OpenMandriva: Mageia (Mageia 9) 20/Agosto/2023 - Anuncio, Descargas.
Blogdrake recomienda descargar las imágenes de instalación (iso) vía torrent para evitar corrupción de datos, aprovechar mejor su ancho de banda y mejorar la difusión de las distribuciones.
Cifrado de particiones y directorios
Cypher for dummies.
Hola, reinas.
A petición popular, hoy vamos a ver cómo podemos complicarle la vida un poquito a los listos (en más de un sentido) que pululan por ésos mundos de $DEITY.
El cifrado de particiones podría (debería) ser una técnica de adminstración de sistemas incluída en el temario de primero de BOFH. La cosa consiste en que los datos que se escriben en el disco o partición se desordenan siguiendo un método (algoritmo) de desordenación más o menos complejo, para luego ser descifrado (o reordenado) en el momento en el que se necesita acceder a dichos datos. Así de simple. Así de complejo. Si queréis más info, tengo aquí un estupendo manual.
Métodos para aplicar un cifrado a un sistema de almacenamiento hay varios, pero el más acorde a mis cabronas intenciones es el que os presento aquí. Usaremos dm-crypt y las extensiones LUKS para la creación, gestión y mapeado de archivos, particiones y discos cifrados.
Como somos unos paranoicos (o unos cabrones, que os tengo calados a todos) vamos a crear un fichero de contraseña al que el sistema debe acceder cada vez que quiera montar la partición cifrada. Podemos darle el tamaño que queramos, por ejemplo... 2048 bits. Luego la almacenamos y configuramos sus permisos para que sólo root pueda acceder a dicho fichero:
[root@bestiaparda ~]# head -c 2048 /dev/urandom > ./pass.key
[root@bestiaparda ~]# chmod go-rwx ./pass.key
Éste fichero lo puedes poner en /root si quieres que el sistema acceda localmente a él al iniciar (poco útil para proteger información pero fácil de corromper en un caso de servidores que no queremos que funcionen), en un pincho memoruno que tiene que estar conectado al ordenador al arrancar, etc. Éso va al gusto del consumidor, pero no olvideis dónde la almacenais o La Liaréis Parda (tm).
Bueno, toca crear nuestro volumen cifrado. En la Bestiaparda(tm) uso LVM, así que los comandos están adaptados a tal fin. Partimos de un espacio sin asignar que he definido como LVM_Linux-7. También se puede cifrar una partición existente, pero allá vosotros. Otra cosa que se puede hacer es usar shred para pegarle una machacada a los datos "fantasma" que pudiese haber en el nuevo volumen creado. Si os sobra el tiempo, adelante.
[root@bestiaparda ~]# cryptsetup -c aes luksFormat /dev/mapper/LVM_Linux-7 ./pass.key
WARNING!
========
This will overwrite data on /dev/mapper/LVM_Linux-7 irrevocably.Are you sure? (Type uppercase yes): YES <--Atentos, en mayúsculas.
[root@bestiaparda ~]#
Listos. Tenemos un dispositivo mapper creado que será el que vamos a acabar montando. El -c aes especifica el cifrado que se le va a aplicar a la partición. Ya habeis visto por el mensaje que se destruirá cualquier dato almacenado en la partición. Por éso decía lo de allá vosotros.
Abramos nuestro mapper y asignémosle el nombre de "secure":
[root@bestiaparda ~]#cryptsetup -d /ruta/a/pass.key luksOpen /dev/mapper/LVM_Linux-7 secure
Key slot 0 unlocked.
[root@bestiaparda ~]#
Miratú, yastá. Démosle formato a la cosa y montémoslo:
[root@bestiaparda ~]# mkfs.ext4 /dev/mapper/secure
mke2fs 1.41.12 (17-May-2010)
Etiqueta del sistema de ficheros=
Tipo de SO: Linux
Tamaño del bloque=4096 (bitácora=2)
Tamaño del fragmento=4096 (bitácora=2)
[...blablabla...]
Escribiendo las tablas de nodos-i: hecho
Creating journal (32768 blocks): hecho
Escribiendo superbloques y la información contable del sistema de ficheros: hechoEste sistema de ficheros se revisará automáticamente cada 26 montajes o
180 días, lo que suceda primero. Utilice tune2fs -c o -i para cambiarlo.
