Encriptar particion

De doc.ubuntu-es
(Diferencias entre revisiones)
Saltar a: navegación, buscar
(Proceso a seguir paso a paso: Categorizando)
(correcciones)
 
(No se muestran 2 ediciones intermedias realizadas por un usuario)
Línea 1: Línea 1:
A veces no es suficiente con proteger nuestro ordenador mediante configuraciones adecuadas, buenas contraseñas, firewalls, etc. sino que debemos ir un paso más allá e encriptar la información en nuestro disco duro. De esta forma, si alguien se hiciese con el y lo conectase a otro ordenador seria incapaz de extraer ningún tipo de información. Esto es especialmente interesante en el caso de los ordenadores portátiles, que pueden ser fácilmente sustraídos.
+
A veces no es suficiente con proteger nuestro ordenador mediante configuraciones adecuadas, buenas contraseñas, firewalls, etc. sino que debemos ir un paso más allá y encriptar la información en nuestro disco duro. De esta forma, si alguien se hiciese con él y lo conectase a otro ordenador sería incapaz de extraer ningún tipo de información. Esto es especialmente interesante en el caso de los ordenadores portátiles, que pueden ser fácilmente sustraídos.
  
 
Por otro lado, es necesario poder combinar esa seguridad con comodidad para el usuario, el cual no quiere tener que recordar que debe cifrar unos datos determinados siguiendo una serie de pasos (por ejemplo utilizando [http://www.gnupg.org/ gnupg]). De ahí que la solución más acertada sea la creación de una partición encriptada, la cual se montará automáticamente al hacer login el usuario (la contraseña de la partición y la del usuario serán la misma).
 
Por otro lado, es necesario poder combinar esa seguridad con comodidad para el usuario, el cual no quiere tener que recordar que debe cifrar unos datos determinados siguiendo una serie de pasos (por ejemplo utilizando [http://www.gnupg.org/ gnupg]). De ahí que la solución más acertada sea la creación de una partición encriptada, la cual se montará automáticamente al hacer login el usuario (la contraseña de la partición y la del usuario serán la misma).
Línea 9: Línea 9:
 
== Proceso a seguir paso a paso ==
 
== Proceso a seguir paso a paso ==
  
Lo primero que necesitamos es una partición en nuestro disco duro que esté disponible para guardar allí el directorio de nuestro usuario (ejemplo: <code>/home/usuario</code>”). Para ello podríamos utilizar [[Gparted]] desde el LiveCD de Ubuntu de forma que podamos redimensionar particiones existentes, crear nuevas particiones o lo que precisemos.
+
Lo primero que necesitamos es una partición en nuestro disco duro que esté disponible para guardar allí el directorio de nuestro usuario (ejemplo: <code>/home/usuario</code>”). Para ello podríamos utilizar [[GParted]] desde el LiveCD de Ubuntu de forma que podamos redimensionar particiones existentes, crear nuevas particiones o lo que precisemos.
  
 
Una vez tengamos una partición disponible seguiremos los siguientes pasos:
 
Una vez tengamos una partición disponible seguiremos los siguientes pasos:
Línea 15: Línea 15:
 
:1. Instalamos las aplicaciones necesarias:
 
:1. Instalamos las aplicaciones necesarias:
  
      sudo apt-get install cryptsetup libpam-mount initramfs-tools
+
sudo apt-get install cryptsetup libpam-mount initramfs-tools
  
  
:2. Cargamos los modulos criptográficos:
+
:2. Cargamos los módulos criptográficos:
  
      sudo modprobe dm_crypt
+
sudo modprobe dm_crypt
      sudo modprobe sha256
+
sudo modprobe sha256
      sudo modprobe aes_i586
+
sudo modprobe aes_i586
  
  
 
:3. Formateamos la partición (para este ejemplo usaremos <code>/dev/hda6</code>) y le asignamos un password (el cual debe ser igual al del usuario):
 
