Cifrado completo de la unidad con Debian 9.4 o Ubuntu 18.04 LTS

Este tutorial te mostrará paso a paso cómo encriptar una unidad completa con Cryptsetup en Debian 9.4 o Ubuntu 18.04 LTS (Bionic Beaver). La unidad que se encripta puede no formar parte de un volumen LVM.

Supuestos

1. La unidad que se va a encriptar no forma parte de LVM.

2. Ya se ha instalado cryptsetup

3. Ya conoces el dispositivo que deseas encriptar (en este ejemplo utilizaré /dev/sdb1)

4. Ya has guardado todos los datos de la unidad que quieres encriptar si no, lo perderás todo

5. Tienes que saber usar sudo o su –

Notas y advertencias

Ya has guardado todos y cada uno de los datos de la unidad que quieres encriptar de lo contrario lo perderás todo

El proceso que presento me ha funcionado. YMMV

Por favor, consulta los enlaces de referencia al final para obtener una visión completa de otras opciones y procesos, ya que este tutorial es una recopilación de estos enlaces para adaptarse a mis necesidades.

… y por último, Ya has guardado todos los datos de la unidad que quieres encriptar de lo contrario lo perderás todo

Y ahora, algo completamente diferente… El proceso:

Crea un archivo de claves para la autenticación – lo querrás si pretendes utilizar el montaje automático en el arranque:

dd if=/dev/urandom of=/root/drive_key bs=1024 count=4

Protege el archivo de claves para que sólo lo pueda leer el usuario root:

chmod 0400 /root/drive_key

Inicializa el sistema de archivos LUKS y utiliza el archivo de claves para autenticar en lugar de una contraseña:

cryptsetup -d=/root/drive_key -v luksFormat /dev/sdb1

Crea el mapeo LUKS utilizando el archivo de claves:

cryptsetup -d=/root/drive_key luksOpen /dev/sdb1 data

Crea tu sistema de archivos (yo uso ext4):

mkfs.ext4 /dev/mapper/data

Crea tu punto de montaje en el sistema (algunos utilizan /media):

mkdir /mnt/data

Monta el nuevo sistema de archivos en el punto de montaje:

mount /dev/mapper/data /mnt/data

Crea el mapeador para que fstab lo utilice añadiendo la siguiente línea a /etc/crypttab:

data /dev/sdb1 /root/drive_key luks

Añade el punto de montaje a /etc/fstab:

/dev/mapper/data /mnt/data ext4 defaults 0 2

Llegados a este punto, todo lo que tienes que hacer es reiniciar o utilizar mount -a. A mí me parece mucho más limpio simplemente reiniciar el sistema.

Esta configuración funciona muy bien tanto con Debian como con Ubuntu. Yo también he intercambiado esta configuración entre los dos.

Lo que esto significa es que, si creas una unidad encriptada como la descrita anteriormente en Debian (como yo he hecho con la 9.4), puedo montar la misma unidad en Ubuntu 18.04 siempre que utilice el mismo proceso y el mismo archivo clave descritos anteriormente.

La clave está en asegurarte de que al menos has hecho un tarball de tu directorio raíz (o al menos del archivo de claves) y lo has movido a la misma ubicación con los mismos derechos que en el sistema operativo anterior.

Enlaces de referencia para una mayor lectura:

  1. Cifrado del disco duro de Linux con LUKS

  2. Desbloquear automáticamente las unidades encriptadas por LUKS con un archivo de claves

  3. Cómo recuperar un disco encriptado con LUKS

Scroll al inicio