BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

¿Cifrar todo el directorio root?

BocaDePez
BocaDePez

Hola, buenas.

Llevo poco usando las ecryptfs-utils, las herramientas para el cifrado de directorios. Tengo cifrados todo el directorio de /home y la memoria de intercambio swap.

Mi pregunta es saber si existe algún método para cifrar todo el directorio raíz (supongo que será así más seguro), ya que con eCryptfs no puedo o no sé cómo.

Muchas gracias.

BocaDePez
BocaDePez

Sé que en el momento de la instalación se puede decidir eso. Por otra parte, en caso de catástrofe, me parece complicado para recuperar información, aún de forma legítima. Ten cuidado.

🗨️ 6
BocaDePez
BocaDePez

Gracias por su respuesta.

Lo que Vd. indica de al comienzo de la instalación solamente cifra el directorio del usuario.

Y sí, existe un método desde un Live-CD o Live-USB para recuperar información con las propias ecryptfs-utils (eCryptfs funciona directamente en un Live-CD/USB).

Un saludo.

🗨️ 5
BocaDePez
BocaDePez

No veo ninguna razón para cifrar todo el /, y aparte, el /boot nunca puede ir cifrado.

🗨️ 4
BocaDePez
BocaDePez

¿No se puede cifrar /boot? Entonces eso significaría que no se puede cifrar todo, todo.

En el man de eCryptfs no se habla nada de cifrar más allá de /home, swap y directorios independientes.

Si al menos se pudiese cifrar /tmp y /var...

Gracias.

🗨️ 3
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez
-1
superllo

¿Has cifrado la swap? ¿no es un poco demasiado...?

🗨️ 37
BocaDePez
BocaDePez

Gracias por su respuesta.

El creador de eCryptfs recomienda cifrar también la swap, ya que, según él, puede contener información personal o confidencial.

Saludos.

🗨️ 36
BocaDePez
BocaDePez

Vaya... Me ha descubierto Vd., Sr. Cabrero...

Lo que ocurre es que mi porno no es usual: es pervertido (sado-maso, gente atada a la cama, ya sabe Ud...).

🗨️ 1
BocaDePez
BocaDePez
-1
BocaDePez
BocaDePez

Si siguieras todas las recomendaciones (incluso las que no tiene que ver con la informática), serías una persona agria y sin tiempo vital para lo que realmente importa: comer, jiñar, dormir y fornicar. No seas paranoico con las recomendaciones.

El sistema necesitará un punto de inicio el cual tenga las herramientas necesarias para encriptar/desencriptar, si te dicen que no se puede encriptar /boot será por algo.

Si usas grub: ¿has metido una clave para evitar la edición del boot?, esto es, lo que se suele hacer cuando has perdido la clave de root, entrar a saco y modificar shadow. Si lo has hecho, bien, es una de las cosas que SÍ puede merecer la pena si el equipo lo utilizan muchas personas o es público, sino, olvídate de las recomendaciones y ponte a practicar más.

No sé tus motivos para querer encriptar todo el sistema, salvo que pertenezcas a una organización para la defensa (ejército, policía, etc.) o, salvo que estés haciendo actividades ilícitas...

🗨️ 5
BocaDePez
BocaDePez

Si tienes acceso físico al sistema te conviertes en administrador, y a veces hasta sin necesidad de usar un destornillador.

🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

"Hombre paranoico vale por dos", Sr. Cabrero.

He buscado manuales para modificar el GRUB sin ser root y parece que ya no funciona en las últimas distros.

No sé tus motivos para querer encriptar todo el sistema

Dicen que se acerca la sociedad del Gran Hermano, y yo soy de los que está de acuerdo con el movimiento DRY.

🗨️ 1
BocaDePez
BocaDePez
333

Cifrar swap puede afectar muy negativamente al rendimiento del equipo, mi recomendación es que, si tienes RAM suficiente, no uses swap. Por otra parte, fuera del /home (y /root), /var y /tmp nunca se guarda (o nunca se debería guardar) nada confidencial.

🗨️ 26
BocaDePez
BocaDePez

Gracias por su respuesta, amigo.

Al igual que ocurre con el cifrado de /home, la swap queda descifrada automáticamente al iniciar la sesión del usuario (hablo de eCryptfs). Al cerrar la sesión, tanto /home como swap vuelven a cifrarse automáticamente. Yo, de momento, no noto ningún cambio en el rendimiento del equipo. Ya veremos.

Mi RAM es de 1,5 GB. ¿Es mucha o poca?

/var es la ruta de la Papelera... Aunque yo procuro borrarla inmediatamente y borro archivos confidenciales con la aplicación secure-delete (sobreescritura). /root me parece que guarda archivos de paginación, ¿no?

Saludos.

🗨️ 25
BocaDePez
BocaDePez
-1
333
🗨️ 3
BocaDePez
BocaDePez
🗨️ 1
333
BocaDePez
BocaDePez
-1
BocaDePez
BocaDePez
🗨️ 18
BocaDePez
BocaDePez
🗨️ 12
BocaDePez
BocaDePez
-1
🗨️ 11
BocaDePez
BocaDePez
🗨️ 10
BocaDePez
BocaDePez
-1
🗨️ 9
BocaDePez
BocaDePez
🗨️ 8
BocaDePez
BocaDePez
🗨️ 7
BocaDePez
BocaDePez
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
-1
BocaDePez
BocaDePez
🗨️ 3
BocaDePez
BocaDePez
superllo
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez
-1
🗨️ 1
BocaDePez
BocaDePez
-1
BocaDePez
BocaDePez
🗨️ 2
BocaDePez
BocaDePez
-1
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez
-1

Una de las medidas básicas de seguridad es ver porno. Si no te descargas películas porno sospecharán de ti y pensarán que eres peligroso, que eres diferente, y no te olvides de escuchar la cadena SER online, que si no el Gobierno creerá que piensas por ti mismo, que no estás adoctrinado, y los hombres de negro vendrán a por ti.