:3. Formateamos la partición (para este ejemplo usaremos <code>/dev/hda6</code>) y le asignamos un password (el cual debe ser igual al del usuario):
  
      sudo luksformat -t ext3 /dev/hda6
+
sudo luksformat -t ext3 /dev/hda6
  
 
{{Nota|Si nos da algún error extraño puede ser debido a que cuando nos pregunta si estamos seguros, debemos escribir <code>YES</code> en mayúsculas.}}
 
{{Nota|Si nos da algún error extraño puede ser debido a que cuando nos pregunta si estamos seguros, debemos escribir <code>YES</code> en mayúsculas.}}
Línea 34: Línea 34:
 
:4. Montamos la partición en <code>/tmp/crypthome</code>:
 
:4. Montamos la partición en <code>/tmp/crypthome</code>:
  
      sudo cryptsetup luksOpen /dev/hda6 crypthome
+
sudo cryptsetup luksOpen /dev/hda6 crypthome
      mkdir /tmp/crypthome && sudo mount /dev/mapper/crypthome /tmp/crypthome
+
mkdir /tmp/crypthome && sudo mount /dev/mapper/crypthome /tmp/crypthome
  
  
 
:5. Editamos <code>/etc/security/pam_mount.conf</code> y añadimos al final del archivo (indicando nuestro usuario y partición real):
 
:5. Editamos <code>/etc/security/pam_mount.conf</code> y añadimos al final del archivo (indicando nuestro usuario y partición real):
  
      volume usuario crypt - /dev/hda6 /home/usuario exec,fsck,nodev,nosuid - -
+
volume usuario crypt - /dev/hda6 /home/usuario exec,fsck,nodev,nosuid - -
  
  
 
:6. Editamos <code>/etc/pam.d/login</code>, <code>/etc/pam.d/gdm</code> y <code>/etc/pam.d/ssh</code> (si existe) para añadir al final:
 
:6. Editamos <code>/etc/pam.d/login</code>, <code>/etc/pam.d/gdm</code> y <code>/etc/pam.d/ssh</code> (si existe) para añadir al final:
  
      @include common-pammount
+
@include common-pammount
  
  
{{Importante|Las siguientes dos maniobras a realizar es mejor hacerlos desde una sesión de terminal “pura” o <code>tty</code> (tty1 a tty6), a las podemos acceder mediante la combinación de teclas <code>CTRL+ALT+F1...CTRL+ALT+F6</code>. podemos volver a <code>tty7</code> (sesión de terminal con el entorno gráfico) presionando <code>CTRL+ALT+F7</code>. De este modo evitamos perder configuraciones que no hayan sido guardadas aun por '''gconf''', '''evolution''' o algún otro proceso.}}
+
{{Importante|Las siguientes dos maniobras a realizar es mejor hacerlos desde una sesión de terminal “pura” o <code>tty</code> (tty1 a tty6), a las que podemos acceder mediante la combinación de teclas <code>CTRL+ALT+F1...CTRL+ALT+F6</code>. podemos volver a <code>tty7</code> (sesión de terminal con el entorno gráfico) presionando <code>CTRL+ALT+F7</code>. De este modo evitamos perder configuraciones que no hayan sido guardadas aún por '''gconf''', '''evolution''' o algún otro proceso.}}
  
  
 
:7.Copiamos todos los datos actuales de nuestro usuario a la nueva partición y nos aseguramos de que el propietario sea el propio usuario:
 
:7.Copiamos todos los datos actuales de nuestro usuario a la nueva partición y nos aseguramos de que el propietario sea el propio usuario:
  
      sudo cp -avx /home/usuario/* /tmp/crypthome
+
sudo cp -avx /home/usuario/* /tmp/crypthome
      sudo chown -R usuario:usuario /tmp/crypthome
+
sudo chown -R usuario:usuario /tmp/crypthome
      sudo umount /tmp/crypthome
+
sudo umount /tmp/crypthome
      sudo cryptsetup luksClose crypthome
+
sudo cryptsetup luksClose crypthome
  
  
 
:8. Llegados a este punto ya lo tenemos todo preparado para hacer el cambio. Podríamos mover nuestro <code>/home</code> para eliminarlo más tarde (cuando hayamos comprobado que todo funciona correctamente):
 
