Criando um repositório criptografado de dados com Cryptsetup (dm-crypt) sem (re)particionamento do HD

schaf

Aprenda a criar um repositório criptografado para arquivos e diretórios sem a necessidade de (re)particionar o disco rígido.

[ Hits: 37.159 ]

Por: Stefano Fontes em 17/08/2010

0 0

Denuncie Favoritos Indicar Impressora

Provendo os suportes no kernel

Em primeiro lugar é necessário prover os devidos suportes no kernel:

Suporte a dispositivo de loop (sugiro NÃO habilitar a subopção "cryptoloop");
Suporte ao device mapper (subopção do item "RAID e LVM");
Suporte a criptografia AES (subopção do item "CRYPTOGRAPHIC OPTIONS").

Apesar dessas opções pelo visto estarem habilitadas por padrão no kernel 2.6, é conveniente verificar e habilitá-las se for preciso.

Repare que a subopção "cryptoloop" do item "Loopback device support" não tem nada a ver com o "dm-crypt", que utilizaremos através do cryptsetup, e talvez seja conveniente não habilitá-la para evitar problemas; uma vez que, pelo menos até o Kernel 2.6.21, ela tinha problemas com sistemas de arquivo com "Journaling" (ext3, raiserfs) e talvez cause algum tipo de conflito ou incompatibilidade com o "dm-crypt".

Então verifique se os seguintes itens na árvore de compilação de seu Kernel estão como abaixo (make menuconfig):


Device drivers --->

Block devices --->
<*> Loopback device support                                 
       < >   Cryptoloop Support  ===> (DESABILITAR)

Multi-device support (RAID and LVM)  --->
 [*] Multiple devices driver support (RAID and LVM)
<*>   Device mapper support
<*>     Crypt target support

Cryptographic options  --->
--- Cryptographic API
---   Cryptographic algorithm manager
---   CBC support
<*>   AES cipher algorithms
<*>   AES cipher algorithms (i586)

Se for necessário, recompile o kernel e reinstale-o com as opções acima como estão. Para maiores informações sobre como recompilar o kernel, consulte a documentação de sua distribuição ou disponível em outras fontes sobre o assunto.

Página anterior Próxima página

Páginas do artigo

   1. Introdução
   2. Provendo os suportes no kernel
   3. Provendo outros pré-requisitos
   4. Criando o volume criptografado
   5. Formatando o volume criptografado
   6. Finalizando

Outros artigos deste autor

Provendo dados em um servidor PostgreSQL através do Apache e PHP

Configurando disquete e pendrive para boot sem suporte na BIOS

Leitura recomendada

Quebrando chave WEP - Wired Equivalent Privacy (parte 2)

Desafio: Análise Forense Computacional - Forense em Tráfego de Rede [Resolvido]

CouchDB - For Fun and Profit

Solução de backup para servidores Windows, Linux & BSD’s

Lynis: Sistema de auditoria e segurança para Linux

Comentários

[1] Comentário enviado por Arthur Andrade em 17/08/2010 - 15:15h

Cara, apesar de te dar os meus parabéns pelo texto.
Devo adimitir que não compreendi nada, e anda longe de ser
devido á tua didática, que por sinal é muito boa.

Mas devido a minha falta de conhecimento. Eu sonho com
o dia em que eu leia um texto de tal complexidade e o
compreenda.

Parabéns pelo texto! ;]

0 0

[2] Comentário enviado por rogeriojlle em 18/08/2010 - 07:24h

@Arthur

uso uma forma diferente de criptografar meus dados, me pareceu mais simples, mas não sei te dizer se é equivalente em segurança à do artigo acima, eu ao menos estou satisfeito
meu sistema é o OpenSuse 11.3

instale o pacote "encfs" (não é necessário, mas se você reiniciar a máquina logo depois disso, não precisa passar um parâmetro extra aos comandos a seguir, vou assumir que a máquina foi reiniciada ...)

crie uma pasta onde ficarão fisicamente os dados criptografados ex:

mkdir /home.... (tá use o nautilus mesmo, é mais fácil)

crie/use outra pasta onde os dados vão aparecer para uso

mkdir ...(já sabe)

o comando é equivalente ao "mount", só troca por "encfs" (aí faz no terminal mesmo, não tem gui pro OpenSuse, só pra Ubuntu até onde sei, é o Gencfs)

$ encfs /pasta/onde/ficará/o/conteúdo criptografado /pasta/de/onde/eles/devem/ser/acessados

da primeira vez tem um wizard pra criar, sugestão: use a opção "P"
para desmontar é igual a qualquer outro FUSE

$ fusermount -u /pasta/de/onde/eles/devem/ser/acessados

é rapidinho e precisa ser root só pra instalar as coisas
outra sugestão: crie a pasta onde ficam os dados, em sua pasta de disco virtual (ex: Dropbox), já ajuda no backup

0 0

[3] Comentário enviado por removido em 18/08/2010 - 14:27h

Tenho uns arquivos que são super secretos, então uso o encfs dentro de uma partição criptografada com o cryptsetup.Segurança duplicada.

0 0

[4] Comentário enviado por nicolo em 21/08/2010 - 16:55h

Se quiserem fazer isso tudo mais fácil ainda é só instalar o truecrypt , é tudo gráfico.

0 0

[5] Comentário enviado por rogeriojlle em 21/08/2010 - 18:58h

@nicolo

o truecrypt tem alguns problemas quando executado por usuário comum, e se voce dar "sudo" mesmo que só pro truecrypt, ele pode usar todo o sistema como root, se não fizer uma série de outras modificações, agora se for o unico usuario do computador, concordo com voce o truecrypt é bastante fácil de usar

0 0