[root@bestiaparda ~]# mount /dev/mapper/secure /home/secure -t ext4 -o rw
[root@bestiaparda ~]# df
S.ficheros Size Used Avail Use% Montado en
/dev/mapper/LVM_Linux-1
9,9G 5,1G 4,3G 55% /
/dev/sda8 244M 60M 172M 26% /boot
/dev/mapper/LVM_Linux-2
40G 27G 12G 70% /home
/dev/mapper/LVM_Linux-5
20G 9,2G 11G 47% /home/datos
/dev/sda1 60G 31G 30G 51% /media/win_c
/dev/sda6 20G 18G 3,0G 86% /media/win_d
/dev/sda7 31G 26G 4,6G 86% /media/win_e
/dev/mapper/LVM_Linux-6
20G 4,4G 16G 22% /virtualized
/dev/mapper/secure
7,7G 146M 7,2G 2% /home/secure
Yeayeayea. Tenemos acceso a la partición. Es ya sólo cosa de ajustar permisos y demás como si se tratara de una partición normal. Luego, si queremos que el volumen cifrado esté disponible a cada reinicio del sistema, debemos crear el archivo /etc/crypttab con un aspecto similar a éste:
/dev/mapper/secure /dev/mapper/LVM_Linux-7 /root/pass.key luks,user 0 0
EDITADO: Con esta línea en /etc/crypttab no se os va a activar el mapeo del volumen cifrado ni de coña. La línea correcta debería ser:
secure /dev/mapper/LVM_Linux-7 /root/pass.key
Si le ponemos la ruta completa a secure, falla. Y las opciones de montaje, van en /etc/fstab. Siejqueee
Y una entrada en el /etc/fstab para que nos monte el volumen al iniciar:
/dev/mapper/secure /home/secure ext4 defaults 1 2
Recordad ajustar los valores a vuestro sistema...
Listos. A cada reinicio, el volumen cifrado se montará automáticamente y estará disponible. Queda muy bonito, y si alguien trata de acceder a ésos datos desde fuera, pues se va a encontrar con nuestro super-cifrado (y con una contraseña de la hostia). Atentos al archivo pass.key que es el que permite el montaje del volumen. Si se corrompe, podríais dejar a algún cliente listillo sin acceso a sus datos...
Enjoy!
- Blog de vfmBOFH
- Entra a tu cuenta o crea una para poder comentar.
Usuario
# 112190 Como siempre sublime!
¿para qué existen los libros y los comics si podemos leer tus divertidas entradas? jeje....además, con ellas aprendemos.
Usuario linux #496861
Usuario
# 112192 Al fin lo he podido leer
Luego de quitarme de encima las tareas del cotidiano. Qué más se puede decir ? Excelente como siempre, mi estimado VFM.
BOFH
# 112202 Vaya tela...
Ésto lleva aquí desde el lunes y nadie ha dicho nada del fallo.
Me parece que voy a tener que pasarme por aquí más a menudo y poneros las pilas, nenazas.
Atentamente,
La voz ésa del interior de tu cabeza que oyes cuando lees algo.
DISCLAIMER: No tengo mucho tiempo para forear, así que voy al grano. Si crees que mi respuesta es ruda, seca, cortante o hiriente, no lo dudes: LO ES.
BOFH
# 112204 Lo he mirado por encima, y he
Lo he mirado por encima, y he pensado , tengo que montar algo así en casa.
Pero no he tenido tiempo de hacerlo, me lo apunto.
¿es este fallo tan grande como para verlo a simple vista? ¿o hay que hacerlo paso a paso para apreciarlo?
Me tienes intrigado.Enhorabuena por el manual, además como ya te han dicho antes, es muy divertido leerte.
PD: ahora de repente has pillado un look Clark Joseph Kent , cambias de aspecto como lo hace Sacha Baron Cohen, pareces otra persona.
Un placer verte de nuevo por aquí.
Muy Suyo
Her DoctorBOFH
BOFH
# 112205 Ya está corregido
Lo había dejado a modo de "deberes", pero la peña ha pasado mazo.
Y por cierto, si me parezco a alguien es al Doctor. Señor del Tiempo del planeta Galifrey. Edición David Tennant...
Atentamente,
La voz ésa del interior de tu cabeza que oyes cuando lees algo.
DISCLAIMER: No tengo mucho tiempo para forear, así que voy al grano. Si crees que mi respuesta es ruda, seca, cortante o hiriente, no lo dudes: LO ES.