Mini guía: Encriptar /home y swap en Mandriva

Amanecer 22 octubre 2006 10:36 ✎

⋮

Para continuar con la anterior mini guía, vamos a ver en este pequeño artículo como disponer de un ordenador más seguro encriptando la partición donde reside /home y la partición de intercambio. Esto puede ser interesante en ordenadores portátiles, donde su extravío pueda comprometer información sensible almacenada en el disco duro.

Esta información es para la instalación de Mandriva 2.006 y 2.007, en otras distribuciones habría que improvisar. En sistemas que ya estén en funcionamiento también es posible encriptar /home si reside en una partición independiente y la partición de intercambio usando la información de la anterior mini guía.

1.Elegir particionamiento personalizado

Iniciar la instalación de Mandriva. Al llegar a la ventana “Particionando” durante el proceso de instalación deberemos seleccionar la opción “Particionamiento personalizado”

2.Pulsaremos sobre el botón “Modo experto”

Para que se nos activen las opciones avanzadas. En este punto debemos elegir las particiones nuestro disco duro que alojarán nuestro sistema de ficheros, el punto de montaje de /home y la partición de intercambio.

3.Seleccionar la partición donde se montará /home

Elegimos la partición que alojará /home y pulsamos el botón “Opciones”.

4. Marcar la opción de encriptación

En el panel de opciones seleccionamos la opción "encrypted", se nos abre un nuevo panel en el que deberemos seleccionar el algoritmo de cifrado e introducir nuestra contraseña.

N.B.1. Al teclear la contraseña es importante recordar que la configuración de teclado cargada en el instalador de Mandriva no es la misma que estará cargada cuando nos pregunte la clave, por tanto, evitar el uso de eñes, vocales acentuadas y símbolos no estándar porque sino, después no de podrá montar el sistema de ficheros.

N.B.2. Se recomienda elegir AES1024 o AES2048 para disponer de un margen de seguridad razonable.

5. Aceptar los cambios

Pulsar el botón "Aceptar" para regresar al panel de opciones y nuevamente "Aceptar" para continuar con la instalación.

6. Formatear

Dar formato, por lo menos, a la partición que alojará /home.

7. Continuar con la instalación

Continuar y concluir la instalación.

8. Montaje

En este punto ya disponemos de un sistema de ficheros encriptado que alojará nuestro directorio /home.

El montaje de dicho sistema de ficheros es automático durante el arranque una vez que proporcionemos la contraseña.

N.B. Si se nos pasa el tiempo y no introducimos la clave no se podrá acceder al sistema de ficheros y /home no se montará. Esto impide, entre otras cosas, que se pueda iniciar sesión el entorno gráfico KDE.

9. Encriptar swap

Una vez iniciado Mandriva, abrimos un terminal y editamos como superusuario el archivo /etc/fstab. Donde aparece:

 /dev/sda5 swap swap defaults 0 0

debemos modificar para que ponga

 /dev/sda5 swap swap encrypted 0 0

De esta forma, al arrancar, Madriva general una clave aleatoria que usará para cifrar el contenido de la partición de intercambio, haciendo imposible que terceras personas obtengan información investigando lo almacenado en la partición de intecambio.

Alcanzado este punto, aunque otras personas accedan a nuestro disco duro, por pérdida del mismo, por ejemplo, no podrán acceder a nuestros datos ni extrapolar ningún tipo de información del contenido de la partición de intercambio. Por tanto, mantenemos nuestra privacidad y la confidencialidad de nuestros datos.

Notas finales:

- SI SE TE OLVIDA LA CLAVE PERDERÁS TUS DATOS PARA SIEMPRE. Así que procura ser especialmente cuidadoso.

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.

BocaDePez 22 octubre 2006 11:42

⋮

Uso Mandriva desde hace un par de años, y no sabía que se podían hacer estas cosas de una manera tan fácil. Gracias por el tutorial :-)

Una pregunta, ¿Cuando inicia el sistema tienes que darle a yes antes de 5 segundos para montar la partición? ¿Y si no le das y todas tus particiones están encriptadas qué hace? ¿No se podría configurar para que espere la contraseña "ad enternum" y no haya un límite de 5 segundos?

Muchas gracias de nuevo.

✖

Amanecer 22 octubre 2006 12:05 ✎

⋮

Hola:

Yo descubro cosas nuevas cada día...

Con la partición /home encriptada, si no le das antes de los 5 segundos él continua arrancando como si nada, llega hasta la pantalla de bienvenida y a partir de ahí depende del gestor de ventanas que tengas. Si tienes el KDE, no conseguiras iniciar la sesión de ninguna manera, salen errores, aceptas y vuelves a la pantalla de bienvenida indefinidamente, con otros gestores de ventanas más sencillos, puedes iniciar sesión, pero no tienes acceso a home y, por tanto, no todo funciona correctamente.

¿Tener todas las particiones encriptadas? He leído algo por ahí, parece ser que es posible manteniendo una pequeña partición sin encriptar desde la que se carga el núcleo, pero no lo he probado.

Para que espere la contraseña hasta el infinito hay que editar el /etc/rc.d/rc.sysinit, buscar donde pone:

 echo "We have discovered Encrypted filesystems, do you want to mount them now ?"

 MSG=`gprintf "Press Y within %%d seconds to mount your encrypted filesystems..."`

 KEYS=`gprintf "yY"`

 if /sbin/getkey-c $AUTOFSCK_CRYPTO_TIMEOUT -m "$MSG" "$KEYS"; then

 echo -e '\n'

 for i in ${encrypted};do

 echo -n "${i} "; mount ${i}

 done

 else

 echo -e '\n'

 fi

y eliminar el texto que aparece en negrita (-c $AUTOFSCK_CRYPTO_TIMEOUT)... bueno, también modificar el mensaje "Press Y within %%d seconds..." :)

Saludos.