Como criptografar suas partições no Linux com dm-crypt

Cum să vă criptați partițiile pe Linux cu dm-crypt
⏱️ 6 min read

Os discos rígidos e SSDs são fáceis de remover de laptops ou computadores. Nesse caso, todas as medidas de segurança implementadas pelo seu sistema operacional saem pela janela. Se você tiver dados que deseja proteger, pode criar um contêiner criptografado. Você armazenaria arquivos confidenciais lá, enquanto armazenava arquivos não secretos em suas partições regulares.

É mais fácil configurar uma partição criptografada ao instalar sua distribuição Linux. O instalador pode guiá-lo por isso. Mas se você perdeu essa oportunidade, siga as etapas neste guia para criar seu cofre secreto.

Pré-requisitos

Você precisa de uma partição vazia para este processo. Isso significa que não está formatado (nenhum sistema de arquivos nele).

Se suas partições formatadas ocupam atualmente todo o espaço livre em seu dispositivo de armazenamento, você precisará usar o GParted para reduzir uma delas.

Atenção: É aconselhável fazer backup de seus dados primeiro. Quando você reduz uma partição e seu sistema de arquivos, há um pequeno risco envolvido. Seu computador pode travar ou perder energia durante o processo. Isso pode deixar seu sistema de arquivos em um estado inconsistente do qual pode ser difícil se recuperar.

Siga as primeiras etapas neste guia para redimensionar uma partição com GParted. Ou, se houver uma partição de que você não precisa mais, você pode excluí-la. (Depois de liberar algum espaço e ele aparecer como “não alocado”, pule o restante das etapas do guia.) Especificamente, não crie uma partição formatada como ext4. Em vez disso, clique com o botão direito no espaço não alocado, conforme mostrado no guia. Na janela de diálogo que se abre, você verá um campo denominado “Sistema de arquivos”. Normalmente, ext4 deve ser selecionado como padrão aqui. Clique nele e altere para “limpo”.

Depois de selecionar “Adicionar”, clique na marca de seleção verde para aplicar as alterações.

Instale o cryptsetup

Se você inicializou um sistema operacional ao vivo para editar suas partições com GParted, reinicie de volta em sua distribuição Linux principal.

Abra um emulador de terminal. Em sistemas baseados em Debian, como Ubuntu ou Linux Mint, insira este comando:

pacote de instalação de cryptsetup

Em distribuições como Fedora ou CentOS e outras que usam pacotes RPM em vez de DEB, o cryptsetup pode já estar instalado. Caso contrário, você pode instalá-lo com:

No OpenSUSE, se o cryptsetup não estiver pré-instalado, você pode instalá-lo com:

E em distribuições baseadas em Arch, você usaria este comando:

Encontre o nome do dispositivo de bloco de sua partição

Digite o seguinte comando:

cryptsetup-lsblk

No exemplo oferecido na imagem, o dispositivo de armazenamento é “vda”. “Vda1” ​​a “vda3” são partições.

Para encontrar a partição que preparou, lembre-se do tamanho que reservou para ela. Você o encontrará entre as partições sem pontos de montagem. No seu caso, pode ser algo como “/ dev / sda2” em vez de “/ dev / vda3.”

Criptografar a partição irá sobrescrever os dados nela (se houver), o que significa que se você errar o nome do dispositivo, poderá acabar destruindo dados úteis. Para ter certeza de obter o nome do dispositivo correto, você pode instalar o GParted e dar uma olhada no layout da partição. Os nomes dos dispositivos serão listados na interface gráfica do usuário. Não use o nome que você viu no GParted quando inicializou a partir do sistema live (se o fez). O layout mostrado no sistema live será diferente do layout que você vê ao inicializar a partir de sua distribuição instalada.

Existe outra maneira de garantir que você não escreva no dispositivo de bloco errado. Tente montá-lo. Normalmente, ele deve se recusar a fazer isso, pois não tem um sistema de arquivos nele.

Importante: lembre-se de sempre substituir “vda3” pelo nome do seu dispositivo:

No seu caso, o comando pode ser sudo mount /dev/sda2 /mnt ou outra coisa.

Esta é a mensagem que você deve receber.

cryptsetup-test-mount

Configurar Cabeçalho LUKS

Quando tiver certeza de que tem o nome de dispositivo correto, adicione um cabeçalho LUKS à partição.

Digite “SIM” e escolha uma senha forte para sua partição criptografada. Digite a mesma senha quando for solicitada a verificação da senha.

Crie um sistema de arquivos na partição

Você tem que mapear este dispositivo físico para um dispositivo virtual. O que é gravado no dispositivo virtual será criptografado antes de ser armazenado no dispositivo físico.

A partição precisa de um sistema de arquivos para ser utilizável. Crie um sistema de arquivos ext4 com este comando:

cryptsetup-make-ext4-filesystem

Montar partição criptografada

Crie o diretório onde montará o sistema de arquivos a partir da partição.

Monte o sistema de arquivos:

Mude para esse diretório:

No momento, apenas o usuário root pode escrever aqui. Dê ao seu usuário permissão para escrever neste sistema de arquivos, tornando-o o proprietário do diretório de nível superior. Copie e cole todo o comando, incluindo o “.” no fim.

Impedir que outros usuários leiam ou gravem neste diretório.

Neste ponto, a maioria dos gerenciadores de arquivos deve mostrar o novo dispositivo criptografado na interface. Isso mostra como fica no gerenciador de arquivos Thunar, o padrão usado no ambiente de desktop XFCE.

partição criptografada criptografada criptografada em thunar

Se o volume não estiver montado, ao clicar nele, será solicitada a senha do volume e a senha do sudo. O volume será montado automaticamente e você poderá navegar por ele. O ponto de montagem será diferente de “~ / encryption-storage.” Pode ser algo como “/ media / user / f42f3025-755d-4a71-95e0-37eaeb761730 /,”

Isso não é importante; as permissões definidas anteriormente ainda se aplicam. O importante é lembrar de clicar com o botão direito e desmontar ao terminar de trabalhar com o volume. Desmontar e fechar o dispositivo virtual garante que ninguém possa ler os dados da partição criptografada, nem mesmo seu sistema operacional.

Se, por algum motivo, seu gerenciador de arquivos não suportar esse recurso, você pode montar a partir do terminal.

Agora você pode acessar o volume indo para “/ home / nome de usuário / armazenamento criptografado” no gerenciador de arquivos. Quando terminar, desmonte o sistema de arquivos e feche o dispositivo virtual:

Conclusão

Agora você tem um cofre para seus arquivos importantes. Saber que ninguém pode ver o que você armazena deve lhe dar um pouco de paz de espírito.

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.

Você pode gostar...