I Linux operativsystem har vi många alternativ för att kryptera data i Linux, till exempel kan vi använda dm-crypt, LUKS, eCryptfs och även program som Veracrypt som är riktigt mångsidiga och rekommenderas starkt. LUKS (Linux Unified Key Setup) låter oss kryptera diskar, partitioner och även logiska volymer som vi skapar på vår dator. Några av fördelarna som LUKS har framför andra är att dess användning är väldigt enkel, utan att behöva konfigurera eller köra komplicerade kommandon, den ingår i själva kärnan, därför blir prestandan vid kryptering/dekryptering av data mycket hög, vi måste ta även hänsyn till att vi kan hantera krypteringsnyckeln som vi vill.
Vi kommer att tydligt dela upp denna handledning i två avsnitt, i det första avsnittet kommer vi att lära dig hur du installerar ett Debianoperativsystem med kryptering genom hela partitionen, krypterad som standard, och i det andra avsnittet kommer vi att lära dig hur du krypterar dator när Debian har installerats normalt, ingen kryptering på partitionen som standard. En mycket viktig detalj är att partitionen som är orienterad mot “boot” inte kommer att krypteras, för att tillåta läsning av informationen, men resten av disken kommer att krypteras med LUKS, antingen partitioner eller logiska volymer (LVM).
Installera Debian eller Linux med LUKS-kryptering som standard
I installationsguiden för Debian, antingen med det fullständiga grafiska användargränssnittet, eller med installationsguiden med minimalt gränssnitt, har vi möjlighet att konfigurera hela disken med en krypterad LVM, för att ha maximal konfidentialitet när Låt oss använda datorn, eftersom all data på systempartitionen och data kommer att krypteras.
Vi måste helt enkelt välja “Guided – Använd hela disken och konfigurera krypterad LVM”, sedan väljer vi disken och väljer om vi vill ha allt i en partition eller separera den med partitioner, detta spelar ingen roll eftersom vi kan separera / hempartition i andra.
Det kommer att indikera att om vi vill spara alla ändringar som gjorts, rekommenderas det starkt att använda LVM för att senare utöka eller minska dess kapacitet. När vi har gjort det kommer operativsystemet att ta hand om att radera hela disken med slumpmässiga data för att förbättra säkerheten och undvika dataåterställning. Detta kommer att ta ett tag, beroende på storleken på skivan som vi har valt.
När den är klar kommer den att berätta för oss att lägga in krypteringslösenordet, att kryptera och dekryptera disken med detta lösenord. Som ett minimum rekommenderas det att sätta 8 tecken, men vår rekommendation är att sätta minst 12 tecken, med ett starkt lösenord. När vi är klara kommer vi att få en sammanfattning av allt som Debians installationsguide kommer att göra på vår disk, det viktigaste är delen av “sda5_scrypt-kryptering”, en viktig detalj är att / boot inte kommer att krypteras, och inte heller utbyte (swap), därför rekommenderar vi att du aldrig använder någon swap, eller krypterar den i efterhand.
När vi har sett allt som kommer att göras, indikerar vi att vi vill skriva ändringarna till disken, och även installera starthanteraren i grub, välja / dev / sda disken som vi har.
När vi har avslutat installationen kommer gruben ut och vi väljer det första alternativet, eller så låter vi tiden gå. Den kommer automatiskt att be oss om lösenordet för att kunna starta operativsystemet, om vi inte anger lösenordet direkt kommer det inte att kunna starta, eftersom allt är krypterat. Om vi anger nyckeln kommer vi att se hur de olika tjänsterna börjar starta i Debian.
Om vi vill kontrollera de partitioner som vi har skapat kan vi lägga in följande kommando:
lsblk –fs
Om vi vill se egenskaperna hos LUKS (använd symmetrisk krypteringsalgoritm, nyckellängd etc), kan vi sätta följande kommando:
cryptsetup luksDump /dev/sda5
/ dev / sda5 är i vårt fall, om du har gjort en annan installation är det möjligt att dessa data kommer att ändras. Som du kan se krypterar LUKS all data med AES-XTS i sin 512-bitarsversion, använder en PBKDF argon2i och en SHA256-hash.
Som du har sett är det väldigt enkelt att konfigurera vårt operativsystem med Linux som standard, vi behöver bara följa stegen i konfigurationsguiden, utan att behöva göra något annat. När vi vet hur man krypterar all data som standard, låt oss se hur man gör det när operativsystemet redan är installerat.
