Criptografia de disco
Neste artigo mostrarei como fazer criptografia de disco, um ponto muito importante na segurança da informação. Espero que gostem!
[ Hits: 78.540 ]
Por: Henrique Vieira Leanor em 02/02/2010
Ativando o serviço e dando os últimos retoques
Após configurarmos o nosso dispositivo, precisamos ativá-lo para ser usado:
# cryptsetup luksOpen /dev/sda10 crypt1
Enter LUKS passphrase:
Com a opção luksOpen, o nosso dispositivo /dev/sda10 foi mapeado para /dev/mapper/crypt1, e a partir de agora, não pode mais ser acessado diretamente por /dev/sda10, somente por /dev/mapper/crypt1.
# ls -l /dev/mapper/crypt1
Para acessarmos o dispositivo, temos que definir um sistema de arquivos para ele:
# mkfs.ext3 /dev/mapper/crypt1
Agora o nosso dispositivo está pronto para ser usado. Vamos definir um diretório onde ele será montado:
# mdkir /documentos
# mount /dev/mapper/crypt1 /documentos
# ls -l /documentos
O que devemos fazer para a partição ser montada na inicialização do sistema?
Dessa maneira a nossa partição não vai ser montada na inicialização do sistema. E quando estamos falando partições criptografadas, não basta apenas acrescentar a partição ao /etc/fstab. Ele precisa ser configurado em mais um arquivo, que é o /etc/crypttab.
Vamos configurar o dispositivo no arquivo /etc/crypttab:
# vim /etc/crypttab
Notem que a key_file está definida como none. Existe a possibilidade de criar um arquivo ou um dispositivo removível com a chave para esse dispositivo ser iniciado. No nosso caso, a senha será solicitada na inicialização do sistema.
Agora seguindo os moldes padrão de sistemas Linux, temos que colocar esse dispositivo no /etc/fstab:
# vim /etc/fstab
Podemos fazer um teste manual antes de reinicializar o sistema. Para isso precisamos desativar o dispositivo criptografado e iniciar o script /etc/init.d/cryptdisks:
# cryptsetup luksClose crypt1
# /etc/init.d/cryptdisks start
Enter passphrase to unlock the disk /dev/sda10 (crypt1):
# mount -a
# mount
Agora podemos fazer o teste reinicializando o sistema:
# reboot
Logo na inicialização do sistema será pedido para digitar a senha do ponto de montagem criptografado.
Postado por Henrique Inside.
Espero que gostem!
# cryptsetup luksOpen /dev/sda10 crypt1
Enter LUKS passphrase:
Com a opção luksOpen, o nosso dispositivo /dev/sda10 foi mapeado para /dev/mapper/crypt1, e a partir de agora, não pode mais ser acessado diretamente por /dev/sda10, somente por /dev/mapper/crypt1.
# ls -l /dev/mapper/crypt1
Para acessarmos o dispositivo, temos que definir um sistema de arquivos para ele:
# mkfs.ext3 /dev/mapper/crypt1
Agora o nosso dispositivo está pronto para ser usado. Vamos definir um diretório onde ele será montado:
# mdkir /documentos
# mount /dev/mapper/crypt1 /documentos
# ls -l /documentos
O que devemos fazer para a partição ser montada na inicialização do sistema?
Dessa maneira a nossa partição não vai ser montada na inicialização do sistema. E quando estamos falando partições criptografadas, não basta apenas acrescentar a partição ao /etc/fstab. Ele precisa ser configurado em mais um arquivo, que é o /etc/crypttab.
Vamos configurar o dispositivo no arquivo /etc/crypttab:
# vim /etc/crypttab
# <target name> <source device> <key file> <options>
crypt1 /dev/sda10 none luks
crypt1 /dev/sda10 none luks
Notem que a key_file está definida como none. Existe a possibilidade de criar um arquivo ou um dispositivo removível com a chave para esse dispositivo ser iniciado. No nosso caso, a senha será solicitada na inicialização do sistema.
Agora seguindo os moldes padrão de sistemas Linux, temos que colocar esse dispositivo no /etc/fstab:
# vim /etc/fstab
/dev/mapper/crypt1 /documentos ext3 defaults 0 2
Podemos fazer um teste manual antes de reinicializar o sistema. Para isso precisamos desativar o dispositivo criptografado e iniciar o script /etc/init.d/cryptdisks:
# cryptsetup luksClose crypt1
# /etc/init.d/cryptdisks start
Enter passphrase to unlock the disk /dev/sda10 (crypt1):
# mount -a
# mount
Agora podemos fazer o teste reinicializando o sistema:
# reboot
Logo na inicialização do sistema será pedido para digitar a senha do ponto de montagem criptografado.
