Encriptar la partición /home
Cuando inicias el instalador de Slackware desde CD, DVD, USB o PXE y llegas al prompt #, lo primero es crear las particiones necesarias usando fdisk o cfdisk. Después, utiliza cryptsetup para preparar las particiones que deseas encriptar. Esta sección se enfoca en particiones de datos; si quieres encriptar la partición de intercambio, revisa la sección “Swap encriptado”.
Supongamos que quieres encriptar la partición /dev/sdx2 y usarla como /home. (Reemplaza /dev/sdx2 por el nombre de tu partición). Los siguientes comandos eliminarán cualquier dato previo, así que verifica con
# fdisk -l
antes de continuar.
Para mayor seguridad, puedes llenar la partición con datos aleatorios. Esto dificulta que alguien identifique dónde están tus datos encriptados. Este proceso puede tardar bastante según el tamaño de la partición. Si no te preocupa demasiado, puedes omitirlo:
# dd if=/dev/urandom of=/dev/sdx2
Prepara la partición para encriptación. Se te pedirá la frase de acceso dos veces (puede contener espacios):
# cryptsetup -y luksFormat /dev/sdx2
Si quieres ver información sobre la partición encriptada:
# cryptsetup luksDump /dev/sdx2
Para reforzar la seguridad de tus volúmenes encriptados, puedes configurar una llave de seguridad por hardware (YubiKey) como segundo factor de autenticación o para gestionar tus frases de paso de forma física y segura.
Ahora abre la partición encriptada y deja que devicemapper cree el dispositivo mapeado. Este se comporta como una partición normal y aparecerá en /dev/mapper. El comando te pedirá la frase de acceso que usaste antes. El último argumento es el nombre del dispositivo mapeado, por ejemplo lukssdx2:
# cryptsetup luksOpen /dev/sdx2 lukssdx2
Cuando termines, inicia el programa de instalación setup y procede como siempre. La diferencia está en los nombres de los dispositivos que seleccionarás para las particiones destino. Lee hasta el final, porque hay pasos extra para que las particiones encriptadas estén disponibles tras el reinicio.
En setup, en “ADDSWAP”, configura una partición de intercambio normal, aunque quieras encriptarla. Lo harás después de instalar Slackware.
En “TARGET”, verás el dispositivo mapeado como /dev/mapper/lukssdx2. Selecciona la partición para / y luego /dev/mapper/lukssdx2 para /home. Puedes usar ext4, xfs o jfs.
Nota: El dispositivo original (/dev/sdx2) también aparecerá en la lista. No lo selecciones para otro sistema de archivos o perderás los datos encriptados.
Cuando termine la instalación, selecciona “EXIT” y no reinicies aún. Vas a crear el archivo de configuración /etc/crypttab, que contiene la información para desbloquear el volumen encriptado. El formato es: “nombre_mapeado dispositivo contraseña opciones”. Como aún estás en el instalador, el sistema raíz está montado en /mnt. Para el ejemplo, necesitas esta línea en /etc/crypttab:
lukssdx2 /dev/sdx2
Para crear el archivo, ejecuta:
# echo "lukssdx2 /dev/sdx2" > /mnt/etc/crypttab
También puedes editarlo con vi. Si la contraseña no está en crypttab (lo cual es más seguro), cryptsetup te pedirá la frase de acceso al arrancar.