Criando volumes criptografados
Dica publicada em Linux / Segurança
Criando volumes criptografados
Visando maior segurança das informações no sistema, é possível criar volumes criptografados protegendo as informações sensíveis (como senhas e endereços de servidores) em arquivos que só podem ser abertos após a confirmação de senha ou frase.
Neste pequeno tutorial, mostraremos de maneira simples como efetuar tal procedimento. Lembramos que os comandos administrativos devem ser executados com o superusuário ou permissões mantidas de acordo com a necessidade do administrador do sistema.
# dd if=/dev/zero of=volume1.img bs=1M count=100
No exemplo acima, é criado um arquivo do tamanho de 100 MB para armazenamento de senhas e endereços de servidores.
O comando losetup trata de transformar este arquivo recém-criado para um dispositivo de blocos adicionado em /dev. Mapearemos a seguir, o arquivo para um dispositivo de bloco:
# losetup /dev/loop0 /volume1.img
Em seguida, com o utilitário cryptsetup, formatamos o arquivo para o formato criptografado. O sistema pedirá uma senha, esta deverá ser utilizada posteriormente na montagem do volume. Caso a mesma seja perdida, os dados contidos no volume não poderão ser recuperados.
# cryptsetup luksFormat /dev/loop0
Após criado e mapeado o arquivo para o dispositivo de blocos e formatar o mesmo, abrimos o arquivo para início das operações:
# cryptsetup luksOpen /dev/loop0 volume1
Uma vez montado o novo dispositivo de blocos, formatamos o mesmo como um dispositivo comum:
# mkfs.ext3 /dev/mapper/volume1
# mkdir /mnt/volume1
E finalmente, montamos o dispositivo para utilização:
# mount /dev/mapper/volume1 /mnt/volume1
Uma vez montado o dispositivo, podemos escrever informações no mesmo como um cartão SD ou pendrive normalmente. Porém, as mesmas ficam armazenadas de forma protegida, tendo seu acesso por meio de senha ou frase, minimizando assim o acesso não autorizado a dados sensíveis.
# umount /mnt/volume1
Remoção do mapeamento existente:
# cryptsetup luksClose volume1
Remoção do dispositivo de blocos:
# losetup -d /dev/loop0
Este artigo pode ser baixado em formato PDF, em:
Neste pequeno tutorial, mostraremos de maneira simples como efetuar tal procedimento. Lembramos que os comandos administrativos devem ser executados com o superusuário ou permissões mantidas de acordo com a necessidade do administrador do sistema.
Preparando o volume
Primeiramente, criaremos o arquivo onde serão armazenados os dados:# dd if=/dev/zero of=volume1.img bs=1M count=100
No exemplo acima, é criado um arquivo do tamanho de 100 MB para armazenamento de senhas e endereços de servidores.
O comando losetup trata de transformar este arquivo recém-criado para um dispositivo de blocos adicionado em /dev. Mapearemos a seguir, o arquivo para um dispositivo de bloco:
# losetup /dev/loop0 /volume1.img
Em seguida, com o utilitário cryptsetup, formatamos o arquivo para o formato criptografado. O sistema pedirá uma senha, esta deverá ser utilizada posteriormente na montagem do volume. Caso a mesma seja perdida, os dados contidos no volume não poderão ser recuperados.
# cryptsetup luksFormat /dev/loop0
Após criado e mapeado o arquivo para o dispositivo de blocos e formatar o mesmo, abrimos o arquivo para início das operações:
# cryptsetup luksOpen /dev/loop0 volume1
Uma vez montado o novo dispositivo de blocos, formatamos o mesmo como um dispositivo comum:
# mkfs.ext3 /dev/mapper/volume1
Montando o volume
Criação do ponto de montagem:# mkdir /mnt/volume1
E finalmente, montamos o dispositivo para utilização:
# mount /dev/mapper/volume1 /mnt/volume1
Uma vez montado o dispositivo, podemos escrever informações no mesmo como um cartão SD ou pendrive normalmente. Porém, as mesmas ficam armazenadas de forma protegida, tendo seu acesso por meio de senha ou frase, minimizando assim o acesso não autorizado a dados sensíveis.
Desmontagem do volume
Assim como os dispositivos de bloco devem ser montados, o processo de desmontagem do volume também é necessário, este pode ser feito normalmente com o comando umount:# umount /mnt/volume1
Remoção do mapeamento existente:
# cryptsetup luksClose volume1
Remoção do dispositivo de blocos:
# losetup -d /dev/loop0
Conclusão
Com este procedimento, é possível proteger arquivos e diretórios de acesso não autorizado via senha ou frase secreta, aumentando assim, a segurança de dados importantes e que não devem ser de conhecimento de todos.Este artigo pode ser baixado em formato PDF, em:
É possível remover a senha do cryptsetup da inicialização do sistema e configurar para pedir senha somente quando for necessário descriptografar a partição para alguma manutenção nos arguivos?
Obrigado.