Instalação do Arch Linux com LVM + Luks

Em tempos que a segurança deve ser levada cada vez mais a sério, criptografia é um ótimo caminho para melhorar nossa sensação de segurança. Utilizar criptografia em disco, portanto, é um meio muito bom para conseguir isso.

gjuniioor

Por Gildásio Júnior em 14/01/2016

Hits: 16.744 Categoria: Linux Subcategoria: Miscelânea

Introdução

Artigo originalmente postado em: http://gjuniioor.github.io/blog/archlinux-lvm-luks/

Engraçado que já fiz um post falando sobre a pós instalação do Arch Linux [0] antes mesmo de fazer a instalação. Portanto, depois daqui, recomendo que dê uma olhada nesse outro post. :)

Recentemente foi encontrado um bug no bootloader [1] Grub, que pressionando backspace vinte e oito vezes resultava numa shell do Grub. Isso foi um reboliço danado na comunidade. A questão é que por se tratar de uma falha de exploração física, necessário ter acesso à máquina, "não precisa" dessa falha para uma possível invasão. Como com ela vai acontecer o reboot da máquina, você poderia fazer esse reboot manualmente e fazer o boot por um pendrive com um live CD, assim, vendo todos os arquivos da máquina.

E como quase sempre a solução para aumentar a sensação de segurança é recorrer à criptografia. Criptografar o disco, partições e arquivos nos deixa mais seguro quando se trata dessas coisas. Tendo essa perspectiva, aproveitei e juntei o útil (criptografar o disco) ao agradável (voltar ao usar o lindo Arch Linux) e aqui está o resultado de tudo isso.

LVM + Luks

LVM (Logical Volume Manager - Gerenciador de Volume Lógico) permite gerenciar os discos com algumas funcionalidades interessantes, como por exemplo utilizar vários discos físicos para funcionar como um ou mais volumes, ou ainda poder remanejar o tamanho das partições e fazer toda essa gerência em tempo de execução.

LVM tem alguns conceitos bacanas a se abordar que guardarei para quando fizer um melhor sentido nesse texto. :) Se tiver interesse, recomendo a leitura de alguns links: [2], [3], [4], [5], [6] e [7]. E como são textos direcionados exclusivamente à LVM e não à implementação dele em uma instalação de um sistema, recomendo ainda mais para quem quer entendê-lo melhor.

Luks foi o que me motivou a fazer todo esse processo e por consequência, fazer esse post. Lembra que falei da criptografia do disco? Pois bem, ele quem vai permitir isso para a gente. Rapidamente falando, Luks é uma especificação de encriptação de disco que veio para padronizar esse processo. Antes era utilizado de vários formatos diferentes, mas com o Luks isso foi resolvido. Vamos lá!

Links

[0]: https://gjuniioor.github.io/blog/pos-instalacao-archlinux/
[1]: http://hmarco.org/bugs/CVE-2015-8370-Grub2-authentication-bypass.html
[2]: https://www.vivaolinux.com.br/dica/LVM-Logical-Volume-Manager
[3]: https://www.vivaolinux.com.br/artigo/Entendendo-e-configurando-o-LVM-manualmente
[4]: https://www.vivaolinux.com.br/artigo/LVM-completo-e-sem-misterios
[5]: https://wiki.archlinux.org/index.php/LVM
[6]: http://www.devin.com.br/lvm/
[7]: http://www.hardware.com.br/dicas/entendendo-lvm.html

Siga para a próxima página...

Páginas do artigo

   1. Introdução
   2. Instalação
   3. Configuração

Outros artigos deste autor

VirtualBox no Arch Linux

WeeChat - Um (O) cliente IRC CLI

Transmission-CLI - Gerenciando torrents via CLI

A pós-instalação do Arch Linux

Compartilhando o Terminal

Leitura recomendada

Embutindo legenda e fazendo autoração de um vídeo para DVD

Guia de referência do ISOLINUX (parte 1)

Entendento o comando chmod

SuperGRUB - Perdeu a MBR? Recupere-a com este programa

Modificando a remasterização com Molecule - Sabayon completo, com KDE e GNOME

Comentários

#1 Comentário enviado por willian.firmino em 18/01/2016 - 09:50h

Como ficaria a configuração com dual boot com outra distro, no meu caso o Slackware, encontrei este artigo http://blog.darknedgy.net/technology/2014/07/27/1/ mas não sei como colocar isso tudo junto, eu gostaria de deixar o Slackware e o Arch com lvm+luks, e o grub do Arch gerenciando o boot.

