Soldat's log

Simplemente otro blog personal

Cifrando una partición con cryptsetup

con 4 comentarios

Disponemos de un ordenador portátil (en este caso concreto una Kubuntu Gutsy) con una partición destinada a /home que queremos cifrar.

Esta solución no es de las más seguras, quedando por tratar temas importantes como el cifrado de swap, controlar la integridad del sistema y el correcto manejo de los ficheros temporales.

Los pasos son los siguientes:

  1. Ciframos la partición física con crypsetup y LUKS: 
    # cryptsetup luksFormat /dev/sda6
  2. Mapeamos lógicamente el dispositivo descifrado: 
    # cryptsetup luksOpen /dev/sda6 home
  3. Trabajamos como si fuera una partición normal: 
    # mkfs.ext3 /dev/mapper/home
# mount -t ext3 /dev/mapper/home /home

Para realizar el montaje automático de la partición en el arranque es necesario modificar los ficheros /etc/crypttab y /etc/fstab:

  • crypttab: 
    # <target name> <source device>         <key file>      <options>
home    /dev/sda6       none    luks
  • fstab: 
    /dev/mapper/home        /home   ext3    defaults        0       2

Con la configuración mostrada se pedirá la contraseña en el momento del arranque.

Podéis encontrar ejemplos más interesantes en la documentación de LUKS o simplemente buscando por Google.

Escrito por chernando

2007/09/17 a 18:50

Escrito en *NIX, Seguridad

Etiquetado con , , ,

«
»

4 comentarios

Suscríbete a los comentarios mediante RSS.

  1. Interesante, solo una pregunta: ¿no repercute en el rendimiento de acceso (lectura/escritura)?

    Saludos

    vududevil

    2008/06/05 a 6:18

    Responder

  2. Sí, se sufre un pequeño impacto en el rendimiento. Es como montar un RAID5 por software, alguien va a tener que sufrir la sobrecarga. La decisión está entre velocidad o protección.

    He estado buscando alguna estadística sobre rendimiento y únicamente he podido encontrar esta:
    http://www.fsckin.com/tag/cryptsetup/
    en resumen se puede sufrir una pérdida de rendimiento entre 5 y 10% frente a un sistema no cifrado.

    chernando

    2008/06/06 a 12:59

    Responder

  3. Probando con hdparm la misma partici’on cifrada y no cifrada (ext3) no vi ninguna diferencia sustancial, de hecho, en las muchas pruebas que hice, la partici’on con luks estuvo un 60% encima de la no cifrada, es decir, que de 10 pruebas que hice, en seis oportunidades la partici’on cifrada respondi’o mejor que la no cifrada, (casi nada diferencia) al igual que en las otras 4 en las que anduvo m’as r’apido la no cifrada la diferencia era ‘infima, tir’ando a rid’icula, as’i que para una portatil esto ser’ia mejor…

    Saludos

    Raul Odria

    2008/07/27 a 18:07

    Responder

  4. Raul:

    hdparm es una utilidad que habla directamente con el dispositivo físico, realmente has podido realizar pruebas de velocidad contra un sistema de ficheros?

    De hecho se suelen utilizar herramientas como bonnie.

    chernando

    2008/07/29 a 14:18

    Responder

Deja un comentario