Postado por Henrique Inside.
Espero que gostem!
Páginas do artigo
1. Porque criptografar o disco2. O que a norma da segurança diz sobre criptografia de disco
3. Ativando o serviço e dando os últimos retoques
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Implementando uma política de segurança eficaz
Análise Passiva: Analisando seu tráfego de maneira segura
5 comandos que ninguém nunca deve executar no Linux
Armitage: a nova interface gráfica do Metasploit
Protegendo seu Linux de ataques de brute force via ssh
Comentários
[1] Comentário enviado por removido em 02/02/2010 - 17:00h
No artigo você cita que pode ser utilizado um dispositivo para acesso, pode ser um pendrive? preciso formatar ele de forma especial? sabe como fazer isso para não precisar ficar digitando senha?
No artigo você cita que pode ser utilizado um dispositivo para acesso, pode ser um pendrive? preciso formatar ele de forma especial? sabe como fazer isso para não precisar ficar digitando senha?
[2] Comentário enviado por luizvieira em 02/02/2010 - 21:33h
Acrescentando uma informação à dica do amigo: o TrueCrypt é uma boa opção de ferramenta open source para criptografia de disco, partições e arquivos.
Veja essa dica: http://www.vivaolinux.com.br/dica/TrueCrypt-Open-Source-para-criptografia/
[ ]'s
Acrescentando uma informação à dica do amigo: o TrueCrypt é uma boa opção de ferramenta open source para criptografia de disco, partições e arquivos.
Veja essa dica: http://www.vivaolinux.com.br/dica/TrueCrypt-Open-Source-para-criptografia/
[ ]'s
[3] Comentário enviado por felipeferreira em 02/02/2010 - 23:07h
legal, mais se eu pega este hd, e colocar em outra maquina com debian, como faço para montar a partiçao, sendo que eu nao sei nenhuma informaçao deste hd, so sei o passhare.
legal, mais se eu pega este hd, e colocar em outra maquina com debian, como faço para montar a partiçao, sendo que eu nao sei nenhuma informaçao deste hd, so sei o passhare.
[4] Comentário enviado por henrique.inside em 03/02/2010 - 02:31h
Daniel na Verdade a Senha, é uma forma de Segurança...
Sobre o Trocar o HD de máquina. não sei o que pode acontecer, porque pode dar algumas incompatibildades...
rsrs Mas qualquer coisa estarei postando mais aqui !
ate maiss !
Daniel na Verdade a Senha, é uma forma de Segurança...
Sobre o Trocar o HD de máquina. não sei o que pode acontecer, porque pode dar algumas incompatibildades...
rsrs Mas qualquer coisa estarei postando mais aqui !
ate maiss !
[5] Comentário enviado por nicolo em 19/02/2010 - 13:00h
Eu uso o cryptsetup. POde trocar o HD com a partição criptografada tanto de linux como de máquina e continua funcionando.
Já há tempo em funcioamento sem problemas
O Truecrypt com partição eu nunca usei. Com arquivo conteiner deu variação de um linux para outro. Com as versões mais novas do truecrypt e do linux parece que melhorou. O sistema de arquivo do conteiner parece não ser reconhecido sempre e parece ter problema de tamanho acima de 2 Gb, mas não sei dizer se isso é problema da máquina ou da versão do linux, ou do TrueCrypt mais antigo.
Estranhamente o conteiner velho voltou a funcionar com tudo novo: Máquina nova, linux ultima versão, e truecrypt última versão.
2-Ainda não testei em pen drive, teoricamente pode funcionar.
Artigo nota 10.
Eu uso o cryptsetup. POde trocar o HD com a partição criptografada tanto de linux como de máquina e continua funcionando.
Já há tempo em funcioamento sem problemas
O Truecrypt com partição eu nunca usei. Com arquivo conteiner deu variação de um linux para outro. Com as versões mais novas do truecrypt e do linux parece que melhorou. O sistema de arquivo do conteiner parece não ser reconhecido sempre e parece ter problema de tamanho acima de 2 Gb, mas não sei dizer se isso é problema da máquina ou da versão do linux, ou do TrueCrypt mais antigo.
Estranhamente o conteiner velho voltou a funcionar com tudo novo: Máquina nova, linux ultima versão, e truecrypt última versão.
2-Ainda não testei em pen drive, teoricamente pode funcionar.
Artigo nota 10.
[6] Comentário enviado por marceloviana em 16/04/2016 - 09:30h
Henrique, obrigado pelo artigo!
- Como faço para arrancar o sistema sem a necessidade de senha para o ponto de montagem?
- Como faço para descriptografar a partição criptografada (em linha de comando) para visualizar os arquivos e fazer manutenção?
Obrigado.
