LINUX

Cómo cifrar el sistema de archivos raíz en Linux

0 133 3 minutos de lectura

Es necesario comprender cómo arranca su computadora, porque desbloquear un sistema de archivos raíz cifrado es parte integral del proceso de arranque. La serie actual y estable del kernel, 2.6, usa opcionalmente initramfs para ayudar a arrancar, Initramfs es un archivo cpio que el kernel ahora sabe cómo descomprimir en un disco basado en RAM. Este sistema de archivos descomprimido contiene un script que tradicionalmente carga los módulos del kernel necesarios para montar el sistema de archivos raíz. En nuestro caso, este script también desbloquea el sistema de archivos raíz cifrado.

Hay varias interfaces de cifrado del sistema de archivos disponibles para Linux. También existen varias variaciones de cryptoloop que proporcionan un dispositivo de loopback encriptado. Este artículo se centra en la interfaz dm-crypt proporcionada por los recientes kernels 2.6 de Linux. Actualmente, el Proyecto Fedora prefiere esta interfaz, y los paquetes del kernel de Fedora proporcionan los módulos dm-crypt. También se requiere una configuración de cifrado vinculada estáticamente. Esta utilidad simplifica la gestión de dispositivos dm-crypt. Finalmente, parted y hfsutils se utilizan para administrar el sistema de archivos de arranque. Ahora una interfaz similar se ha portado al nuevo kernel CentOS / RHEL 6 2.6 de forma predeterminada, luego de este episodio tradicional se lo mostraré que describe el método utilizado por los módulos basados ​​en Fedora.

Antes de configurar un sistema de archivos cifrado, debe aleatorizar la partición que ocupará. Esto elimina una posible fuga de información sobre el contenido del disco. Una partición se aleatoriza sobrescribiendo su contenido con datos aleatorios, por ejemplo: si la partición es / dev / hda1

# dd if=/dev/urandom of=/dev/hda1

Este proceso puede llevar mucho tiempo, porque la creación de datos aleatorios es algo difícil.

Pasos para cifrar el sistema de archivos

Hay pasos a seguir para el cifrado

1) Asegúrese de que los módulos aes, dm-mod y dm-crypt se hayan cargado en el kernel.

2) Desmonte la partición que albergará el sistema de archivos raíz cifrado, / dev / hda4, de / home

# umount /dev/hda1

3) Cree una clave de cifrado aleatoria de 256 bits y guárdela en / etc / root-key

# dd if=/dev/urandom of=/etc/root-key bs=1c count=32

Esta clave se copiará al disco Flash más tarde.

4) Cree un dispositivo dm-crypt, cifrado con la clave que acaba de generar

# cryptsetup -d /etc/root-key create root /dev/hda1

Acceder a ‘/ dev / mapper / root’ ahora proporciona una capa encriptada sobre / dev / hda4. De forma predeterminada, cryptsetup crea un dispositivo dm-crypt cifrado con AES y asume un espacio de claves de 256 bits.

5) Cree un sistema de archivos ext3 en ‘/ dev / mapper / root’

# mkfs.ext3 /dev/mapper/root

6) Monte el nuevo sistema de archivos

# mkdir /mnt/encroot
# mount /dev/mapper/root /mnt/encroot

7) Ahora que tiene un sistema de archivos cifrado, debe completarlo con el contenido de / dev / hda5 (el sistema de archivos raíz original)

# cp -ax / /mnt/encroot

8) Finalmente, cree una entrada en ‘/ mnt / encroot / etc / crypttab’ para que varias utilidades sepan cómo se configuró el sistema de archivos

root /dev/hda1 /etc/root-key cipher=aes

Ahora tenemos listo nuestro sistema de archivos cifrado.

Una perspectiva similar y bastante sencilla se puede encontrar en el nuevo RHEL6, donde tenemos el concepto de LUKS (cifrado de volumen) cuyo aspecto es realmente matador (Configuración de clave unificada de Linux) y también ecryptfs, un «pseudo sistema de archivos» que proporciona datos y cifrado de nombre de archivo por archivo. El término «pseudo sistema de archivos» se refiere al hecho de que eCryptfs no tiene un formato en disco; más bien, es una capa del sistema de archivos que reside sobre un sistema de archivos real. La capa eCryptfs proporciona capacidades de cifrado.

eCryptfs funciona como un montaje de enlace, ya que intercepta las operaciones de archivo que escriben en el sistema de archivos subyacente (es decir, cifrado). La capa eCryptfs agrega un encabezado a los metadatos de los archivos en el sistema de archivos subyacente. Estos metadatos describen el cifrado de ese archivo y eCryptfs cifra los datos del archivo antes de pasarlos al sistema de archivos cifrados. Opcionalmente, eCryptfs también puede cifrar nombres de archivos.

eCryptfs no es un sistema de archivos en disco; como tal, no es necesario crearlo mediante herramientas como mkfs. En cambio, eCryptfs se inicia emitiendo un comando de montaje especial. Para administrar sistemas de archivos protegidos por eCryptfs, primero se debe instalar el paquete ecryptfs-utils.

Profundizar en estos temas requerirá otro artículo y está fuera del alcance de este tutorial a partir de ahora. Si tiene alguna pregunta o comentario, no dude en dejar un comentario.

Publicaciones relacionadas

Instalar y configurar Squirrelmail en Linux

Cómo configurar el panel de control de alojamiento de DirectAdmin en CentOS 6/7

Cómo parchear el error Shellshock Bash en RedHat / CentOS, Fedora y Ubuntu

Cómo eliminar líneas comunes de dos archivos en Linux

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar