{"id":602,"date":"2006-11-19T17:37:47","date_gmt":"2006-11-19T15:37:47","guid":{"rendered":"http:\/\/www.marblestation.com\/blog\/?p=602"},"modified":"2012-04-26T16:56:18","modified_gmt":"2012-04-26T14:56:18","slug":"particion-encriptada-para-un-usuario-en-ubuntu-edgy","status":"publish","type":"post","link":"https:\/\/www.marblestation.com\/?p=602","title":{"rendered":"Partici\u00f3n encriptada para un usuario en Ubuntu Edgy"},"content":{"rendered":"

Despu\u00e9s de escuchar historias de port\u00e1tiles robados para conseguir informaci\u00f3n confidencial de empresas, es m\u00e1s que evidente que no parece suficiente con proteger nuestro ordenador mediante configuraciones adecuadas, buenas contrase\u00f1as, firewalls, etc… sino que debemos ir un paso m\u00e1s all\u00e1 e encriptar la informaci\u00f3n en nuestro disco duro. De esta forma, si alguien se hiciese con el y lo conectase a otro ordenador seria incapaz de extraer ning\u00fan tipo de informaci\u00f3n.<\/p>\n

Por otro lado, es necesario poder combinar esa seguridad con comodidad para el usuario, el cual no quiere tener que recordar que debe cifrar unos datos determinados siguiendo una serie de pasos (por ejemplo utilizando gnupg<\/a>). De ah\u00ed que la soluci\u00f3n m\u00e1s acertada es la creaci\u00f3n de una partici\u00f3n encriptada, la cual se montar\u00e1 autom\u00e1ticamente al hacer login el usuario (el password de la partici\u00f3n y el del usuario ser\u00e1n los mismos).<\/p>\n

Para este objetivo utilizaremos Luks<\/a>, aplicaci\u00f3n que nombre de pasada en la gu\u00eda sobre Ubuntu Edgy<\/a> (secci\u00f3n “Encriptaci\u00f3n de memorias USB”). Lo primero que necesitamos es una partici\u00f3n en nuestro disco duro disponible para guardar all\u00ed el directorio de nuestro usuario (e.g. “\/home\/usuario”), para ello podr\u00edamos utilizar gparted<\/a> desde su liveCD<\/a> pare redimensionar particiones existentes\/crear nuevas particiones\/etc…<\/p>\n

Una vez tengamos una partici\u00f3n disponible (por ejemplo personalmente me he creado una de 15 GB), seguiremos los siguientes pasos desde nuestra Ubuntu:
\n<\/p>\n