Konfigurera LUKS-kryptering på ett redan installerat system utan föregående kryptering
I det här avsnittet av handledningen ska vi se hur vi kan kryptera partitioner när de redan är skapade, och till och med hur vi kan kryptera vilken fil som helst med LUKS som vi har i operativsystemet. Vi kommer att utföra dessa tester med ett Debian 10-system utan att ha något krypterat som standard, ingen systempartition, data eller något.
Det första vi måste göra är att installera LUKS i operativsystemet, eftersom det inte är installerat som standard om vi inte har använt det i installationsguiden. Installationen görs direkt från det officiella Debian-förvaret enligt följande:
sudo apt installera cryptsetup
När det väl är installerat kan vi använda det för att kryptera innehållet på hårddiskar, partitioner eller någon flyttbar lagringsenhet.
Innan du börjar, det är alltid tillrådligt att formatera partitionen helt och skriva om data , för att ha bästa möjliga säkerhet, på detta sätt kommer hela partitionen eller disken att skrivas om med slumpmässig information, så att det är mycket svårt eller nästan omöjligt att återställa information. För närvarande tillåter inte LUKS kryptering av disken eller partitionen när den används, därför måste vi göra det från en annan dator. Dessutom måste du använda dig av ” cryptsetup-reencrypt ” som kommer att hjälpa oss att helt omkryptera partitionen, utan förlust av data, även om det skulle rekommenderas starkt att du gör en säkerhetskopia av de viktiga filerna innan du gör det. Detta verktyg låter dig kryptera data på LUKS-enheten på plats, men partitionen får inte användas.
Kryptera valfri disk eller partition (med dataförlust)
Det första vi måste göra är att skapa en ny partition på disken för att senare använda den. Vi kör följande kommando:
sudo fdisk /dev/sdb
Och vi fortsätter att sätta “n” för att skapa en ny partition, vi sätter “p” för att göra den primär, och vi accepterar de värden som indikerar att vi har en partition av hela hårddisken, om vi vill göra den mindre, vi kommer att behöva modifiera sektorerna för denna partition i synnerhet.
När vi har gjort detta måste vi sätta den nyskapade sdb1-partitionen med LUKS-formatet, för detta kör vi följande kommando:
sudo cryptsetup luksFormat /dev/sdb1
Vi skriver “JA”, anger lösenordet vi vill ha och väntar tills det är klart.
Om vi kör kommandot:
lsblk -f
Vi kommer att kunna se alla hårddiskar, partitioner och filsystem som vi använder. Vi bör se att på sdb1 har vi “crypto_LUKS” som det visas här:
När vi har gjort det måste vi öppna den här partitionen med LUKS som vi just har skapat, för detta lägger vi kommandot:
cryptsetup luksOpen /dev/sdb1 particioncifrada
Vi introducerar lösenordet, och sedan kör vi om «lsblk -f» och «krypterad partition» kommer att visas, vilket är identifieringsnamnet som vi har gett, men vi kan ändra det när som helst.
Nu måste vi ge filformat till den här partitionen, det normala skulle vara att göra det med EXT4 också, för detta lägger vi följande kommando:
mkfs.ext4 /dev/mapper/particioncifrada
Och vi kommer redan att ha EXT4-filsystemet på denna krypterade partition.
Nu måste vi montera partitionen till en katalog, för att göra det måste vi skapa i / hem eller var vi vill ha monteringspunkten:
mkdir -p /home/bron/particioncifrada/archivos
Och nu måste vi montera den:
montera /dev/mapper/particioncifrada /home/bron/particioncifrada/archivos
Och om vi kommer åt katalogen «/ hem / bron / partitionskryptering / filer» kan vi skriva all data vi vill ha, krypteringen är i farten och helt transparent.
Om vi startar om datorn kommer enheten inte att monteras, inte heller kommer vi att ha partitionen öppen med LUKS, därför måste vi göra följande varje gång vi startar om och vill komma åt denna partition:
cryptsetup luksOpen /dev/sdb1 particioncifrada
Vi anger lösenordet när det efterfrågas och monterar enheten igen:
montera /dev/mapper/particioncifrada /home/bron/particioncifrada/archivos
Om vi vill att den ska öppnas och monteras automatiskt i början av operativsystemet måste vi redigera filerna / etc / crypttab och / etc / fstab för att sätta denna partition, men vår rekommendation är att du monterar enheten manuellt och be om lösenordet för säkerhets skull, för om inte måste du lagra nyckeln i klartext i / boot / partitionen.
Nu vet vi allt vi behöver veta för att kunna kryptera hela diskar eller partitioner med LUKS och göra det direkt från Linux, även när systemet redan körs måste vi vara försiktiga med våra lösenord, men vi kommer att prata om ett oerhört säkert system med kryptering av data.