:8. Llegados a este punto ya lo tenemos todo preparado para hacer el cambio. Podríamos mover nuestro <code>/home</code> para eliminarlo más tarde (cuando hayamos comprobado que todo funciona correctamente):
  
      cd
+
cd
      cd ..
+
cd ..
      sudo mv usuario usuario.old
+
sudo mv usuario usuario.old
      sudo mkdir usuario
+
sudo mkdir usuario
      sudo chown usuario:usuario usuario
+
sudo chown usuario:usuario usuario
  
 
:9. Finalmente, reiniciaremos nuestro ordenador.
 
:9. Finalmente, reiniciaremos nuestro ordenador.
  
      sudo shutdown -r now
+
sudo shutdown -r now
 
[[Categoría:Encriptación]]
 
[[Categoría:Encriptación]]
  
Línea 78: Línea 78:
 
De todas formas debemos ser conscientes de la importancia de tener una [[Contrase%C3%B1as_%22fuertes%22|contraseña fuerte]] (con números, símbolos, letras mayúsculas y minúsculas todo intercalado), dado que la carpeta raíz no está encriptada. Si alguien robase nuestro disco duro aún tendría acceso a <code>/etc/shadow</code>, lugar donde se almacenan las contraseñas (de forma encriptada), que podrían ser sometidas a un ataque de fuerza bruta con programas del estilo de [http://es.wikipedia.org/wiki/John_the_Ripper john the ripper].
 
De todas formas debemos ser conscientes de la importancia de tener una [[Contrase%C3%B1as_%22fuertes%22|contraseña fuerte]] (con números, símbolos, letras mayúsculas y minúsculas todo intercalado), dado que la carpeta raíz no está encriptada. Si alguien robase nuestro disco duro aún tendría acceso a <code>/etc/shadow</code>, lugar donde se almacenan las contraseñas (de forma encriptada), que podrían ser sometidas a un ataque de fuerza bruta con programas del estilo de [http://es.wikipedia.org/wiki/John_the_Ripper john the ripper].
  
Una opción sería encriptar toda la partición raiz <code>/</code>, al gual que la memoria swap, de forma que obtendríamos un máximo nivel de seguridad. La única pega de esto es que se nos pedirá la contraseña justo después de cargarse el [[Grub]], algo que en un sistema multiusuario puede llegar a ser incómodo.
+
Una opción sería encriptar toda la partición raíz <code>/</code>, al igual que la memoria swap, de forma que obtendríamos un máximo nivel de seguridad. La única pega de esto es que se nos pedirá la contraseña justo después de cargarse el [[Grub]], algo que en un sistema multiusuario puede llegar a ser incómodo.
  
  
Línea 86: Línea 86:
  
 
* [[Encriptar archivos y carpetas]]
 
* [[Encriptar archivos y carpetas]]
 +
* [[Como encriptar información dentro de una imagen]]
 +
* [[Encriptar una carpeta con EncFS]]
  
 
== Fuentes ==
 
== Fuentes ==

Última revisión de 20:31 18 abr 2012

A veces no es suficiente con proteger nuestro ordenador mediante configuraciones adecuadas, buenas contraseñas, firewalls, etc. sino que debemos ir un paso más allá y encriptar la información en nuestro disco duro. De esta forma, si alguien se hiciese con él y lo conectase a otro ordenador sería incapaz de extraer ningún tipo de información. Esto es especialmente interesante en el caso de los ordenadores portátiles, que pueden ser fácilmente sustraídos.

Por otro lado, es necesario poder combinar esa seguridad con comodidad para el usuario, el cual no quiere tener que recordar que debe cifrar unos datos determinados siguiendo una serie de pasos (por ejemplo utilizando gnupg). De ahí que la solución más acertada sea la creación de una partición encriptada, la cual se montará automáticamente al hacer login el usuario (la contraseña de la partición y la del usuario serán la misma).

Para este objetivo utilizaremos Luks, aplicación que es empleada para encriptación de memorias USB y otros dispositivos.


