sempre e parece ter problema de tamanho acima de 2 Gb, mas não sei dizer se isso é problema da máquina ou da versão do linux, ou do TrueCrypt mais antigo.
Estranhamente o conteiner velho voltou a funcionar com tudo novo: Máquina nova, linux ultima versão, e truecrypt última versão.
2-Ainda não testei em pen drive, teoricamente pode funcionar.
Artigo nota 10.
Eu uso o cryptsetup. POde trocar o HD com a partição criptografada tanto de linux como de máquina e continua funcionando.
Já há tempo em funcioamento sem problemas
O Truecrypt com partição eu nunca usei. Com arquivo conteiner deu variação de um linux para outro. Com as versões mais novas do truecrypt e do linux parece que melhorou. O sistema de arquivo do conteiner parece não ser reconhecido sempre e parece ter problema de tamanho acima de 2 Gb, mas não sei dizer se isso é problema da máquina ou da versão do linux, ou do TrueCrypt mais antigo.
Estranhamente o conteiner velho voltou a funcionar com tudo novo: Máquina nova, linux ultima versão, e truecrypt última versão.
2-Ainda não testei em pen drive, teoricamente pode funcionar.
Artigo nota 10.
[6] Comentário enviado por marceloviana em 16/04/2016 - 09:30h
Henrique, obrigado pelo artigo!
- Como faço para arrancar o sistema sem a necessidade de senha para o ponto de montagem?
- Como faço para descriptografar a partição criptografada (em linha de comando) para visualizar os arquivos e fazer manutenção?
Obrigado.
Henrique, obrigado pelo artigo!
- Como faço para arrancar o sistema sem a necessidade de senha para o ponto de montagem?
- Como faço para descriptografar a partição criptografada (em linha de comando) para visualizar os arquivos e fazer manutenção?
Obrigado.
[7] Comentário enviado por ottolinux em 14/12/2016 - 16:11h
Muito bom seu artigo Henrique. Parabéns,
Como só hoje li ele , fiz o mesmo processo usando uma outra receita de outro artigo em inglês, link : https://www.cyberciti.biz/hardware/howto-linux-hard-disk-encryption-with-luks-cryptsetup-command/ .
No meu caso eu fiz um testes com o Pendrive de 4GB, funcionou perfeito. Ficou bem fácil e prático. Eu estou usando o Linux Elementary OS , e quando espeto o pendrive no lap ele já mostra no gerenciador de arquivos e avisa que é encriptado. Quando se manda montar pelo gerenciador ele logo pede a passphrase ( senha gerada no inicio do processo).
Sobre o que o pessoal perguntou de montar sem senha, bom ai perde toda a função de segurança. POis é a senha de segurança que impede de outros monta-lo e visualizar os dados. Apenas cuidado com a senha , pois se perder a senha ou esquece-la babaus !
Bom trabalho ai,
Att
Muito bom seu artigo Henrique. Parabéns,
Como só hoje li ele , fiz o mesmo processo usando uma outra receita de outro artigo em inglês, link : https://www.cyberciti.biz/hardware/howto-linux-hard-disk-encryption-with-luks-cryptsetup-command/ .
No meu caso eu fiz um testes com o Pendrive de 4GB, funcionou perfeito. Ficou bem fácil e prático. Eu estou usando o Linux Elementary OS , e quando espeto o pendrive no lap ele já mostra no gerenciador de arquivos e avisa que é encriptado. Quando se manda montar pelo gerenciador ele logo pede a passphrase ( senha gerada no inicio do processo).
Sobre o que o pessoal perguntou de montar sem senha, bom ai perde toda a função de segurança. POis é a senha de segurança que impede de outros monta-lo e visualizar os dados. Apenas cuidado com a senha , pois se perder a senha ou esquece-la babaus !
Bom trabalho ai,
Att
[8] Comentário enviado por ric_rock em 30/03/2017 - 17:19h
eu fiz uma instalação do debian ja com uma partição criptografada, so que quando erro a senha na hora do boot mesmo assim ele da acesso a pasta, e consigo salvar as coisas entrando com a senha root, mas quando entro com a senha da criptografia as coisas q salvei nao aparecem, e vice versa, alguem sabe me explicar se isso é assim mesmo? o certo nao seria nao ter acesso nenhum a pasta da partição? se nao for digitado a senha?
obrigado.
eu fiz uma instalação do debian ja com uma partição criptografada, so que quando erro a senha na hora do boot mesmo assim ele da acesso a pasta, e consigo salvar as coisas entrando com a senha root, mas quando entro com a senha da criptografia as coisas q salvei nao aparecem, e vice versa, alguem sabe me explicar se isso é assim mesmo? o certo nao seria nao ter acesso nenhum a pasta da partição? se nao for digitado a senha?
obrigado.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Recuperar arquivos de HD em formato RAW usando Linux (0)
SysAdmin ou DevOps: Qual curso inicial pra essa área? (0)
Melhores Práticas de Nomenclatura: Pastas, Arquivos e Código (3)
Top 10 do mês
-
Xerxes
1° lugar - 66.794 pts -
Fábio Berbert de Paula
2° lugar - 51.114 pts -
Buckminster
3° lugar - 17.604 pts -
Mauricio Ferrari
4° lugar - 15.827 pts -
Alberto Federman Neto.
5° lugar - 14.242 pts -
Diego Mendes Rodrigues
6° lugar - 13.632 pts -
Daniel Lara Souza
7° lugar - 12.801 pts -
edps
8° lugar - 11.053 pts -
Andre (pinduvoz)
9° lugar - 10.767 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 10.689 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