    \n
  1. Instalamos las aplicaciones necesarias:\n
    \r\nsudo apt-get install cryptsetup libpam-mount initramfs-tools\r\n<\/pre>\n<\/li>\n
  2. \nCargamos los modulos criptogr\u00e1ficos:<\/p>\n
    \r\nsudo modprobe dm_crypt\r\nsudo modprobe sha256\r\nsudo modprobe aes_i586\r\n<\/pre>\n<\/li>\n
  3. \nFormatemos la partici\u00f3n (por ejemplo \/dev\/hda6) y le asignamos un password (el cual debe ser igual al del usuario):<\/p>\n
    \r\nsudo luksformat -t ext3 \/dev\/sdb4\r\n<\/pre>\n
    Si os da alg\u00fan error extra\u00f1o, fijaros bien porque cuando nos pregunta si estamos seguros debemos escribir YES en may\u00fasculas.\n<\/li>\n
  4. \nMontamos la partici\u00f3n en “\/tmp\/crypthome”:<\/p>\n
    \r\nsudo cryptsetup luksOpen \/dev\/hda6 crypthome\r\nmkdir \/tmp\/crypthome && sudo mount \/dev\/mapper\/crypthome \/tmp\/crypthome\r\n<\/pre>\n<\/li>\n
  5. \nEditamos ‘\/etc\/security\/pam_mount.conf’ y a\u00f1adimos al final (indicando nuestro usuario y partici\u00f3n real):<\/p>\n
    \r\nvolume usuario crypt - \/dev\/hda6 \/home\/usuario exec,fsck,nodev,nosuid - -\r\n<\/pre>\n<\/li>\n
  6. \nEditamos ‘\/etc\/pam.d\/login’, ‘\/etc\/pam.d\/gdm’ y ‘\/etc\/pam.d\/ssh’ (si existe) para a\u00f1adir al final:<\/p>\n
    \r\n@include common-pammount\r\n<\/pre>\n<\/li>\n
  7. \nLos siguientes 2 puntos los har\u00eda desde una terminal “pura” (CTRL+ALT+F1)y no desde nuestro escritorio gr\u00e1fico (ALT+F7 para volver al entorno gr\u00e1fico) para no perder configuraciones que no hayan sido guardadas aun por gconf, evolution o alguno de estos procesos.<\/p>\n
    Copiamos todos los datos actuales de nuestro usuario a la nueva partici\u00f3n y nos aseguramos que el propietario sea el propio usuario:<\/p>\n
    \r\nsudo cp -avx \/home\/usuario\/* \/tmp\/crypthome\r\nsudo chown -R usuario:usuario \/tmp\/crypthome\r\nsudo umount \/tmp\/crypthome\r\nsudo cryptsetup luksClose crypthome\r\n<\/pre>\n<\/li>\n
  8. \nY en este punto ya lo tenemos todo preparado para hacer el cambio, podr\u00edamos mover nuestro home para eliminarlo m\u00e1s tarde (cuando hayamos comprobado que todo funciona correctamente):<\/p>\n
    \r\ncd\r\ncd ..\r\nsudo mv usuario usuario.old\r\nsudo mkdir usuario\r\nsudo chown usuario:usuario usuario\r\n<\/pre>\n
    Y reiniciamos nuestro ordenador.<\/p>\n
    \r\nsudo shutdown -r now\r\n<\/pre>\n<\/li>\n<\/ol>\n
    A partir de ahora, todos los datos que guardemos en nuestra partici\u00f3n del usuario estar\u00e1n protegidos contra robos y accesos f\u00edsicos directos \ud83d\ude42 La partici\u00f3n se montar\u00e1 autom\u00e1ticamente al hacer login gr\u00e1fico, por consola o ssh. De todas formas debemos ser conscientes de la importancia de tener un password fuerte, dado que la raiz no esta encriptada… si alguien robase nuestro disco duro tendria acceso al ‘\/etc\/shadow’, lugar donde se almacenan los passwords encriptados y podr\u00edan ser sometidos a un ataque de fuerza bruta<\/a> con john the ripper<\/a> por ejemplo.<\/p>\n
    Podr\u00edamos llegar a encriptar toda la partici\u00f3n raiz ‘\/’ y la memoria swap para conseguir un m\u00e1ximo nivel de seguridad, en una  Ubuntu Dapper lo llegu\u00e9 a probar y me funcion\u00f3 muy bien… la \u00fanica pega era que me ped\u00eda el password justo despu\u00e9s de cargarse el grub y para un sistema multiusuario es incomodo. Si alguien se anima a probarlo en Edgy le invito a que siga la misma p\u00e1gina<\/a> que me ha servido de gu\u00eda para este post y nos cuente su experiencia \ud83d\ude42<\/p>\n
    Actualizaci\u00f3n<\/b> Modificada la linea que se a\u00f1ade al fichero ‘\/etc\/security\/pam_mount.conf’ para que se pase el fsck cada vez que sea requerido.<\/p>\n","protected":false},"excerpt":{"rendered":"
    Despu\u00e9s de escuchar historias de port\u00e1tiles robados para conseguir informaci\u00f3n confidencial de empresas, es m\u00e1s que evidente que no parece suficiente con proteger nuestro ordenador mediante configuraciones adecuadas, buenas contrase\u00f1as, firewalls, etc… sino que debemos ir un paso m\u00e1s all\u00e1 e encriptar la informaci\u00f3n en nuestro disco duro. De esta forma, si alguien se hiciese … Continue reading Partici\u00f3n encriptada para un usuario en Ubuntu Edgy<\/span> →<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,6],"tags":[],"class_list":["post-602","post","type-post","status-publish","format-standard","hentry","category-espanyol","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.marblestation.com\/index.php?rest_route=\/wp\/v2\/posts\/602","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.marblestation.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.marblestation.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.marblestation.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.marblestation.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=602"}],"version-history":[{"count":1,"href":"https:\/\/www.marblestation.com\/index.php?rest_route=\/wp\/v2\/posts\/602\/revisions"}],"predecessor-version":[{"id":1318,"href":"https:\/\/www.marblestation.com\/index.php?rest_route=\/wp\/v2\/posts\/602\/revisions\/1318"}],"wp:attachment":[{"href":"https:\/\/www.marblestation.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=602"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.marblestation.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=602"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.marblestation.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=602"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}