Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Criptografia de “disco” no
linux
Uma abordagem newbie
Fernando Silva (@liquuid) http://liquuid.me
Por que criptografar o disco inteiro ?
Atualmente a quantidade de dados sensíveis gravadas no seu computador é
assustadora...
Desvantagens
Em alguns caso as operações de escrita ficam sensivelmente mais lentas.
Se perder a senha ou chave é melhor t...
Começando do jeito
certo....
Principais distros tem criptografia de disco
disponivelTodas as boas distribuições linux oferecem criptografia de disco in...
LVM com Luks
Criptografa as partições, quantas você desejar, usando uma senha única, ou
seja, ela deve ser compartilhada c...
ecryptfs-utils
Cada usuário tem seu home criptografado de forma independente, cada um
com sua chave, cada um com sua senha...
LVM+Luks + ecryptfs-utils
Usar os dois métodos pode ser uma boa idéia, mas paciência extra será
requerida, as operações de...
Migrando seus dados
para sistema
criptografado
ecryptfs-utils, very fácil
Instale os pacotes ecryptfs-utils e cryptsetup
Crie um usuário temporário, deslogue do seu usuá...
LVM + Luks
Complexo de implementar com o sistema já instalado, recomendo fazer uma
instalação limpa.
Pra se ter uma idéia:...
Bônus:
Usando gpg para criptografar arquivos soltos
Útil para publicar arquivos por ai sem ter que se preocupar muito se o conteú...
FIM
Mande um salve:
liquuid@gmail.com | http://liquuid.me | @liquuid
Upcoming SlideShare
Loading in …5
×

Crypto rave 2016: criptografia de disco inteiro

357 views

Published on

Vantagens e desvantagens de criptografar o disco inteiro de sua distro linux.

Published in: Software
  • Be the first to comment

  • Be the first to like this

Crypto rave 2016: criptografia de disco inteiro

  1. 1. Criptografia de “disco” no linux Uma abordagem newbie Fernando Silva (@liquuid) http://liquuid.me
  2. 2. Por que criptografar o disco inteiro ? Atualmente a quantidade de dados sensíveis gravadas no seu computador é assustadoramente alta, mesmo que você não saiba. Assistências técnicas, mesmo autorizadas, não são confiáveis. Seu notebook ou computador pode ser roubado à qualquer momento, e o ladrão não se importa com sua privacidade. Em alguns casos, garantia de que seu sistema não foi comprometido. Você vai dormir melhor, acredite.
  3. 3. Desvantagens Em alguns caso as operações de escrita ficam sensivelmente mais lentas. Se perder a senha ou chave é melhor ter backup dos dados. Operações de Un-delete de arquivos pode não ser possível em alguns casos.
  4. 4. Começando do jeito certo....
  5. 5. Principais distros tem criptografia de disco disponivelTodas as boas distribuições linux oferecem criptografia de disco inteiro já na instalação. Fedora, Debian e Antergos por exemplo oferecem suporte via LVM + Luks, todas as partições incluindo SWAP são criptografadas. Ubuntu e outras distros oferecem LVM+Luks e também usando ecryptfs, se usados em conjunto o sistema vira um cofre.
  6. 6. LVM com Luks Criptografa as partições, quantas você desejar, usando uma senha única, ou seja, ela deve ser compartilhada caso a máquina tenha mais de um usuário. O lado bom é que o sistema fica inutilizado até a introdução da senha. O lado ruim é que os dados ficam acessíveis para outros usuários, ou mesmo o root da máquina, mesmo que você não queira. Ideal para notebooks com um usuário só.
  7. 7. ecryptfs-utils Cada usuário tem seu home criptografado de forma independente, cada um com sua chave, cada um com sua senha. É possível trocar de senha, mas não de chave. Os dados só são decriptados no login O resto do sistema fica desprotegido, ficando sujeito a adulterações do sistema, por exemplo: É possível comprometer o usuário root da máquina e suas aplicações, e usa-los para extrair dados quando o usuário logar. O swap também fica desprotegido, tornando possível roubar a chave se souber o que procura.
  8. 8. LVM+Luks + ecryptfs-utils Usar os dois métodos pode ser uma boa idéia, mas paciência extra será requerida, as operações de I/O vão ser bem prejudicadas, nada que um bom SSD não resolva.
  9. 9. Migrando seus dados para sistema criptografado
  10. 10. ecryptfs-utils, very fácil Instale os pacotes ecryptfs-utils e cryptsetup Crie um usuário temporário, deslogue do seu usuário e logue com o temporário Coloque seu usuário no grupo ecryptfs Como root rode o comando: ecryptfs-migrate-home -u <usuário> Aguarde ele rodar a migração. Ao terminar logue com seu usuário principal antes de rebootar a máquina, ou a migração vai falhar e você vai perder os dados. Ao verificar que os dados foram migrados apague o diretório temporário, tipo:
  11. 11. LVM + Luks Complexo de implementar com o sistema já instalado, recomendo fazer uma instalação limpa. Pra se ter uma idéia: cryptsetup luksFormat /dev/sdX cryptsetup open /dev/sdaX cryptroot mkfs -t ext4 /dev/mapper/cryptroot mount -t ext4 /dev/mapper/cryptroot /mnt etc….
  12. 12. Bônus:
  13. 13. Usando gpg para criptografar arquivos soltos Útil para publicar arquivos por ai sem ter que se preocupar muito se o conteúdo vai vazar ou não. Um exemplo perfeito são os backups automáticos do seu servidor que ficam no S3 :-> Exemplo: gpg -c arquivo.txt Para decriptar basta usar: gpg arquivo.txt e digitar a senha correta.
  14. 14. FIM Mande um salve: liquuid@gmail.com | http://liquuid.me | @liquuid

×