Displaying items by tag: encriptacion

Abra discos cifrados sin tener que introducir manualmente un código de acceso mediante el cifrado de disco enlazado a la red (NBDE).

 

Desde el punto de vista de la seguridad, es importante cifrar sus datos confidenciales para protegerlos de miradas indiscretas y piratas informáticos. Linux Unified Key Setup (LUKS) es una gran herramienta y un estándar común para el cifrado de disco de Linux. Debido a que almacena toda la información de configuración pertinente en el encabezado de la partición, facilita la migración de datos.

Para configurar discos o particiones cifrados con LUKS, deberá utilizar la utilidad cryptsetup. Desafortunadamente, una de las desventajas de encriptar sus discos es que debe proporcionar manualmente la contraseña cada vez que se reinicia el sistema o se vuelve a montar el disco.

 

Sin embargo, Network-Bound Disk Encryption (NBDE) puede desbloquear de forma automática y segura discos encriptados sin la intervención del usuario. Está disponible en varias distribuciones de Linux, comenzando con Red Hat Enterprise Linux 7.4, CentOS 7.4 y Fedora 24, y en versiones posteriores de cada una.

NBDE se implementa con las siguientes tecnologías:

  • Marco de clevis: una herramienta de marco conectable que descifra y desbloquea automáticamente los volúmenes LUKS
  • Servidor Tang: un servicio para vincular claves criptográficas a la presencia en la red.

Tang proporciona las claves de cifrado al cliente Clevis. Según los desarrolladores de Tang, esto proporciona una alternativa segura, sin estado y anónima a los servicios de custodia de claves.

Debido a que NBDE usa la arquitectura cliente-servidor, debe configurar tanto el cliente como el servidor. Puede utilizar una máquina virtual en su red local para su servidor Tang.

 

Instalación del servidor

Instale Tang usando sudo:

sudo yum install tang -y

 

Habilite el servidor Tang:

sudo systemctl enable tangd.socket --now

 

sudo firewall-cmd --add-port=tcp/80 --perm
sudo firewall-cmd --reload

 

El servidor debería estar  instalado ahora.

 

Instalación del cliente

Para este ejemplo, suponga que ha agregado un nuevo disco de 1 GB llamado / dev / vdc a su sistema.

Cree la partición primaria usando fdisk o parted:

sudo fdisk /dev/vdc

 

Complete los siguientes pasos para instalar el cliente.

 

Bienvenido a fdisk (util-linux 2.23.2).

Los cambios permanecerán solo en la memoria, hasta que decida escribirlos.
Tenga cuidado antes de usar el comando de escritura.

El dispositivo no contiene una tabla de particiones reconocida
Creación de una nueva etiqueta de disco de DOS con el identificador de disco 0x4a6812d4.

Comando (m para ayuda):

 

Ingrese n para crear la nueva partición:

 

Tipo de partición:

p primaria (0 primaria, 0 extendida, 4 libre)
e extendido
Seleccione (p predeterminado):

 

Presione la tecla Enter para seleccionar la partición primaria:

 

Usando la respuesta predeterminada p
Número de partición (1-4, predeterminado 1):

 

Hit the Enter key to select the default partition number:

 

Primer sector (2048-2097151, predeterminado 2048):
Usando el valor predeterminado 2048
Último sector, + sectores o + tamaño {K, M, G} (2048-2097151, predeterminado 2097151):

 

Presione la tecla Enter para seleccionar el último sector:

 

Usando el valor predeterminado 2097151
Se establece la partición 1 de tipo Linux y de tamaño 1023 MiB

Comando (m para ayuda): wq

 

Escriba wq para guardar los cambios y salir de fdisk:

 

La tabla de particiones se ha alterado!

Llamando a ioctl () para volver a leer la tabla de particiones.
Sincronizando discos.

 

Ejecute partprobe para informar al sistema de los cambios en la tabla de particiones:

 

sudo partprobe

 

Instale el paquete cryptsetup usando sudo:

 

sudo yum install cryptsetup -y

 

Utilice el comando cryptsetup luksFormat para cifrar el disco. Deberá escribir SÍ cuando se le solicite y también elegir e ingresar una frase de contraseña para cifrar el disco:

 

sudo cryptsetup luksFormat / dev / vdc1
¡ADVERTENCIA!
========
Esto sobrescribirá los datos en / dev / vdc1 de forma irrevocable.

¿Estás seguro? (Escriba sí en mayúsculas):

Ingrese la frase de contraseña para / dev / vdc1:
Verificar contraseña:

Utilice el comando cryptsetup luksOpen para asignar la partición cifrada a un dispositivo lógico. Por ejemplo, use encryptedvdc1 como nombre. También deberá ingresar la contr

 

sudo cryptsetup luksOpen / dev / vdc1 encriptadovdc1
Ingrese la frase de contraseña para / dev / vdc1:

 

La partición cifrada ahora está disponible en / dev / mapper / encryptedvdc1.

Cree un sistema de archivos XFS en la partición cifrada:

 

sudo mkfs.xfs /dev/mapper/encryptedvdc1

 

sudo mkdir /encrypted

 

Utilice el comando cryptsetup luksClose para bloquear la partición:

cryptsetup luksClose encryptedvdc1

 

Install the Clevis packages using sudo:

 sudo yum install clevis clevis-luks clevis-dracut -y

 

Modifique / etc / crypttab para abrir el volumen cifrado en el momento del arranque:

sudo vim /etc/crypttab

 

Agregue la siguiente línea:

encryptedvdc1 /dev/vdc1 none _netdev

 

Modifique / etc / fstab para montar automáticamente el volumen cifrado durante un reinicio o en el momento del inicio:

sudo vim /etc/fstab

 

Agregue la siguiente línea:

/dev/mapper/encryptedvdc1 /encrypted xfs _netdev 1 2

 

Para este ejemplo, suponga que la dirección IP del servidor Tang es 192.168.1.20. También puede utilizar el nombre de host o el dominio si lo prefiere.

Ejecute el siguiente comando de horquilla:

 

sudo clevis bind luks -d / dev / vdc1 tang '{"url": "http://192.168.1.20"}'
El anuncio contiene las siguientes claves de firma:

rwA2BAITfYLuyNiIeYUMBzkhk7M

¿Deseas confiar en estas claves? [ynYN] Y
Ingrese la contraseña LUKS existente:

 

Escriba Y para aceptar las claves del servidor Tang y proporcione la contraseña LUKS existente para la configuración inicial.

Habilite clevis-luks-askpass.path a través de systemctl para evitar que se le solicite la contraseña para particiones que no sean root.

 

sudo systemctl enable clevis-luks-askpass.path

 

El cliente está instalado. Ahora, cada vez que reinicia el servidor, el disco cifrado debería descifrarse y montarse automáticamente recuperando las claves del servidor Tang.

Si el servidor Tang no está disponible por algún motivo, deberá proporcionar la frase de contraseña manualmente para descifrar y montar la partición.

 

 

PUEDE BUSCAR MAS INFORMACIÓN RELEVANTE SOBRE EL TEMA JUSTO AQUI
Published in GNU/Linux