sexta-feira, 11 de dezembro de 2015

Instalação Segura do Debian 8 com LVM e Criptografia de Disco


Neste artigo estarei abordando a instalação segura do sistema operacional Debian 8 Jessie ou Debian 7 Wheezy e seus derivados como o Kali Linux entre outros. Neste exemplo estarei fazendo a instalação de um servidor vindo de uma minimal ISO em um ambiente virtual, porém os passos podem ser reproduzidos em ambientes reais como servidores e computadores pessoais

Considerandos as informações acima estaremos lidando com dois tipos tipos de criptografia, sendo uma delas a nível de Disco onde estaremos instalando o sistema inteiro em um volume LVM criptografado inteiramente e logo abaixo em estaremos criando uma encriptação a nível de arquivo sobre tudo que se encontra dentro da partição /home/usuário.

As filesystem LVM normalmente são utilizadas para guardar aplicações que vão suportar muito storage ou bancos de dados que correm o risco de aumentar de tamanho, possibilitando a qualquer hora o administrador de sistemas acionar o "trunfo" da LVM, o aumento ou diminuição de espaço dinamicamente entre partições LVM sem necessariamente mexer em nada na aplicação, tornando tudo mais escalável. Porém outro recurso muito interessante desses volumes é a possibilidade de estender seus recursos a um nível de criptografia.

1. Instalando o Debian com Disco Cifrado com LVM

1.1. - Vamos instalar o servidor e prosseguir com a instalação normalmente:
Nao passo de definir as partições do disco, vamos selecionar a opção "Assistido - Usar disco inteiro e LVM criptografado" e selecionar o disco que queremos trabalhar. No caso estou usando um disco virtual de 8 GB apenas para demonstração em um ambiente controlado.




1.2. - Agora devemos escolher o esquema de particionamento. Até deve ser bem familiar pra você, pois  não mudou muita coisa de uma instalação normal pra essa. Os passos que vão diferenciar a construção de um disco virtual de um normal vão ser tratadas a partir daqui. Bom, existem duas formas de executar o passo a seguir: Uma delas é executar a instalação do sistema inteiro em uma unica partição e outra é separando manualmente o espaço da partição raiz e da Home. No caso necessito apenas instalar todas as pastas da raiz em uma única partição, então vamos escolher a opção "Todos os arquivos em uma unica partição" e em seguida gravar as mudanças no disco.




1.3. - Após aceitar as mudanças, o sistema irá executar uma especie de "Wipe" no disco afim de garantir a segurança dos dados presentes no mesmo até o momento. Esta etapa demora e é opcional e pode ser cancelada a qualquer momento. Vai de você...



1.4. -Agora será um passo importante, no qual iremos definir uma senha no disco criptografado. Essa senha será pedida logo no boot do sistema, após o "OK" do Boot Loader. É ela que vai manter nosso disco cifrado e seguro. Então informe e repita a mesma para executar a instalação. Depois disso o sistema irá nos mostrar uma "Árvore" com a estrutura do disco do servidor. Basta "Finalizar o particionamento e escrever as mudanças no disco" e continuar a instalação do sistema do modo convencional, selecionando os espelhos e pacotes adicionais se necessário.






No final da instalação, reinicie o servidor e aguarde o próximo boot. Logo após a chamada do bootloader e seleção do Kernel, será necessário informar a senha que criamos para o disco para iniciar a abertuda do volume criptografado e continuar com o boot do Linux


Pronto, agora já temos uma instalação efetuada sobre um volume cifrado no disco.


Criptografando o Diretório Home do Usuário 

Antes de mais nada, tendo em vista que você acabou de instalar o servidor e o mesmo está zerado, vamos efetuar uma geral na lista de pacotes do sistema e atualizar os pacotes já existentes para deixar tudo nos conformes e poder instalar os pacotes que iremos utilizar sem medo:
 # apt-get update ; apt-get upgrade  

agora vamos baixar o eCryptFS para encriptar nossa filesystem:
 # apt-get install ecryptfs-utils rsync    

Habilite a inicialização do mesmo no Kernel durante o inicio do sistema
 # modprobe ecryptfs  

Agora deslogue do seu usuário e logue como Root, se possível reinicie a máquina e em modo texto, digite:
 # ecryptfs-migrate-home -u matheus   
Informe e repita a senha do usuário. O sistema irá utilizar a mesma como chave para criptografar e descriptografar os itens da home.
Esse processo irá efetuar uma criptografia a nível de arquivo em todos os diretórios encontrados a partir do diretório home do usuário apontado, portanto se já houver muitos dados, talvez isso demore um pouco para terminar. Após ficar tudo ok, reinicie a máquina.  Após ela bootar, logue com seu usuário em modo texto e digite: 

 # ecryptfs-unwrap-passphrase  


SOBRE O AUTOR

Matheus Fidelis

http://msfidelis.github.io/

Power Ranger, Piloto de Helicópteros e Astronauta da NASA. Desenvolvedor Web PHP com foco em Backend e POO, Linux SysAdmin DevOps e Entusiasta Python. Criou esse site pra contribuir com a comunidade com coisas que aprende dentro de um setor maluco de TI :)

2 comentários:

  1. esse tutorial server para dist baseado no debian ?

    ResponderExcluir
  2. Se eu parar na etapa :
    "Pronto, agora já temos uma instalação efetuada sobre um volume cifrado no disco."
    Eu realmente preciso da 2ª parte?

    ResponderExcluir

 
Nanoshots | Open Source Security, Linux e Tutoriais © 2015 - Designed by Templateism.com