Cómo emplear LUKS para codificar discos duros, particiones y archivos en Linux Debian

En el sistema operativo Linux contamos muchas opciones para encriptar datos en Linux, por ejemplo podemos usar dm-crypt, LUKS, eCryptfs e inclusive programas como Veracrypt, estos programas son muy polivalentes y muy aconsejables. Con la ayuda de LUKS (Linux Unified Key Settings) podemos codificar discos duros, particiones y volúmenes lógicos que creamos en nuestra computadora. Ciertas ventajas de LUKS sobre otras son que es muy fácil de usar, no hay necesidad de modificar o realizar comandos complejos. Está incluido en el núcleo mismo. Consecuentemente, el desempeño para el cifrado / descifrado de datos será altísimo. Asimismo debemos tener en consideración que tenemos la posibilidad de regentar las claves de encriptado según sea necesario.

Hemos dividido claramente esta guía en 2 partes: la sección primera le muestra cómo disponer todo el S.O. Debian con particiones cifradas, que está cifrada de forma ya establecida, y la segunda parte, de qué manera cifrar una partición en una instalación normal de Debian, predeterminada En este caso, la partición no se cifrará. Un detalle fundamental es que la partición "orientada al barco" no está encriptada a fin de que la información se logre leer, pero el resto del disco duro está cifrado con LUKS, así sea una partición o un volumen lógico (LVM).

Instale Debian o Linux con el encriptado LUKS ya establecido

En el asistente de instalación de Debian, ya sea con una GUI completa o con un asistente de instalación de interfaz de usuario mínima, tenemos la posibilidad de usar un LVM encriptado para configurar todo el disco duro para asegurar la máxima intimidad al utilizar la PC como partición del sistema. cifrado.

Solo debemos escoger "Arrancar - utilizar todo el disco y configurar un LVM encriptado", luego elegimos el disco y decidimos si deseamos que todo esté en una partición o particionado en particiones, da igual ya que nosotros / home tenemos la posibilidad de host la partición está en el otro.

Esto señala que recomendamos encarecidamente utilizar LVM para agrandar o achicar la capacidad más adelante si deseamos sostener los cambios completados. Hecho esto, el sistema operativo borrará todo el disco duro con datos aleatorios para prosperar la seguridad y eludir la recuperación de datos. Esto puede conducir algún tiempo, en dependencia del tamaño del disco duro elegido.

Al finalizar, se nos pedirá una contraseña de encriptado y la vamos a usar para codificar y descifrar el disco duro. Se aconseja que ingrese cuando menos 8 caracteres, pero recomendamos emplear una contraseña segura para ingresar cuando menos 12 letras y números. Al finalizar, obtenemos un resumen de todas y cada una de las operaciones que el asistente de instalación de Debian está realizando en nuestro disco duro, la parte más esencial es el "encriptado sda5_scrypt", el detalle esencial es que / boot no está encriptado ni intercambiado. En consecuencia, le aconsejamos que jamás utilice el trueque ni lo encripte posteriormente.

Cuando observamos todo lo que hay que llevar a cabo, señalamos que deseamos redactar los cambios en el disco y también instalar el gestor de arranque en Grub escogiendo la unidad / dev / sda que tenemos.

Una vez hayamos terminado con la instalación saldrá Grub y elegiremos la primera opción, de lo contrario pasará el tiempo. Automáticamente nos solicitará que ingresemos la contraseña para iniciar el sistema operativo, si no ingresamos la contraseña directamente, no se comenzará en tanto que todo está encriptado. En el momento en que entramos la clave, observamos que se empiezan varios servicios en Debian.

Si queremos verificar la sección creada, podemos entrar el siguiente comando:

lsblk --fs

Si desea ver las características de LUKS (algoritmo de encriptado simétrico usado, longitud de la clave, etc.), puede entrar el próximo comando:

cryptsetup luksDump /dev/sda5

/ dev / sda5 En nuestro ejemplo, estos datos tienen la posibilidad de cambiar si realiza una instalación diferente. Como puede ver, LUKS usa la versión de 512 bits de AES-XTS para cifrar todos y cada uno de los datos con PBKDF hash argon2i y SHA256.

Como puede ver, es muy simple modificar nuestro sistema operativo Linux ya establecido, solo necesitamos continuar los pasos del asistente de configuración sin ir más lejos. Cuando sepamos cómo se cifran todos y cada uno de los datos de manera predeterminada, observemos cómo cifrarlos si el S.O. ya está instalado.

Configure el encriptado LUKS en el sistema instalado sin cifrado primero

En esta parte del tutorial, va a aprender cómo cifrar una partición una vez que se haya creado e inclusive cifrar cada fichero empleando LUKS en el S.O.. Nos encontramos corriendo estas pruebas en un sistema Debian 10. De manera ya establecida, no hay cifrado, particiones del sistema, datos o afines.

