24.12.07

Datos seguros con sistema de ficheros encriptado

Para el administrador de sistemas es esencial el uso de un "password ring", tal como ZSafe, MyPassWordSafe o KeyPass, entre otros. Pero desde que la LOPD es ley, mantener a salvo datos sensibles de clientes, buzones de contactos o documentos bancarios es una tarea prioritaria.
Una solución muy elegante para estos casos, en lugar de encriptar el sistema de ficheros al completo, es crear un sistema del tipo loopback, mantenerlo cifrado y montarlo/desmontarlo según sea necesario.
Veamos los pasos a seguir para conseguirlo:

1) Cargar los módulos de cifrado

modprobe cryptoloop
modprobe aes

(si no se dispone de ellos, se bajan precompilados para kernels de stock usando apt-get)

2) Crear la imagen. En este ejemplo le indicamos que tendrá un tamaño inicial de 100Mb (bs=1MB count=100)

dd if=/dev/urandom of=cryto_fs.img bs=1M count=100

3) Asociar la imagen creada al sistema loopback e indicarle que va a estar cifrada con AES 128bit

losetup -e aes /dev/loop0 crypto_fs.img
Password:

4) Formatear en el sistema de ficheros preferido

mkfs -t ext3 /dev/loop0

5) Montar en el directorio de trabajo seleccionado

mount /dev/loop0
mount -o loop,encryption=aes crypto_fs.img /home/jose/datos_sensibles/

En este punto, nos pedirá la contraseña de cifrado y podremos comenzar a trabajar con nuestro sistema de ficheros seguro.

La única pega es que para este tipo de ficheros, no nos funcionará el montado en arranque mediante fstab (tendremos que facilitar la contraseña igual), lo cual, aunque incordie, es una medida de seguridad de lo más obvio.

No hay comentarios: