Vistas
(Agregando referencia a artículos similares) |
(correcciones) |
||
| Línea 1: | Línea 1: | ||
| − | A veces no es suficiente con proteger nuestro ordenador mediante configuraciones adecuadas, buenas contraseñas, firewalls, etc. sino que debemos ir un paso más allá | + | A veces no es suficiente con proteger nuestro ordenador mediante configuraciones adecuadas, buenas contraseñas, firewalls, etc. sino que debemos ir un paso más allá y encriptar la información en nuestro disco duro. De esta forma, si alguien se hiciese con él y lo conectase a otro ordenador sería incapaz de extraer ningún tipo de información. Esto es especialmente interesante en el caso de los ordenadores portátiles, que pueden ser fácilmente sustraídos. |
Por otro lado, es necesario poder combinar esa seguridad con comodidad para el usuario, el cual no quiere tener que recordar que debe cifrar unos datos determinados siguiendo una serie de pasos (por ejemplo utilizando [http://www.gnupg.org/ gnupg]). De ahí que la solución más acertada sea la creación de una partición encriptada, la cual se montará automáticamente al hacer login el usuario (la contraseña de la partición y la del usuario serán la misma). | Por otro lado, es necesario poder combinar esa seguridad con comodidad para el usuario, el cual no quiere tener que recordar que debe cifrar unos datos determinados siguiendo una serie de pasos (por ejemplo utilizando [http://www.gnupg.org/ gnupg]). De ahí que la solución más acertada sea la creación de una partición encriptada, la cual se montará automáticamente al hacer login el usuario (la contraseña de la partición y la del usuario serán la misma). | ||
| Línea 9: | Línea 9: | ||
== Proceso a seguir paso a paso == | == Proceso a seguir paso a paso == | ||
| − | Lo primero que necesitamos es una partición en nuestro disco duro que esté disponible para guardar allí el directorio de nuestro usuario (ejemplo: <code>/home/usuario</code>”). Para ello podríamos utilizar [[ | + | Lo primero que necesitamos es una partición en nuestro disco duro que esté disponible para guardar allí el directorio de nuestro usuario (ejemplo: <code>/home/usuario</code>”). Para ello podríamos utilizar [[GParted]] desde el LiveCD de Ubuntu de forma que podamos redimensionar particiones existentes, crear nuevas particiones o lo que precisemos. |
Una vez tengamos una partición disponible seguiremos los siguientes pasos: | Una vez tengamos una partición disponible seguiremos los siguientes pasos: | ||
| Línea 18: | Línea 18: | ||
| − | :2. Cargamos los | + | :2. Cargamos los módulos criptográficos: |
sudo modprobe dm_crypt | sudo modprobe dm_crypt | ||
| Línea 48: | Línea 48: | ||
| − | {{Importante|Las siguientes dos maniobras a realizar es mejor hacerlos desde una sesión de terminal “pura” o <code>tty</code> (tty1 a tty6), a las podemos acceder mediante la combinación de teclas <code>CTRL+ALT+F1...CTRL+ALT+F6</code>. podemos volver a <code>tty7</code> (sesión de terminal con el entorno gráfico) presionando <code>CTRL+ALT+F7</code>. De este modo evitamos perder configuraciones que no hayan sido guardadas | + | {{Importante|Las siguientes dos maniobras a realizar es mejor hacerlos desde una sesión de terminal “pura” o <code>tty</code> (tty1 a tty6), a las que podemos acceder mediante la combinación de teclas <code>CTRL+ALT+F1...CTRL+ALT+F6</code>. podemos volver a <code>tty7</code> (sesión de terminal con el entorno gráfico) presionando <code>CTRL+ALT+F7</code>. De este modo evitamos perder configuraciones que no hayan sido guardadas aún por '''gconf''', '''evolution''' o algún otro proceso.}} |
| Línea 78: | Línea 78: | ||
De todas formas debemos ser conscientes de la importancia de tener una [[Contrase%C3%B1as_%22fuertes%22|contraseña fuerte]] (con números, símbolos, letras mayúsculas y minúsculas todo intercalado), dado que la carpeta raíz no está encriptada. Si alguien robase nuestro disco duro aún tendría acceso a <code>/etc/shadow</code>, lugar donde se almacenan las contraseñas (de forma encriptada), que podrían ser sometidas a un ataque de fuerza bruta con programas del estilo de [http://es.wikipedia.org/wiki/John_the_Ripper john the ripper]. | De todas formas debemos ser conscientes de la importancia de tener una [[Contrase%C3%B1as_%22fuertes%22|contraseña fuerte]] (con números, símbolos, letras mayúsculas y minúsculas todo intercalado), dado que la carpeta raíz no está encriptada. Si alguien robase nuestro disco duro aún tendría acceso a <code>/etc/shadow</code>, lugar donde se almacenan las contraseñas (de forma encriptada), que podrían ser sometidas a un ataque de fuerza bruta con programas del estilo de [http://es.wikipedia.org/wiki/John_the_Ripper john the ripper]. | ||
| − | Una opción sería encriptar toda la partición | + | Una opción sería encriptar toda la partición raíz <code>/</code>, al igual que la memoria swap, de forma que obtendríamos un máximo nivel de seguridad. La única pega de esto es que se nos pedirá la contraseña justo después de cargarse el [[Grub]], algo que en un sistema multiusuario puede llegar a ser incómodo. |
Última revisión de 20:31 18 abr 2012
A veces no es suficiente con proteger nuestro ordenador mediante configuraciones adecuadas, buenas contraseñas, firewalls, etc. sino que debemos ir un paso más allá y encriptar la información en nuestro disco duro. De esta forma, si alguien se hiciese con él y lo conectase a otro ordenador sería incapaz de extraer ningún tipo de información. Esto es especialmente interesante en el caso de los ordenadores portátiles, que pueden ser fácilmente sustraídos.