Contenido

[editar] Proceso a seguir paso a paso

Lo primero que necesitamos es una partición en nuestro disco duro que esté disponible para guardar allí el directorio de nuestro usuario (ejemplo: /home/usuario”). Para ello podríamos utilizar GParted desde el LiveCD de Ubuntu de forma que podamos redimensionar particiones existentes, crear nuevas particiones o lo que precisemos.

Una vez tengamos una partición disponible seguiremos los siguientes pasos:

1. Instalamos las aplicaciones necesarias:
sudo apt-get install cryptsetup libpam-mount initramfs-tools


2. Cargamos los módulos criptográficos:
sudo modprobe dm_crypt
sudo modprobe sha256
sudo modprobe aes_i586


3. Formateamos la partición (para este ejemplo usaremos /dev/hda6) y le asignamos un password (el cual debe ser igual al del usuario):
sudo luksformat -t ext3 /dev/hda6
Clip.png Si nos da algún error extraño puede ser debido a que cuando nos pregunta si estamos seguros, debemos escribir YES en mayúsculas.


4. Montamos la partición en /tmp/crypthome:
sudo cryptsetup luksOpen /dev/hda6 crypthome
mkdir /tmp/crypthome && sudo mount /dev/mapper/crypthome /tmp/crypthome


5. Editamos /etc/security/pam_mount.conf y añadimos al final del archivo (indicando nuestro usuario y partición real):
volume usuario crypt - /dev/hda6 /home/usuario exec,fsck,nodev,nosuid - -


6. Editamos /etc/pam.d/login, /etc/pam.d/gdm y /etc/pam.d/ssh (si existe) para añadir al final:
@include common-pammount


Important.png Las siguientes dos maniobras a realizar es mejor hacerlos desde una sesión de terminal “pura” o tty (tty1 a tty6), a las que podemos acceder mediante la combinación de teclas CTRL+ALT+F1...CTRL+ALT+F6. podemos volver a tty7 (sesión de terminal con el entorno gráfico) presionando CTRL+ALT+F7. De este modo evitamos perder configuraciones que no hayan sido guardadas aún por gconf, evolution o algún otro proceso.


7.Copiamos todos los datos actuales de nuestro usuario a la nueva partición y nos aseguramos de que el propietario sea el propio usuario:
sudo cp -avx /home/usuario/* /tmp/crypthome
sudo chown -R usuario:usuario /tmp/crypthome
sudo umount /tmp/crypthome
sudo cryptsetup luksClose crypthome


8. Llegados a este punto ya lo tenemos todo preparado para hacer el cambio. Podríamos mover nuestro /home para eliminarlo más tarde (cuando hayamos comprobado que todo funciona correctamente):
cd
cd ..
sudo mv usuario usuario.old
sudo mkdir usuario
sudo chown usuario:usuario usuario
9. Finalmente, reiniciaremos nuestro ordenador.
sudo shutdown -r now

[editar] Resultado del proceso

A partir de ahora todos los datos que guardemos en nuestra partición de usuario estarán protegidos contra robos y accesos físicos directos. La partición se montará automáticamente al hacer login desde la pantalla de entrada al entorno gráfico, por consola o incluso por ssh.

De todas formas debemos ser conscientes de la importancia de tener una contraseña fuerte (con números, símbolos, letras mayúsculas y minúsculas todo intercalado), dado que la carpeta raíz no está encriptada. Si alguien robase nuestro disco duro aún tendría acceso a /etc/shadow, lugar donde se almacenan las contraseñas (de forma encriptada), que podrían ser sometidas a un ataque de fuerza bruta con programas del estilo de john the ripper.

Una opción sería encriptar toda la partición raíz /, al igual que la memoria swap, de forma que obtendríamos un máximo nivel de seguridad. La única pega de esto es que se nos pedirá la contraseña justo después de cargarse el Grub, algo que en un sistema multiusuario puede llegar a ser incómodo.



[editar] Ver también

[editar] Fuentes


[editar] Enlaces externos

Herramientas personales