#2 Comentário enviado por gjuniioor em 21/01/2016 - 10:05h

[1] Comentário enviado por willian.firmino em 18/01/2016 - 09:50h

Como ficaria a configuração com dual boot com outra distro, no meu caso o Slackware, encontrei este artigo http://blog.darknedgy.net/technology/2014/07/27/1/ mas não sei como colocar isso tudo junto, eu gostaria de deixar o Slackware e o Arch com lvm+luks, e o grub do Arch gerenciando o boot.

Bem, nunca fiz dual boot com lvm+luks, portanto, o que vou falar só segue a lógica teórica...

P.S.: Antes de seguir qualquer procedimento assim, sempre recomendado fazer backup de tudo o que precisar para não correr risco de mais aborrecimento.

Em teoria você poderia fazer assim:
sda1 - /boot
sda2 - / (arch)
sda3 - / (slack)
sda4 - /home
E no fstab configurar para utilizar a mesma partição /home em ambas as distro.
Como a tela do Grub aparece antes da parte para inserção da senha para abrir a partição, presumo que fazendo a configuração assim o Grub se responsabilizaria dessa parte.

Só lembrando novamente, isso em teoria. Se quiser se arriscar a fazer o teste chama no telegram com esse meu nick ai que a gente vai se falando para trocar figurinhas. Depois pode surgir um texto teu aqui :)

#3 Comentário enviado por r_carreiro em 24/01/2016 - 19:10h

Wow!!!
Muito bom o artigo cara, parabéns!

#4 Comentário enviado por Alexandreaf em 09/02/2016 - 12:41h

Gjuniioor,

Olá, por gentileza, poderia esclarecer essa minha dúvida?

Você criou /dev/sda2 com o flag "Linux LVM", código 8e.

Isso é um volume físico (physical volume)?

Ao executar

cryptsetup -c aes-xts-plain64 -y -s 512 luksFormat /dev/sda2

O que você está criptografando? Ou seja, tudo que estiver sobre ele "volume group", "logical volumes" e "file systems" estarão criptografados. É isso mesmo? Pode confirmar?

https://img.vivaolinux.com.br/imagens/dicas/comunidade/Captura-de-tela-de-2013-05-02-21:28:05.png
https://www.vivaolinux.com.br/dica/LVM-Logical-Volume-Manager

Ou seja, / , /home, swap...? Como poderia conferir se estão de fato criptografados?

Minha preocupação é a seguinte, quero que, com exceção do /boot, esteja criptografado, inclusivo e sem falta, a partição swap.

Obrigado.

#5 Comentário enviado por gjuniioor em 09/02/2016 - 22:53h

[4] Comentário enviado por Alexandreaf em 09/02/2016 - 12:41h

Gjuniioor,

Olá, por gentileza, poderia esclarecer essa minha dúvida?

Você criou /dev/sda2 com o flag "Linux LVM", código 8e.

Isso é um volume físico (physical volume)?

Na verdade, isso é uma partição do disco. E para poder utilizar essa partição com LVM utilizei a flag determinado pelo código 8e (Linux LVM).

[4] Comentário enviado por Alexandreaf em 09/02/2016 - 12:41h

Ao executar

cryptsetup -c aes-xts-plain64 -y -s 512 luksFormat /dev/sda2

O que você está criptografando? Ou seja, tudo que estiver sobre ele "volume group", "logical volumes" e "file systems" estarão criptografados. É isso mesmo? Pode confirmar?

Quase isso. Na verdade, todo o conteúdo da partição /dev/sda2 estará criptografado. Depois disso que abro essa partição com Luks+LVM:

# cryptsetup luksOpen /dev/sda2 lvm

E então posso criar o volume físico, grupo e o lógico.

[4] Comentário enviado por Alexandreaf em 09/02/2016 - 12:41h
Ou seja, / , /home, swap...? Como poderia conferir se estão de fato criptografados?

Você pode tentar montar a partição /dev/sda2 para ver no que dá :)
Faz o seguinte teste: Roda a máquina com um liveUSB e tenta acessar a partição. Claro, sem abrí-la e montá-la com luks+lvm.

[4] Comentário enviado por Alexandreaf em 09/02/2016 - 12:41h
Minha preocupação é a seguinte, quero que, com exceção do /boot, esteja criptografado, inclusivo e sem falta, a partição swap.

Obrigado.

Então é só seguir as configurações que tem ai, adaptando, claro, com os valores que desejar. Pois fiz dessa mesma forma. Com exeção do /boot, todo o disco está criptografado.

Disponha ^-^

#6 Comentário enviado por Alexandreaf em 10/02/2016 - 11:18h

Obrigado. :)