pitzzulino

Introducción: Es de común necesidad la protección de los activos de toda índole, esto no escapa a los datos y su valor. Uno de los factores en la protección de datos es la privacidad, ya que muchas veces confiamos en la seguridad de servicios de almacenamiento en la nube (Google Drive, SkyDrive, Dropbox, ownClodd) delegando un poder sobre terceros, que sin intencion o intencionalmente en algunos casos dejan mucho que desear, esto sin desmerecer obviamente el trabajo que realizan. El post es sencillo pero entiendo que efectivo para el objetivo planteado, cabe destacar que esta destinado a distribuciones basadas en Debian (Ubuntu, Mint, Huayra ...) pero se puede portar facilmente a otras distros Linux/Unix e incluso (aunque no probado) debería poder realizarse algo similar en Windows. Aquellos quienes quiza tengan alguna pregunta extra tranquilamente pueden enviar MP que serán con gusto respondidos. Pre-requisitos: Distribución GNU/Linux basada en Debian (opcional): Como se aclara en la introducción esto no es indispensable, pero el Post esta hecho a medida para debian y puede que alguno de los comandos varíe levemente en otras distribuciones o Unix. Cryptsetup: Es una herramienta que da soporte a encriptación de discos. En distros Debian Based sencillamente apt-get install cryptsetup A tener en cuenta: Todas las tareas mencionadas salvo explicita aclaración deben ser realizadas como usuario root. En ubuntu/mint se puede hacer mediante el famoso "sudo su" en Debian requerimos la password de root y utilizamos el comando su -. ¿Qué vamos a hacer? Vamos a realizar en simples pasos los siguiente: creación de un archivo vacio con un tamaño acorde a la información a almacenar que simulará ser un dispositivo de almacenamiento, encriptar el "dispositivo" previamente creado, dar formato al nuevo "dispositvo" de almacenamiento y por ultimo montar este dispositivo para utilizarlo regularmente. Simulación de un dispositivo de almacenamiento mediante archivo Quizá muchos saben (y quienes no bienvenidos al mundo Unix/Linux) todo y absolutamente todo en el mundo Unix/Linux es un archivo, ya sean discos, dispositivos de entrada/salida o cualquier otro dispositivo. Es decir que un dispositivo de almacenamiento sin abundar en detalles al fin y al cabo se comporta como un archivo para el Sistema Operativo. Con lo cual podemos crear un archivo vacío y darle formato como a cualquier otro dispoitivo de almacenamiento. Para crear el archivo vamos a ejecutar el siguiente comando: dd if=/dev/zero of=/ruta/archivo/dispositivo bs=10MB count=500 Esto generará un archivo completamente en cero (de ahí viene que la entrada esta dada por /dev/zero, el cual es un dispositio especial de linux que devuelve solo ceros, existen otros que devuelven aleatoreos como por ejemplo /dev/urandom) de 5GB (10MB * 500 = 5GB) en el destino /ruta/archivo/dispositivo, es importante personalizar este destino ya sea a tu home o donde quieras almacenar tu archivo-disco, y para cambiar el tamaño solo debes cambiar el count por ejemplo a 600 para 6GB 700 para 7GB y así susesivamente, para hacer esto también se puede cambiar el bs pero considero que 10MB es un buen tamaño de bloque tomando en cuenta performance/velocidad y para la tarea que estamos realizando creo que es más que suficiente, si tenemos que crear archivos extremadamente grades quizá 10MB sea poco, conllevando mucha demora en la creación y para hacer más efectiva la tarea convenga llevarlo a valores más elevados a criterio del usuario. NOTA IMPORTANTE: dd es un comando extremadamente útil para infinidad de tareas, creación de isos de cd vaciado de discos y muchas más, pero como toda herramienta tan potente también corremos el riesgo que un error en el destino de escritura por ejemplo puede destruir información (tal es así que el nombre dd proviene de DeeDee, hermana de Dexter, dibujo animado de CartoonNetwork, por su capacidad destructiva). Encriptación del Dispositivo Este paso es bastante sencillo, lo que vamos a realizar es el encriptado del "dispositivo" cryptsetup luksFormat /ruta/archivo/dispositivo Lo cual nos devolvera un mensaje como el que sigue al cual debemos responder que estamos seguros con un YES en mayúsculas y luego introducir y corroborar la contraseña de encriptación que luego será solicitada cada vez que deseemos montar el dispositivo. WARNING! ======== This will overwrite data on /ruta/archivo/dispositivo irrevocably. Are you sure? (Type uppercase yes): YES Enter passphrase: Verify passphrase:Formato del Dispositivo Bien ya tenemos encriptado nuestro nuevo dispositivo (ya sin más comillas por favor), para ello primero debemos abrir el mismo con el siguiente comando: cryptsetup luksOpen /ruta/archivo/dispositivo MiDispositivo Este comando solicitará la password ingresada durante su formato y abrira el archivo, generando un mapeo al dispoitivo desencriptado en la siguiente ruta /dev/mapper/MiDispositivo, el cual ya oficialmente es un dispositivo como cualquier otro, es decir que podemos aplicarle formato como hacemos comunmente. Para darle formato por ejemplo en EXT4, sistema de archivo vigente en las disribuciones linux, debemos ejecutar el siguiente comando: mkfs.ext4 /dev/mapper/MiDispositivo Utilización de nuestro dispositivo: Por último y la parte más interesante, la utilización de nuestro dispositivo. Cada vez que deseemos utilizar nuestro dispositivo debemos realizar los pasos que se detallan a continuación: cryptsetup luksOpen /ruta/archivo/dispositivo MiDispositivo (Esto fue realizad en el paso anterior pero, si reiniciamos nuestra PC debemos hacerlo nuvamente, lo mismo si cerramos el dispositivo) mount /dev/mapper/MiDispositivo /mnt (cambie /mnt a cualquier destino a gusto del usuario) Una vez aquí simplemente guardamos todos lo que consideremos de importancia en el directorio /mnt (o el que hayamos elegido). Si queremos que este dispositivo pueda ser utilizado por otro usario que no sea root, simplemente podemos ejecutar el comando chown usuario:usuario /mnt (importante NO hacer esto sin antes hacer el mount). Finalmente una vez que guardamos todos nuestros datos realizamos los siguientes pasos para cerrar nuestro dispositivo seguro: umount /mnt cryptsetup luksClose /dev/mapper/MiDispositivo Y ya tenemos asegurada nuestra información. Para terminar El Post es de integra realización propia, con lo cual puede tener aclaraciones omisas para evitar abrumar en detalles y que pueden ser aclaradas acordes a las debidas solicitudes. Espero les sea útil y serán bienvenidos sus comentarios o mejoras, como asi también si surgiera algún requerimiento en temas Linux, Networking o Seguridad y quizá tenga la respuesta poder ayudarlos o acompañarlos en la busqueda de solución.