Cifrado de disco duro de GNU/Linux con LUKS
Qué es LUKS:
LUKS es el estándar para el cifrado de discos duros de Linux. Al proporcionar un formato estándar en disco, no solo facilita la compatibilidad entre distribuciones, pero también proporciona una gestión segura de múltiples contraseñas de usuario. A diferencia de la solución existente, LUKS almacena toda la información de configuración necesaria en el encabezado de la partición, lo que permite al usuario transportar o migrar sus datos sin problemas.
Lo que hace LUKS:
• LUKS encripta dispositivos de bloques completos y, por lo tanto, es adecuado para proteger el contenido de dispositivos móviles, como medios de almacenamiento extraíbles o computadoras portátiles unidades de disco.
• El contenido subyacente del dispositivo de bloque cifrado es arbitrario. Esto lo hace útil para cifrar dispositivos de intercambio. Esto también puede ser útil con ciertos Bases de datos que utilizan dispositivos de bloque con formato especial para el almacenamiento de datos.
• LUKS utiliza el subsistema de kernel de mapeador de dispositivos existente.
• LUKS proporciona fortalecimiento de frases de contraseña que protege contra ataques de diccionario.
• Los dispositivos LUKS contienen múltiples ranuras para claves, lo que permite a los usuarios agregar claves/frases de contraseña de respaldo.
Cómo: Cifrado de Disco Duro Linux con LUKS:
Paso #1: Configurar la partición LUKS
¡ADVERTENCIA! El siguiente comando eliminará todos los datos de la partición que está cifrando. ¡Perderás toda tu información! Así que asegúrate de hacer una copia de seguridad sus datos a una fuente externa, como NAS o disco duro, antes de escribir cualquiera de los siguientes comandos.
En este ejemplo, voy a encrpt /dev/xvdc. Escriba el siguiente comando:
# cryptsetup -y -v luksFormat /dev/xvdc
Ejemplos de salidas:
WARNING!
========
This will overwrite data on /dev/xvdc irrevocably.
Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.
This command initializes the volume, and sets an initial key or passphrase. Please note that the passphrase is not recoverable so do not forget it.Type
the following command create a mapping:
# cryptsetup luksOpen /dev/xvdc backup2
Sample outputs:
Introduzca la frase de contraseña para /dev/xvdc:
Puede ver un nombre de mapeo /dev/mapper/backup2 después de verificar con éxito el material de clave suministrado que se creó con la extensión de comando luksFormat:
# ls -l /dev/mapper/backup2
Ejemplos de salidas:
lrwxrwxrwx 1 root root 7 Oct 19 19:37 /dev/mapper/backup2 -> ../dm-0
Puede utilizar el siguiente comando para ver el estado de la asignación:
# cryptsetup -v status backup2
Ejemplos de salidas:
/dev/mapper/backup2 is active.
type: LUKS1
cipher: aes-cbc-essiv:sha256
keysize: 256 bits
device: /dev/xvdc
offset: 4096 sectors
size: 419426304 sectors
mode: read/write
Command successful.
Puede volcar encabezados LUKS mediante el siguiente comando:
# cryptsetup luksDump /dev/xvdc
Paso #2: Formatear la partición LUKS
Primero, debe escribir ceros en el dispositivo cifrado /dev/mapper/backup2. Esto asignará los datos del bloque con ceros. Esto asegura que el mundo exterior verá Esto como datos aleatorios, es decir, protege contra la divulgación de patrones de uso:
# dd if=/dev/zero of=/dev/mapper/backup2
The dd command may take many hours to complete..
Paso #3: crea un sistema de archivos
enter:
# mkfs.ext4 /dev/mapper/backup2
Paso #4: Montar el nuevo sistema de archivos en /backup2
, enter:
# mkdir /backup2
# mount /dev/mapper/backup2 /backup2
# df -H
# cd /backup2
# ls -l
Si desea desmontar y proteger los datos
Escriba los siguientes comandos:
# umount /backup2
Si desea volver a montar la partición cifrada
Escriba el siguiente comando:
# cryptsetup luksOpen /dev/xvdc backup2
# mount /dev/mapper/backup2 /backup2
# df -H
# mount
cambiar la frase de contraseña LUKS (contraseña) para la partición cifrada:
Si desea cambiar la frase de contraseña de LUKS
Escriba el siguiente comando:
# cryptsetup luksDump /dev/xvdc
# cryptsetup luksAddKey /dev/xvdc
Introduzca cualquier frase de contraseña:
Introduzca la nueva frase de contraseña para la ranura de llave:
Verifique la frase de contraseña:
Elimine o elimine la contraseña anterior:
# cryptsetup luksRemoveKey /dev/xvdc
Tenga en cuenta que debe ingresar la contraseña / frase de contraseña anterior.