🗨️ 8
BocaDePez
BocaDePez

Aunque parece que habla Vd. de guasa, Sr. Cabrero, quiero comentarle que estoy de acuerdo con todo lo que expone. Es cierto. Aunque hay que añadir que da igual la emisora que se escuche, la televisión que se vea o el periódico que se lea: si no se hace caso de alguno de ellos, por lo menos, los hombres de negro también vendrán por mí, por no ser "normal"...

Todos los medios de comunicación oficiales son la misma cosa, sirven al mismo amo, tengan el color que tengan (ya le he dicho antes que soy paranoico...).

🗨️ 7
BocaDePez
BocaDePez
-1

Sr. Cabrero vale por dos... con tus dos cuernos.

🗨️ 3
BocaDePez
BocaDePez

Por favor, Sr. Cabrero, no se indigne (como en la Puerta del Sol): es que hoy me he levantado con manía persecutoria...

🗨️ 2
BocaDePez
BocaDePez
-1
🗨️ 1
BocaDePez
BocaDePez
-1
BocaDePez
BocaDePez
-1

Ese a quien contestas sí era yo, el cabrero de la Nación Canaria. Sí, da igual el color, tanto rojo, azul, como verde ecolojeta (de mucha jeta) y si dije Cadena Ser fue para poner un ejemplo contundente. No me gustan los colores, pero sin colores creo que la cosa será todavía peor, pues si no hay colores lo veremos todo muy negro, todavía más negro que en la historia contemporánea de la Pandereta, y entonces no habrá pan para tanta morcilla.

🗨️ 2
BocaDePez
BocaDePez
-1

La Nación Canaria se volvió pepera, y el hijo del cura tiene mala cara.

.

.

.

Creo que el hijo del cura tiene cagalera escatológica, pero no por los pepinos..., sino por los peperos.

🗨️ 1
BocaDePez
BocaDePez
-1
BocaDePez
BocaDePez

Es una medida paranoica, cifrar la SWAP??

Sabes acaso como funciona la SWAP??? , madre mía, estas intentando conseguir la base del kernel, el kernel ya controla decide y protege los procesos para según quien los pueda tocar, la swap no es mas que una extensión de memoria con bytes sin sentido a no ser que sepas exactamente la tabla, la cual valga la redundancia esta en la ram y tambien en la swap.

No me quiero imaginar un so con la raiz cifrada debe ir con un I7 como un Pentium 2 a 300mhz..

🗨️ 2
BocaDePez
BocaDePez
-1

¿Qué problema hay con un Pentium 2 a 300? Eso es una máquina muy potente, más potente que el ordenado que llevaron los pringados que fueron a la luna. Antes la gente sabía programar y aprovechar los recursos, pero ahora, los niñatos del siglo XXI sólo saben diseñar payasadas gráficas que ocupan medio ordenador.

BocaDePez
BocaDePez

No, mire. eCryptfs solamente cifra los directorios y la swap al cerrar/cambiar la sesión de usuario o al apagar el sistema. En ese momento los directorios y la swap quedan cifrados con 256 bits de fortaleza.

Al iniciar la sesión, con la contraseña del usuario los directorios quedan descifrados y montados:

usuario@usuario:~$ mount
/dev/sda2 on / type ext4 (rw,errors=remount-ro)
tmpfs on /lib/init/rw type tmpfs (rw,nosuid,mode=0755)
proc on /proc type proc (rw,noexec,nosuid,nodev)
sysfs on /sys type sysfs (rw,noexec,nosuid,nodev)
udev on /dev type tmpfs (rw,mode=0755)
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev)
devpts on /dev/pts type devpts (rw,noexec,nosuid,gid=5,mode=620)
fusectl on /sys/fs/fuse/connections type fusectl (rw)
/home/usuario/.Private on /home/usuario type ecryptfs (ecryptfs_sig=281d96d23f6321eb,ecryptfs_fnek_sig=c2e5a6b059526168,ecryptfs_cipher=aes,ecryptfs_key_bytes=16)

Una vez descifrados y montados no hay ninguna ralentización, se lo aseguro. He utilizado en Ubuntu el cifrado y ahora en Debian y todo va como la seda (de momento).

Esto es lo que dice el man de eCrypts sobre la necesidad de cifrar swap:

This script will detect existing swap partitions or swap files, and

encrypt them, using cryptsetup.

Encrypted swap is essential to securing any system using eCryptfs,
since decrypted file contents will exist in the system's memory, which
may be swapped to disk at any time. If the system swap space is not
also encrypted, it is possible that decrypted files could be written to
disk in clear text.

Note that most Linux distributions do not yet support resuming from an
encrypted swap space, and thus hibernate/resume will not work. Sus‐
pend/resume is unaffected.

Upon running the utility, the user will be informed of the hiber‐
nate/resume break, and asked to confirm the behavior. The -f|--force

option can be used to bypass this interactive prompt.

Significaría algo así como:

el cifrado de la memoria de intercambio swap (si existe) es esencial en un sistema que usa eCryptfs. La memoria de intercambio puede guardar temporalmente archivos que al escribirlos de nuevo en el disco duro pueden quedar sin cifrar

Salud.