Por otro lado, es necesario poder combinar esa seguridad con comodidad para el usuario, el cual no quiere tener que recordar que debe cifrar unos datos determinados siguiendo una serie de pasos (por ejemplo utilizando gnupg). De ahí que la solución más acertada sea la creación de una partición encriptada, la cual se montará automáticamente al hacer login el usuario (la contraseña de la partición y la del usuario serán la misma).
Para este objetivo utilizaremos Luks, aplicación que es empleada para encriptación de memorias USB y otros dispositivos.
Contenido |
[editar] Proceso a seguir paso a paso
Lo primero que necesitamos es una partición en nuestro disco duro que esté disponible para guardar allí el directorio de nuestro usuario (ejemplo: /home/usuario”). Para ello podríamos utilizar GParted desde el LiveCD de Ubuntu de forma que podamos redimensionar particiones existentes, crear nuevas particiones o lo que precisemos.
Una vez tengamos una partición disponible seguiremos los siguientes pasos:
- 1. Instalamos las aplicaciones necesarias:
sudo apt-get install cryptsetup libpam-mount initramfs-tools
- 2. Cargamos los módulos criptográficos:
sudo modprobe dm_crypt sudo modprobe sha256 sudo modprobe aes_i586
- 3. Formateamos la partición (para este ejemplo usaremos
/dev/hda6) y le asignamos un password (el cual debe ser igual al del usuario):
sudo luksformat -t ext3 /dev/hda6
|
Si nos da algún error extraño puede ser debido a que cuando nos pregunta si estamos seguros, debemos escribir YES en mayúsculas.
|
- 4. Montamos la partición en
/tmp/crypthome:
sudo cryptsetup luksOpen /dev/hda6 crypthome mkdir /tmp/crypthome && sudo mount /dev/mapper/crypthome /tmp/crypthome
- 5. Editamos
/etc/security/pam_mount.confy añadimos al final del archivo (indicando nuestro usuario y partición real):
volume usuario crypt - /dev/hda6 /home/usuario exec,fsck,nodev,nosuid - -
- 6. Editamos
/etc/pam.d/login,/etc/pam.d/gdmy/etc/pam.d/ssh(si existe) para añadir al final:
@include common-pammount
 |
Las siguientes dos maniobras a realizar es mejor hacerlos desde una sesión de terminal “pura” o tty (tty1 a tty6), a las que podemos acceder mediante la combinación de teclas CTRL+ALT+F1...CTRL+ALT+F6. podemos volver a tty7 (sesión de terminal con el entorno gráfico) presionando CTRL+ALT+F7. De este modo evitamos perder configuraciones que no hayan sido guardadas aún por gconf, evolution o algún otro proceso.
|
- 7.Copiamos todos los datos actuales de nuestro usuario a la nueva partición y nos aseguramos de que el propietario sea el propio usuario:
sudo cp -avx /home/usuario/* /tmp/crypthome sudo chown -R usuario:usuario /tmp/crypthome sudo umount /tmp/crypthome sudo cryptsetup luksClose crypthome
- 8. Llegados a este punto ya lo tenemos todo preparado para hacer el cambio. Podríamos mover nuestro
/homepara eliminarlo más tarde (cuando hayamos comprobado que todo funciona correctamente):
cd cd .. sudo mv usuario usuario.old sudo mkdir usuario sudo chown usuario:usuario usuario
- 9. Finalmente, reiniciaremos nuestro ordenador.
sudo shutdown -r now
[editar] Resultado del proceso
A partir de ahora todos los datos que guardemos en nuestra partición de usuario estarán protegidos contra robos y accesos físicos directos. La partición se montará automáticamente al hacer login desde la pantalla de entrada al entorno gráfico, por consola o incluso por ssh.
De todas formas debemos ser conscientes de la importancia de tener una contraseña fuerte (con números, símbolos, letras mayúsculas y minúsculas todo intercalado), dado que la carpeta raíz no está encriptada. Si alguien robase nuestro disco duro aún tendría acceso a /etc/shadow, lugar donde se almacenan las contraseñas (de forma encriptada), que podrían ser sometidas a un ataque de fuerza bruta con programas del estilo de john the ripper.
Una opción sería encriptar toda la partición raíz /, al igual que la memoria swap, de forma que obtendríamos un máximo nivel de seguridad. La única pega de esto es que se nos pedirá la contraseña justo después de cargarse el Grub, algo que en un sistema multiusuario puede llegar a ser incómodo.
[editar] Ver también
- Encriptar archivos y carpetas
- Como encriptar información dentro de una imagen
- Encriptar una carpeta con EncFS
[editar] Fuentes
[editar] Enlaces externos
- Encrypted Root and Swap with LUKS on Ubuntu 6.06 (en inglés)