Recientemente, demostré cómo implementar el cifrado de disco completo en Linux con LUKS y cryptsetup dominio. Si bien cifrar un disco completo es útil en muchos casos, existen razones por las que es posible que no desee codificar un disco completo. Por ejemplo, es posible que necesite una unidad para trabajar en varias plataformas, algunas de las cuales pueden no tener integración Linux Unified Key Setup (LUKS). Además, es el siglo XXI, la nube existe y es posible que no esté utilizando una unidad física para todos sus datos.
Más recursos de Linux
- Hoja de trucos de los comandos de Linux
- Hoja de trucos de comandos avanzados de Linux
- Curso en línea gratuito:Descripción general técnica de RHEL
- Hoja de trucos de red de Linux
- Hoja de trucos de SELinux
- Hoja de trucos de los comandos comunes de Linux
- ¿Qué son los contenedores de Linux?
- Nuestros últimos artículos sobre Linux
Hace varios años, había un sistema llamado TrueCrypt que permitía a los usuarios crear "bóvedas" de archivos cifrados, que TrueCrypt podía descifrar para proporcionar acceso de lectura/escritura. Era una técnica útil y esencialmente proporcionaba una unidad virtual portátil y totalmente encriptada donde podía almacenar datos importantes. TrueCrypt cerró, pero sirve como un modelo interesante.
Afortunadamente, LUKS es un sistema flexible y puede usarlo y cryptsetup para crear una bóveda encriptada como un archivo independiente, que puede guardar en una unidad física o en un almacenamiento en la nube.
Así es como se hace.
1. Crear un archivo vacío
Primero, debe crear un archivo vacío de un tamaño predeterminado. Esto sirve como una especie de bóveda o caja fuerte en la que puede almacenar otros archivos. El comando que usas para esto es fallocate , desde el util-linux paquete:
$ dd if=/dev/urandom of=vaultfile.img bs=1M count=512Este ejemplo crea un archivo de 512 MB, pero puede hacer que el suyo tenga el tamaño que desee.
(Usando /dev/urandom como fuente de datos de relleno asegura que un volcado hexadecimal no pueda distinguir los datos reales del espacio vacío).
2. Crear un volumen LUKS
A continuación, cree un volumen LUKS dentro del archivo vacío:
$ cryptsetup --verify-passphrase \
luksFormat vaultfile.img
3. Abre el volumen de LUKS
Para que pueda crear un sistema de archivos listo para el almacenamiento de archivos, primero debe abrir el volumen LUKS y montarlo en su computadora:
$ sudo cryptsetup open \
--type luks vaultfile.img myvault
$ ls /dev/mapper
myvault
4. Crear un sistema de archivos
Cree un sistema de archivos en su bóveda abierta:
$ sudo mkfs.ext4 -L myvault /dev/mapper/myvaultSi no lo necesitas para nada en este momento, puedes cerrarlo:
$ sudo cryptsetup close myvault5. Comience a usar su bóveda encriptada
Ahora que está todo configurado, puede usar su bóveda de archivos encriptados siempre que necesite almacenar o acceder a datos privados. Para acceder a su bóveda, debe montarlo como un sistema de archivos utilizable:
$ sudo cryptsetup open \
--type luks vaultfile.img myvault
$ ls /dev/mapper
myvault
$ sudo mkdir /myvault
$ sudo mount /dev/mapper/myvault /myvault
Este ejemplo abre la bóveda con cryptsetup y luego monta la bóveda desde /dev/mapper a un nuevo directorio llamado /myvault . Al igual que con cualquier volumen en Linux, puede montar el volumen LUKS en cualquier lugar que desee, por lo que en lugar de /myvault , puede usar /mnt o ~/myvault o lo que prefieras.
Mientras está montado, su volumen LUKS se descifra. Puede leer y escribir archivos en él como si fuera una unidad física.
Cuando haya terminado de usar su bóveda encriptada, desmóntela y ciérrela:
$ sudo umount /myvault
$ sudo cryptsetup close myvault
Bóvedas de archivos encriptados
Un archivo de imagen que encripta con LUKS es tan portátil como cualquier otro archivo, por lo que puede almacenar su bóveda en su disco duro, una unidad externa o incluso en Internet. Siempre que tenga LUKS disponible, puede descifrarlo, montarlo y usarlo para mantener sus datos seguros. Es un cifrado fácil para mejorar la seguridad de los datos, así que pruébelo.