Lo primero que debemos llevar a cabo es disponer LUKS en el sistema operativo, porque si no lo usamos en el asistente de instalación, no se instalará por defecto. Complete la instalación directamente desde el repositorio oficial de Debian de la siguiente forma:

sudo apt install cryptsetup

Una vez instalado, tenemos la posibilidad de utilizarlo para codificar el contenido de discos duros, particiones o medios extraíbles.

Antes de iniciar, siempre Sugerido cuidadosamente formatee la partición y sobrescriba los datos.Para una seguridad máxima, toda la partición o el disco duro se sobrescribe con información aleatoria, lo que dificulta o prácticamente imposibilita la restauración de la información. LUKS en la actualidad no permite el encriptado de discos duros o particiones mientras están en uso, por lo que necesitamos el cifrado de otra PC. Además de esto, debe usar "cryptsetup-reencrypt“Esto nos ayuda a regresar a cifrar completamente la partición sin perder datos, aunque es muy aconsejable realizar una backup de los ficheros esenciales con anticipación. Puede emplear esta herramienta para cifrar datos en un dispositivo de campo LUKS, pero no se puede emplear la partición.

Cifre cualquier disco duro o partición (pérdida de datos)

La primera cosa que debemos hacer es hacer una nueva partición en el disco duro para empleo futuro. Ejecute los próximos comandos:

sudo fdisk /dev/sdb

Luego proseguimos escribiendo "n" para crear una nueva partición, ponemos "p" para transformarla en la partición primaria, admitimos un valor que señala que poseemos toda la partición del disco, si queremos encogerlo, requerimos cambiar que particularmente el ámbito de esta sección.

Tras completar esta operación, necesitamos desplazar la partición sdb1 recién creada al formato LUKS, para lo que ejecutaremos el próximo comando:

sudo cryptsetup luksFormat /dev/sdb1

Escribimos "SI" con mayúscula, ingresamos la contraseña deseada y aguardamos hasta el momento en que esté lista.

En el momento en que ejecutamos el comando:

lsblk -f

Podemos consultar todos los discos, particiones y sistemas de archivos usados. Deberíamos ver que disponemos "crypto_LUKS" en sdb1 por el hecho de que aparece aquí:

En el momento en que hayamos terminado, necesitaremos utilizar el LUKS que acabamos de hacer para abrir esta sección, para lo que colocaremos el comando:

cryptsetup luksOpen /dev/sdb1 particioncifrada

Ingresamos la contraseña, entonces ejecutamos "lsblk -f" de nuevo, y aparece la "partición encriptada" - este es el nombre del identificador que asignamos, pero tenemos la posibilidad de cambiarlo cualquier ocasión.

En este momento tenemos que precisar el formato de archivo para esta sección, normalmente EXT4, entramos el próximo comando:

mkfs.ext4 /dev/mapper/particioncifrada

Ahora contamos un sistema de archivos EXT4 en esta partición cifrada.

Ahora necesitamos montar la partición en un directorio, para esto debemos hacer un punto de montaje en / home o donde sea:

mkdir -p /home/bron/particioncifrada/archivos

Ahora requerimos instalarlo:

mount /dev/mapper/particioncifrada /home/bron/particioncifrada/ficheros

Si vamos al directorio “/ home / bron / partitionverschüsselung / archivos”, tenemos la posibilidad de escribir los datos que queramos, el encriptado es dinámico y absolutamente transparente.

Cuando reiniciamos la computadora, el dispositivo no se conectará y no se usará LUKS para abrir la partición, por lo que toda vez que reiniciamos y queremos entrar a la partición, debemos hacer lo siguiente:

cryptsetup luksOpen /dev/sdb1 particioncifrada

En el momento en que se le pida, ingrese la contraseña y reinstale el dispositivo:

mount /dev/mapper/particioncifrada /home/bron/particioncifrada/ficheros

Si deseamos que se abra y monte automáticamente cuando comienza el S.O., requerimos los archivos Editar / etc / crypttab y / etc / fstab para poner esta partición, pero te recomendamos que montes de forma manual el dispositivo e ingreses la contraseña, pues de lo contrario precisará la clave de texto sin formato en la sección / boot / -Save.

Ahora que sabemos todo lo que necesitamos saber para codificar un disco duro completo o una partición con LUKS y cifrarlo directamente desde Linux, aun si el sistema ya se está corriendo, tenemos que tener cuidado con nuestras contraseñas, pero vamos a hablar de increíblemente seguro con el encriptado de datos del sistema.