Criando um repositório criptografado de dados com Cryptsetup (dm-crypt) sem (re)particionamento do HD

Aprenda a criar um repositório criptografado para arquivos e diretórios sem a necessidade de (re)particionar o disco rígido.

[ Hits: 37.230 ]

Por: Stefano Fontes em 17/08/2010


Introdução



Muitas vezes necessitamos de um local seguro em nosso disco rígido para armazenar informações confidenciais. Uma excelente opção para isto é o pacote cryptsetup, que permite criar um volume criptografado, baseado em um dispositivo de blocos e acessível somente através de uma senha.

Ocorre que muitas vezes não possuímos uma partição livre no HD para fazer isto, e o processo de redimensionar uma partição para tal finalidade não é algo trivial e isento de riscos.

Uma boa solução para isto é criar um arquivo vazio em um sistema de arquivos já existente e utilizá-lo como um dispositivo de blocos, o que pode ser feito através do programa losetup

O losetup associa um arquivo comum a um dispositivo de "loop", passando então a ser visto pelo sistema operacional como um dispositivo de blocos, podendo ser criptografado, formatado, montado e utilizado para armazenar seus dados confidenciais.

Você poderá então copiar para ele seus arquivos e diretórios contendo informações sigilosas e, após o uso, desmontá-lo e "fechá-lo", tornando-o inacessível a terceiros que não possuem a senha. Essa abordagem é especialmente interessante para uso em dispositivos móveis tais como notebooks e mídias removíveis, que mesmo em caso de roubo estarão protegidas contra a violação das informações confidenciais.

Mas lembre-se: nenhum dispositivo de segurança é perfeito, portanto lembre-se de manter sempre um backup atualizado de seus dados mais importantes em local seguro e acessível por você.

Gostaria antes de mais nada de agradecer ao Carlos Morimoto e ao Hugo Cisneiros pelas informações em seus respectivos "sites", que forneceram subsídios técnicos para este artigo.

Atenção: As informações deste artigo não foram testadas em ambiente "de produção", e somente em caráter experimental; não nos responsabilizamos por quaisquer danos ou perdas de qualquer natureza que possam advir da utilização destas informações, bem como de sua implementação prática, a qualquer título; os direitos sobre as marcas e programas porventura aqui mencionados pertencem a seus detentores legais, bem como quaisquer responsabilidades legais que porventura houverem em relação à sua utilização.

Sugerimos fortemente a implementação dos procedimentos aqui descritos em caráter experimental, ficando sua posterior utilização para outras finalidades a exclusivo critério e responsabilidade dos leitores ou de quem quer que venha a utilizar estas informações.

    Próxima página

Páginas do artigo
   1. Introdução
   2. Provendo os suportes no kernel
   3. Provendo outros pré-requisitos
   4. Criando o volume criptografado
   5. Formatando o volume criptografado
   6. Finalizando
Outros artigos deste autor

Provendo dados em um servidor PostgreSQL através do Apache e PHP

Configurando disquete e pendrive para boot sem suporte na BIOS

Leitura recomendada

Resenha do livro: Praticando a Segurança da Informação

Metasploit Framework

Alta disponibilidade com CARP

Principais formas de anonimato ao navegar na Internet

Verifique a sua fortaleza com lsat - software de auditoria em servidores e desktops

  
Comentários
[1] Comentário enviado por Arthur Andrade em 17/08/2010 - 15:15h

Cara, apesar de te dar os meus parabéns pelo texto.
Devo adimitir que não compreendi nada, e anda longe de ser
devido á tua didática, que por sinal é muito boa.

Mas devido a minha falta de conhecimento. Eu sonho com
o dia em que eu leia um texto de tal complexidade e o
compreenda.

Parabéns pelo texto! ;]

[2] Comentário enviado por rogeriojlle em 18/08/2010 - 07:24h

@Arthur

uso uma forma diferente de criptografar meus dados, me pareceu mais simples, mas não sei te dizer se é equivalente em segurança à do artigo acima, eu ao menos estou satisfeito
meu sistema é o OpenSuse 11.3

instale o pacote "encfs" (não é necessário, mas se você reiniciar a máquina logo depois disso, não precisa passar um parâmetro extra aos comandos a seguir, vou assumir que a máquina foi reiniciada ...)

crie uma pasta onde ficarão fisicamente os dados criptografados ex:

mkdir /home.... (tá use o nautilus mesmo, é mais fácil)

crie/use outra pasta onde os dados vão aparecer para uso

mkdir ...(já sabe)

o comando é equivalente ao "mount", só troca por "encfs" (aí faz no terminal mesmo, não tem gui pro OpenSuse, só pra Ubuntu até onde sei, é o Gencfs)

$ encfs /pasta/onde/ficará/o/conteúdo criptografado /pasta/de/onde/eles/devem/ser/acessados

da primeira vez tem um wizard pra criar, sugestão: use a opção "P"
para desmontar é igual a qualquer outro FUSE

$ fusermount -u /pasta/de/onde/eles/devem/ser/acessados

é rapidinho e precisa ser root só pra instalar as coisas
outra sugestão: crie a pasta onde ficam os dados, em sua pasta de disco virtual (ex: Dropbox), já ajuda no backup

[3] Comentário enviado por removido em 18/08/2010 - 14:27h

Tenho uns arquivos que são super secretos, então uso o encfs dentro de uma partição criptografada com o cryptsetup.Segurança duplicada.

[4] Comentário enviado por nicolo em 21/08/2010 - 16:55h

Se quiserem fazer isso tudo mais fácil ainda é só instalar o truecrypt , é tudo gráfico.

[5] Comentário enviado por rogeriojlle em 21/08/2010 - 18:58h

@nicolo

o truecrypt tem alguns problemas quando executado por usuário comum, e se voce dar "sudo" mesmo que só pro truecrypt, ele pode usar todo o sistema como root, se não fizer uma série de outras modificações, agora se for o unico usuario do computador, concordo com voce o truecrypt é bastante fácil de usar


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts