Creative Commons Reconocimiento-NoComercial-CompartirIgual 2.1

© 1999-2011 Joel Barrios Dueñas. Usted es libre de copiar, distribuir, y comunicar públicamente la obra, y hacer obras derivadas bajo las condiciones siguientes: a) Debe reconocer, y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo su publicación, a través de cualquier medio, por entidades con fines de lucro). c) Si altera, o transforma esta obra, o genera una obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar, o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras limitaciones no se ven afectados por lo anterior. Licencia completa en castellano. La información contenida en este documento, y los derivados de éste se proporcionan tal cual son, y los autores no asumirán responsabilidad alguna si el usuario, o lector, hace mal uso de éstos.

Introducción.

LUKS (Linux Unified Key Setup-on-disk-format) es una implementación muy sencilla de utilizar para utilizar particiones cifradas en GNU/Linux. Es particularmente útil en dispositivos móviles, computadoras portátiles y dispositivos de almacenamiento cuya información se desee proteger.

El siguiente procedimiento describe cómo cifrar una partición de disco asignada al punto de montaje /datos. Cabe señalar que el procedimiento hará que todos los datos de esta partición se pierdan. Si la partición contiene datos de algún tipo, se debe respaldar todo antes de proceder, y restaurar estos datos luego de terminar le procedimiento.

Equipamiento lógico necesario.

Por lo general el paquete cryptsetup-luks viene instalado de manera predeterminada en Fedora, CentOS y Red Hat. Sí a caso fuese necesario, instalar el paquete correspondiente con el mandato yum:

yum -y install cryptsetup-luks

Procedimientos.

A fin de evitar contratiempos, conviene realizar todos los procedimientos desde el nivel de ejecución 1 (mono usuario). Como root ejecute:

init 1

Antes de proceder, es muy importante cerciorarse de qué dispositivo se va a utilizar para el procedimiento. De ser necesario, y sí acaso estuviese montada, utilice el mandato df para determinar que dispositivo corresponde a la partición que se desea cifrar.

df -h

Respalde todos los datos de la partición que necesite cifrar. Copie, o mueva, los datos hacia otro dispositivo de almacenamiento. El procedimiento eliminará, de manera inevitable, todo el contenido actual de dicha partición. Antes de continuar, verifique, y compruebe, que el respaldo es confiable.

Una vez hecho el respaldo, desmonte la partición que se pretende cifrar:

umount /datos

El siguiente paso es opcional, pero se recomienda llevarlo a cabo, pues mejora el cifrado al llenar previamente la partición con datos aleatorios. Debe tomarse en consideración que, dependiendo del tamaño de la partición, ésto puede demorar varias horas, o incluso días.

dd if=/dev/urandom of=/dev/sdaX bs=4096

La partición a utilizar se inicializa con el mandato cryptsetup, con las opciones --verbose (para obtener una salida más descriptiva en caso de problemas), --verify-passphase (para asignar una frase de acceso, o bien una clave de acceso), luksFormat para dar formato en LUKS, y el nombre del dispositivo.

cryptsetup --verbose --verify-passphrase luksFormat /dev/sdaX

Lo anterior requerirá responder explícitamente con YES, en mayúsculas, que se desea proceder y que se está consciente que se perderán todos los datos actuales de la partición. A continuación, se pulsa la tecla ENTER, y se ingresa la nueva frase, o bien la nueva clave de acceso, que se pretenda asignar.

Una vez realizado lo anterior, para poder hacer uso de la nueva partición cifrada, se utiliza el mandato cryptsetup con la opción luksOpen, indicando el dispositivo que corresponde a la partición que se acaba de cifrar, y el nombre que se quiera asignar al planificador de dispositivos (device mapper).

cryptsetup luksOpen /dev/sdaX datos

Lo anterior crea un nuevo dispositivo denominado /dev/mapper/datos.

Para que el sistema operativo pueda utilizarlo, este nuevo dispositivo requiere ser formateado. En el siguiente ejemplo se da formato en ext4 a /dev/mapper/datos:

mkfs.ext4 /dev/mapper/datos

A fin de que el sistema solicite automáticamente la frase de acceso, o bien la clave de acceso, al volver iniciar el sistema, se crea o edita el archivo /etc/crypttab:

vim /etc/crypttab

Dentro de éste, se define, en el primer campo, el nombre que se quiera utilizar para el planificador de dispositivos (device mapper), en el segundo campo se define el nombre del dispositivo que se cifró y en el tercer campo se define none. De manera opcional, aunque poco recomendado, se puede especificar la frase de acceso, o bien la clave de acceso, o bien un archivo que contenga ésta, en lugar de none para que el sistema inicie sin necesidad de que el administrador ingrese la frase de acceso, o bien la clave de acceso.

datos	/dev/sdaX	none

A fin de que el sistema operativo monte automáticamente el dispositivo, se edita el archivo /etc/fstab:

vim /etc/fstab

Y se añade lo siguiente, o bien se reemplaza el nombre del dispositivo anterior (UUID=xxxxxxxxxxxx, /dev/sdaX, o LABEL=/datos, dependiendo de la versión del sistema operativo), como /dev/mapper/datos:

/dev/mapper/datos      /datos     ext4     defaults,noatime,nodiratime    1 2

Finalmente, se monta la partición cifrada:

mount /datos

En adelante, cuando se inicie el sistema, aparecerá un diálogo que solicitará ingresar la frase de acceso, o bien la clave de acceso, para utilizar la partición cifrada.

Cuando el caso lo amerite, o bien se trate de un dispositivo de almacenamiento extraíble (una llave o disco USB, por ejemplo), para desconectar manualmente el dispositivo, se debe desmontar primero la partición:

umount /datos

A continuación, se desconecta el dispositivo utilizando el mandato cryptsetup, con la opción luksClose, y el nombre del dispositivo, de acuerdo a como lo vea el planificador de dispositivos:

cryptsetup luksClose /dev/mapper/datos

Restaure los datos que respaldó, y reinicie el sistema. En adelante se solicitará la frase de acceso, o bien la clave de acceso, definida durante el procedimiento, para poder iniciar el sistema, y así acceder a la partición cifrada.