Criptografar sua atual partição root usando dm-crypt com luks
Atualmente há vários métodos de criptografia disponíveis dos quais, por exemplo, loop-aes. Minha escolha por cryptsetup-luks com dm-crypt se deu por ser considerado o método adequado para grande volume de dados, por não ter uma perda muito grande na performance e por ser considerado o mais seguro.
Parte 5: Últimos passos
Edite o fstab da sua partição root encriptada para usar /dev/mapper/root.
# vi /mnt/crypt/etc/fstab
E finalmente edite o bootloader (grub):
root é o dispositivo ordinário da sua partição encriptada e ikmap é o mapa do teclado.
Reinicie seu sistema e reze para que o prompt com a senha apareça...
Se deu tudo certo, é hora de cuidar das outras partições.
É preciso criar o mapper das demais partições tal qual fizemos na partição root substituindo apenas o dispositivo da partição que deseja criptografar.
# cryptsetup -y --cipher serpent-cbc-essiv:sha256 --key-size 256 luksFormat /dev/sda4
Para garantir mais segurança você pode usar uma senha diferente que a da partição root.
Edite o arquivo /etc/conf.d/cryptfs. Ele é bem simples e auto-explicativo. Ele cuida da decriptação e encriptação das partições na inicialização, exceto a partição root, que é cuidada pela initramfs.
Depois insira os novos dispositivos mapper na sua fstab tal qual a partição root.
# tar -xvjf syslinux-<versão>.tar.bz2
Crie um diretório para confeccionar seu cdrom:
# mkdir crypt-cd
# cp /boot/vmlinuz-<blablabla> crypt-cd
# cp /caminho/para/syslinux-<versao>/isolinux.bin crypt-cd/vmlinuz
# echo "DEFAULT /vmlinuz ro root=/dev/sda3" > crypt-cd/isolinux.cfg
Agora crie a imagem e queime seu cdrom:
# mkisofs -o crypt-cd.iso -b isolinux.bin -c boot.cat \
-no-emul-boot -boot-load-size 4 -boot-info-table \
-J -hide-rr-moved -R crypt-cd/
# cdrecord cryptcd.iso
No seu dia-a-dia você deve sempre bootar pelo cdrom. A partição boot é apenas para casos de emergência.
# vi /mnt/crypt/etc/fstab
/dev/mapper/root / ext3 noatime 0 1
E finalmente edite o bootloader (grub):
root é o dispositivo ordinário da sua partição encriptada e ikmap é o mapa do teclado.
Reinicie seu sistema e reze para que o prompt com a senha apareça...
Se deu tudo certo, é hora de cuidar das outras partições.
Encriptando as demais partições
Você pode efetuar o mesmo procedimento de backup para a partição home ou outras, através do comando cp -avx. Claro, a mídia de backup deve ser grande o suficiente para que caibam as partições que deseja.É preciso criar o mapper das demais partições tal qual fizemos na partição root substituindo apenas o dispositivo da partição que deseja criptografar.
# cryptsetup -y --cipher serpent-cbc-essiv:sha256 --key-size 256 luksFormat /dev/sda4
Para garantir mais segurança você pode usar uma senha diferente que a da partição root.
Edite o arquivo /etc/conf.d/cryptfs. Ele é bem simples e auto-explicativo. Ele cuida da decriptação e encriptação das partições na inicialização, exceto a partição root, que é cuidada pela initramfs.
swap=swap
source='/dev/sda2'
target=home
source='/dev/sda6'
source='/dev/sda2'
target=home
source='/dev/sda6'
Depois insira os novos dispositivos mapper na sua fstab tal qual a partição root.
/dev/mapper/root / ext3 noatime 0 1
/dev/mapper/swap none swap sw 0 0
/dev/mapper/home /home ext3 noatime 0 2
/dev/mapper/swap none swap sw 0 0
/dev/mapper/home /home ext3 noatime 0 2
Criando um cdrom bootável
Baixe a última versão do syslinux de:# tar -xvjf syslinux-<versão>.tar.bz2
Crie um diretório para confeccionar seu cdrom:
# mkdir crypt-cd
# cp /boot/vmlinuz-<blablabla> crypt-cd
# cp /caminho/para/syslinux-<versao>/isolinux.bin crypt-cd/vmlinuz
# echo "DEFAULT /vmlinuz ro root=/dev/sda3" > crypt-cd/isolinux.cfg
Agora crie a imagem e queime seu cdrom:
# mkisofs -o crypt-cd.iso -b isolinux.bin -c boot.cat \
-no-emul-boot -boot-load-size 4 -boot-info-table \
-J -hide-rr-moved -R crypt-cd/
# cdrecord cryptcd.iso
No seu dia-a-dia você deve sempre bootar pelo cdrom. A partição boot é apenas para casos de emergência.