Cifrado de particiones y directorios

Cypher for dummies.

Hola, reinas.

A petición popular, hoy vamos a ver cómo podemos complicarle la vida un poquito a los listos (en más de un sentido) que pululan por ésos mundos de $DEITY.

El cifrado de particiones podría (debería) ser una técnica de adminstración de sistemas incluída en el temario de primero de BOFH. La cosa consiste en que los datos que se escriben en el disco o partición se desordenan siguiendo un método (algoritmo) de desordenación más o menos complejo, para luego ser descifrado (o reordenado) en el momento en el que se necesita acceder a dichos datos. Así de simple. Así de complejo. Si queréis más info, tengo aquí un estupendo manual.

Métodos para aplicar un cifrado a un sistema de almacenamiento hay varios, pero el más acorde a mis cabronas intenciones es el que os presento aquí. Usaremos dm-crypt y las extensiones LUKS para la creación, gestión y mapeado de archivos, particiones y discos cifrados.

Como somos unos paranoicos (o unos cabrones, que os tengo calados a todos) vamos a crear un fichero de contraseña al que el sistema debe acceder cada vez que quiera montar la partición cifrada. Podemos darle el tamaño que queramos, por ejemplo... 2048 bits. Luego la almacenamos y configuramos sus permisos para que sólo root pueda acceder a dicho fichero:

[root@bestiaparda ~]# head -c 2048 /dev/urandom > ./pass.key
[root@bestiaparda ~]# chmod go-rwx ./pass.key

Éste fichero lo puedes poner en /root si quieres que el sistema acceda localmente a él al iniciar (poco útil para proteger información pero fácil de corromper en un caso de servidores que no queremos que funcionen), en un pincho memoruno que tiene que estar conectado al ordenador al arrancar, etc. Éso va al gusto del consumidor, pero no olvideis dónde la almacenais o La Liaréis Parda (tm).

Bueno, toca crear nuestro volumen cifrado. En la Bestiaparda(tm) uso LVM, así que los comandos están adaptados a tal fin. Partimos de un espacio sin asignar que he definido como LVM_Linux-7. También se puede cifrar una partición existente, pero allá vosotros. Otra cosa que se puede hacer es usar shred para pegarle una machacada a los datos "fantasma" que pudiese haber en el nuevo volumen creado. Si os sobra el tiempo, adelante.

[root@bestiaparda ~]# cryptsetup -c aes luksFormat /dev/mapper/LVM_Linux-7 ./pass.key

WARNING!

========
This will overwrite data on /dev/mapper/LVM_Linux-7 irrevocably.

Are you sure? (Type uppercase yes): YES <--Atentos, en mayúsculas.
[root@bestiaparda ~]#

Listos. Tenemos un dispositivo mapper creado que será el que vamos a acabar montando. El -c aes especifica el cifrado que se le va a aplicar a la partición. Ya habeis visto por el mensaje que se destruirá cualquier dato almacenado en la partición. Por éso decía lo de allá vosotros.

Abramos nuestro mapper y asignémosle el nombre de "secure":

[root@bestiaparda ~]#cryptsetup -d /ruta/a/pass.key luksOpen /dev/mapper/LVM_Linux-7 secure
Key slot 0 unlocked.
[root@bestiaparda ~]#

Miratú, yastá. Démosle formato a la cosa y montémoslo:

[root@bestiaparda ~]# mkfs.ext4 /dev/mapper/secure
mke2fs 1.41.12 (17-May-2010)
Etiqueta del sistema de ficheros=
Tipo de SO: Linux
Tamaño del bloque=4096 (bitácora=2)
Tamaño del fragmento=4096 (bitácora=2)
[...blablabla...]
Escribiendo las tablas de nodos-i: hecho
Creating journal (32768 blocks): hecho
Escribiendo superbloques y la información contable del sistema de ficheros: hecho

Este sistema de ficheros se revisará automáticamente cada 26 montajes o
180 días, lo que suceda primero.  Utilice tune2fs -c o -i para cambiarlo.
[root@bestiaparda ~]# mount /dev/mapper/secure /home/secure -t ext4 -o rw
[root@bestiaparda ~]# df
S.ficheros            Size  Used Avail Use% Montado en
/dev/mapper/LVM_Linux-1
                      9,9G  5,1G  4,3G  55% /
/dev/sda8             244M   60M  172M  26% /boot
/dev/mapper/LVM_Linux-2
                       40G   27G   12G  70% /home
/dev/mapper/LVM_Linux-5
                       20G  9,2G   11G  47% /home/datos
/dev/sda1              60G   31G   30G  51% /media/win_c
/dev/sda6              20G   18G  3,0G  86% /media/win_d
/dev/sda7              31G   26G  4,6G  86% /media/win_e
/dev/mapper/LVM_Linux-6
                       20G  4,4G   16G  22% /virtualized
/dev/mapper/secure
                      7,7G  146M  7,2G   2% /home/secure

Yeayeayea. Tenemos acceso a la partición. Es ya sólo cosa de ajustar permisos y demás como si se tratara de una partición normal.  Luego, si queremos que el volumen cifrado esté disponible a cada reinicio del sistema, debemos crear el archivo /etc/crypttab con un aspecto similar a éste:

/dev/mapper/secure /dev/mapper/LVM_Linux-7 /root/pass.key luks,user 0 0

EDITADO: Con esta línea en /etc/crypttab no se os va a activar el mapeo del volumen cifrado ni de coña. La línea correcta debería ser:

secure /dev/mapper/LVM_Linux-7 /root/pass.key

Si le ponemos la ruta completa a secure, falla. Y las opciones de montaje, van en /etc/fstab. Siejqueee

Y una entrada en el /etc/fstab para que nos monte el volumen al iniciar:

/dev/mapper/secure /home/secure ext4 defaults 1 2

Recordad ajustar los valores a vuestro sistema...

Listos. A cada reinicio, el volumen cifrado se montará automáticamente y estará disponible. Queda muy bonito, y si alguien trata de acceder a ésos datos desde fuera, pues se va a encontrar con nuestro super-cifrado (y con una contraseña de la hostia). Atentos al archivo pass.key que es el que permite el montaje del volumen. Si se corrompe, podríais dejar a algún cliente listillo sin acceso a sus datos...

Enjoy!