Criptografia de disco

Neste artigo mostrarei como fazer criptografia de disco, um ponto muito importante na segurança da informação. Espero que gostem!

[ Hits: 78.145 ]

Por: Henrique Vieira Leanor em 02/02/2010


Porque criptografar o disco



Quando falamos de segurança da informação, podemos usar várias técnicas e ferramentas para evitar intrusões remotas e locais através do terminal. Mas nós devemos pensar em outras possibilidades além do acesso ao terminal propriamente dito.

Como podemos garantir a segurança do nosso servidor se ele for roubado? E se alguém conseguir clonar o HD? E se roubarem o nosso notebook?

Nessas situações não teremos o que fazer, o ladrão (invasor) vai ter acesso a todas as nossas informações.

O que podemos fazer para evitar esse tipo de situação?

Existem duas coisas que podemos fazer:

A primeira é ter uma boa proteção física aos seus servidores, colocando acessos através de cartões, acessos biométricos, salas cofres ou pelo menos que a sala fique trancada e somente pessoas de confiança tenham acesso a eles.

O segundo ponto é criptografar o disco, ou melhor dizendo, colocar uma criptografia nas partições onde ficam as informações confidencias da empresa.

Como fazer essa criptografia

Para trabalharmos com criptografia de discos e partições, devemos adotar primeiramente um método de criptografia. Um método que é muito recomendado em sistemas GNU/Linux é o LUKS, que significa Linux Unified Key Setup.

O LUKS foi desenvolvido para implementar uma padrão único de criptografia de discos, pois outras soluções não mantinham uma padronização de criptografia, o que causava grandes dores de cabeças aos usuários quando precisavam fazer alguma migração de versão ou migração de ferramentas.

Por que o LUKS?

Por que o LUKS é um método padronizado de implementar criptografia de discos.

Qual tipo de padrão?

O LUKS se baseia em uma documentação escrita por Clemens Fruhwirth chamada "TKS1 - An anti-forensic, two level, and iterated key setup scheme". Pode-se dizer que o LUKS é a implementação de prova de conceitos dessa documentação. Para implementarmos o LUKS em um sistema Linux utilizaremos as seguintes ferramentas:
  • dm-crypt: o dm-crypt é um subsistema de criptografia de discos em kernel Linux versão 2.6. Ele faz parte do infraestrutura device-mapper (sistema de mapeamento de dispositivos de blocos). O dm-crypt foi desenvolvido para trabalhar com vários modos de criptografia, como CBC, ESSIV, LRW e XTS. Como o dm-crypt reside na camada de kernel, ele precisa de front-ends para criar os dispositivos criptografados e manuseá-los. Esses front-ends são o cryptsetup e cryptmount.
  • cryptsetup: o cryptsetup é usado para configurar a criptografia nos dispositivos utilizando o dm-crypt. Ele possui comandos para trabalhar com e sem o LUKS.
  • cryptmount: comando usado para montar/desmontar dispositivos criptografados. Ele permite que usuários montem dispositivos criptografados sem a necessidade do superusuário.

    Próxima página

Páginas do artigo
   1. Porque criptografar o disco
   2. O que a norma da segurança diz sobre criptografia de disco
   3. Ativando o serviço e dando os últimos retoques
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Quad9 - O que é e como usar

Gerar par de chaves com o GnuPG em 11 passos

Aquisição Estática de Dados em Computação Forense

Como fazer: chroot SSH (SSH mais seguro)

PortSentry: Melhorando a segurança do seu Linux

  
Comentários
[1] Comentário enviado por removido em 02/02/2010 - 17:00h

No artigo você cita que pode ser utilizado um dispositivo para acesso, pode ser um pendrive? preciso formatar ele de forma especial? sabe como fazer isso para não precisar ficar digitando senha?

[2] Comentário enviado por luizvieira em 02/02/2010 - 21:33h

Acrescentando uma informação à dica do amigo: o TrueCrypt é uma boa opção de ferramenta open source para criptografia de disco, partições e arquivos.
Veja essa dica: http://www.vivaolinux.com.br/dica/TrueCrypt-Open-Source-para-criptografia/

[ ]'s

[3] Comentário enviado por felipeferreira em 02/02/2010 - 23:07h

legal, mais se eu pega este hd, e colocar em outra maquina com debian, como faço para montar a partiçao, sendo que eu nao sei nenhuma informaçao deste hd, so sei o passhare.

[4] Comentário enviado por henrique.inside em 03/02/2010 - 02:31h

Daniel na Verdade a Senha, é uma forma de Segurança...


Sobre o Trocar o HD de máquina. não sei o que pode acontecer, porque pode dar algumas incompatibildades...

rsrs Mas qualquer coisa estarei postando mais aqui !

ate maiss !

[5] Comentário enviado por nicolo em 19/02/2010 - 13:00h

Eu uso o cryptsetup. POde trocar o HD com a partição criptografada tanto de linux como de máquina e continua funcionando.
Já há tempo em funcioamento sem problemas
O Truecrypt com partição eu nunca usei. Com arquivo conteiner deu variação de um linux para outro. Com as versões mais novas do truecrypt e do linux parece que melhorou. O sistema de arquivo do conteiner parece não ser reconhecido sempre e parece ter problema de tamanho acima de 2 Gb, mas não sei dizer se isso é problema da máquina ou da versão do linux, ou do TrueCrypt mais antigo.
Estranhamente o conteiner velho voltou a funcionar com tudo novo: Máquina nova, linux ultima versão, e truecrypt última versão.

2-Ainda não testei em pen drive, teoricamente pode funcionar.
Artigo nota 10.

[6] Comentário enviado por marceloviana em 16/04/2016 - 09:30h

Henrique, obrigado pelo artigo!

- Como faço para arrancar o sistema sem a necessidade de senha para o ponto de montagem?
- Como faço para descriptografar a partição criptografada (em linha de comando) para visualizar os arquivos e fazer manutenção?

Obrigado.

[7] Comentário enviado por ottolinux em 14/12/2016 - 16:11h

Muito bom seu artigo Henrique. Parabéns,
Como só hoje li ele , fiz o mesmo processo usando uma outra receita de outro artigo em inglês, link : https://www.cyberciti.biz/hardware/howto-linux-hard-disk-encryption-with-luks-cryptsetup-command/ .
No meu caso eu fiz um testes com o Pendrive de 4GB, funcionou perfeito. Ficou bem fácil e prático. Eu estou usando o Linux Elementary OS , e quando espeto o pendrive no lap ele já mostra no gerenciador de arquivos e avisa que é encriptado. Quando se manda montar pelo gerenciador ele logo pede a passphrase ( senha gerada no inicio do processo).
Sobre o que o pessoal perguntou de montar sem senha, bom ai perde toda a função de segurança. POis é a senha de segurança que impede de outros monta-lo e visualizar os dados. Apenas cuidado com a senha , pois se perder a senha ou esquece-la babaus !
Bom trabalho ai,
Att


[8] Comentário enviado por ric_rock em 30/03/2017 - 17:19h

eu fiz uma instalação do debian ja com uma partição criptografada, so que quando erro a senha na hora do boot mesmo assim ele da acesso a pasta, e consigo salvar as coisas entrando com a senha root, mas quando entro com a senha da criptografia as coisas q salvei nao aparecem, e vice versa, alguem sabe me explicar se isso é assim mesmo? o certo nao seria nao ter acesso nenhum a pasta da partição? se nao for digitado a senha?
obrigado.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts