Partición cifrada con dm-crypt en Debian

Debianseguridad

Esta receta explica como utilizar dm-crypt para cifrar una partición completa y montarla/desmontarla cómodamente.

Me voy a basar en la receta Pendrive cifrado con dm-crypt en Debian dado el evidente parecido. Para ver los pasos en detalle, tenla a mano.

[EL AUTOR ELUDE TODA RESPONSABILIDAD SOBRE LAS CONSECUENCIAS (MALAS CONSECUENCIAS) QUE ESTA RECETA PUEDE PROVOCAR (Y QUE SEGURO PROVOCARÁ) EN EL CONTENIDO DE TU DISCO DURO.] Avisado estás, luego no digas.

Crear y probar la partición cifrada

Esto sólo hay que hacerlo cuando se crea la partición, una vez en la vida. Asumiendo que la partición que vas a cifrar es /dev/hda4.

# cryptsetup luksFormat /dev/hda4
# cryptsetup luksOpen /dev/hda4 cifrado
# mkfs.ext3 /dev/mapper/cifrado
# mount /dev/mapper/cifrado /mnt/cifrado

Y para desmontar:

# umount /dev/mapper/cifrado
# cryptsetup luksClose /dev/mapper/cifrado

Montaje automático

Escribe esto en el fichero /etc/crypttab

cifrado /dev/hda4 none luks

Y esto en el fichero /etc/fstab:

/dev/mapper/cifrado  /mnt/cifrado  ext3  rw,user  0 0

Con esto, durante el proceso de arranque se te pedirá la clave para abrir el contenedor LUKS. Así que con este invento puedes cifrar la partición de “home”, el swap y hasta el raíz, de modo que si tu portátil cae en manos de El Enemigo (a.k.a. Sauron) tendrá que torturarte como a Gollum para que cantes la clave y poder ver tus ficheros. Sí, ya lo sé ¿qué pasa?

Si no vas usar siempre esa partición, es bastante latazo tener que poner la password cada vez que reinicias. Si quieres “abrirlo” bajo demanda añade noauto a la línea de antes en el /etc/crypttab para que quede así:

cifrado /dev/hda4 none luks,noauto

Y cuando quieras abrir el contenedor en cuestión, escribe:

$ sudo cryptdisks_start cifrado
Starting crypto disk…space (starting).
Enter passphrase to unlock the disk /dev/hda4 (cifrado): 
key slot 0 unlocked.
Command successful.
cifrado (started)…done.

Después lo puedes montar del modo habitual, incluyendo las utilidades de GNOME o KDE para estos menesteres.

Para cerrar el container:

$ sudo cryptdisks_stop cifrado
Stopping crypto disk…cifrado (stopping)…done.

cryptmount

[ToDo]

Fichero /etc/cryptmount/cmtab:

cifrado {  
  dev=/dev/hda4
  dir=/mnt/cifrado
  keyformat=luks
  keyfile=/dev/hda4
  fstype=ext3
}

Comentarios

En previsión de comentarios similares a los que hubo en la receta sobre el pendrive, he de decir que estoy convencido de que hay maneras mejores, más baratas y más bonitas de hacer lo mismo con Windows, Macos o cualquier otra movida privativa. En cualquier caso, como muy acertadamente diría Olivas, “me importa tres ***ones”. Por favor, ve a dar por saco a otro sitio, gracias. Si no sabes de qué va esto, haz como si no hubieras leído este párrafo. Smiling

Referencias

Comentarios

Opciones de visualización de comentarios

Seleccione la forma que prefiera para mostrar los comentarios y haga clic en «Guardar las opciones» para activar los cambios.

Yo uso un volumen cifrado

Yo uso un volumen cifrado con TrueCrypt. ¿Es más rápido el acceso a una partición cifrada?
¿Hay algún otro motivo por el que usar una partición cifrada en vez de un volumen sobre un archivo?

Estuve probando las particiones cifradas en un Ubuntu Server, que tiene la opción en la instalación, y no noté que fuera especialmente rápido, pero si un coñazo que no pudiera arrancar sin poner la contraseña (si, lo cifré todo), y al final lo quité porque no podía hacer un reboot remoto sin que se quedara tostado.

Además con Truecrypt puedes poner una contraseña adicional que monta una unidad "falsa", en caso de que Sauron te torture le puedes dar la que no es.

Muy chulo el captcha, menos mal que se inglés. ;D