Henrique, obrigado pelo artigo!
- Como faço para arrancar o sistema sem a necessidade de senha para o ponto de montagem?
- Como faço para descriptografar a partição criptografada (em linha de comando) para visualizar os arquivos e fazer manutenção?
Obrigado.
[7] Comentário enviado por ottolinux em 14/12/2016 - 16:11h
Muito bom seu artigo Henrique. Parabéns,
Como só hoje li ele , fiz o mesmo processo usando uma outra receita de outro artigo em inglês, link : https://www.cyberciti.biz/hardware/howto-linux-hard-disk-encryption-with-luks-cryptsetup-command/ .
No meu caso eu fiz um testes com o Pendrive de 4GB, funcionou perfeito. Ficou bem fácil e prático. Eu estou usando o Linux Elementary OS , e quando espeto o pendrive no lap ele já mostra no gerenciador de arquivos e avisa que é encriptado. Quando se manda montar pelo gerenciador ele logo pede a passphrase ( senha gerada no inicio do processo).
Sobre o que o pessoal perguntou de montar sem senha, bom ai perde toda a função de segurança. POis é a senha de segurança que impede de outros monta-lo e visualizar os dados. Apenas cuidado com a senha , pois se perder a senha ou esquece-la babaus !
Bom trabalho ai,
Att
Muito bom seu artigo Henrique. Parabéns,
Como só hoje li ele , fiz o mesmo processo usando uma outra receita de outro artigo em inglês, link : https://www.cyberciti.biz/hardware/howto-linux-hard-disk-encryption-with-luks-cryptsetup-command/ .
No meu caso eu fiz um testes com o Pendrive de 4GB, funcionou perfeito. Ficou bem fácil e prático. Eu estou usando o Linux Elementary OS , e quando espeto o pendrive no lap ele já mostra no gerenciador de arquivos e avisa que é encriptado. Quando se manda montar pelo gerenciador ele logo pede a passphrase ( senha gerada no inicio do processo).
Sobre o que o pessoal perguntou de montar sem senha, bom ai perde toda a função de segurança. POis é a senha de segurança que impede de outros monta-lo e visualizar os dados. Apenas cuidado com a senha , pois se perder a senha ou esquece-la babaus !
Bom trabalho ai,
Att
[8] Comentário enviado por ric_rock em 30/03/2017 - 17:19h
eu fiz uma instalação do debian ja com uma partição criptografada, so que quando erro a senha na hora do boot mesmo assim ele da acesso a pasta, e consigo salvar as coisas entrando com a senha root, mas quando entro com a senha da criptografia as coisas q salvei nao aparecem, e vice versa, alguem sabe me explicar se isso é assim mesmo? o certo nao seria nao ter acesso nenhum a pasta da partição? se nao for digitado a senha?
obrigado.
eu fiz uma instalação do debian ja com uma partição criptografada, so que quando erro a senha na hora do boot mesmo assim ele da acesso a pasta, e consigo salvar as coisas entrando com a senha root, mas quando entro com a senha da criptografia as coisas q salvei nao aparecem, e vice versa, alguem sabe me explicar se isso é assim mesmo? o certo nao seria nao ter acesso nenhum a pasta da partição? se nao for digitado a senha?
obrigado.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Como gerar qualquer emoji ou símbolo unicode a partir do seu teclado
Instalar e Configurar o Slackware Linux em 2025
Como configurar os repositórios do apt no Debian 12 em 2025
Passkeys: A Evolução da Autenticação Digital
Instalação de distro Linux em computadores, netbooks, etc, em rede com o Clonezilla
Dicas
Configurando o Conky para iniciar corretamente no sistema
3 configurações básicas que podem melhorar muito a sua edição pelo editor nano
Como colorir os logs do terminal com ccze
Instalação Microsoft Edge no Linux Mint 22
Como configurar posicionamento e movimento de janelas no Lubuntu (Openbox) com atalhos de teclado
Tópicos
Linux Mint não conecta Wi-Fi sem fio (25)
Site da gontijo simplesmente não abre, ERR_HTTP2_PRO... [RESOLVIDO] (4)
Top 10 do mês
-
Xerxes
1° lugar - 82.993 pts -
Fábio Berbert de Paula
2° lugar - 59.779 pts -
Buckminster
3° lugar - 19.839 pts -
Mauricio Ferrari
4° lugar - 19.370 pts -
Daniel Lara Souza
5° lugar - 16.789 pts -
Alberto Federman Neto.
6° lugar - 16.582 pts -
Diego Mendes Rodrigues
7° lugar - 15.746 pts -
edps
8° lugar - 15.205 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 13.772 pts -
Andre (pinduvoz)
10° lugar - 12.765 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
