Página 2 de 5 PrimerPrimer 12345 ÚltimoÚltimo
Resultados 11 al 20 de 46

Tema: Cifrar discos y particiones en LINUX, LVM, VG, LV

  1. #11
    El señor de los forillos Avatar de Burt
    Ubicación
    Alt Penedès
    Mensajes
    4,584

    Predeterminado Re: ¿Como puedo encriptar el disco duro sin formatear?

    Este hilo lo guardaré como tutorial de muchas cosas!, gran aportación a la comunidad, seguro que le sirve a más gente.

    Yo ando estos días con el tema de encriptar la carpeta personal de /home con fscrypt. Fracaso tras fracaso xD. Por supuesto no lo he estoy probando sobre mi equipo principal, sino en VMs y en el PC secundario.

    He seguido el Archlinux de fscrypt que me pusiste y creo que mi problema es que no configuro eso del PAM, que por lo visto sirve para desbloquear los directorios al loguearse. Concretamente lo que me ocurre es que lo configuro todo, compruebo que efectivamente mi carpeta de usuario de /home está encriptada, reinicio el PC, paso la pantalla del Grub, me logueo pero entonces se queda la pantalla en negro, no paso de ahí, siempre me ocurre lo mismo y acabo borrando las intalaciones en Virtual Box y utilizando las que he clonado previamente para volver a intentarlo.

    Como se dice en el punto 5 del enlace, cuando se ha creado el directorio "temporal" donde copias el contenido de tu /home/user,
    Código:
    # cp -a -T /home/user /home/newhome
    y para comprobar si el directorio se está debloqueando automáticamente al reiniciar sesión antes de cambiarlo, se recomienda hacer un reboot y comprobar que no esté bloquado:

    Código:
    $ fscrypt status /home/newhome
    
    "/home/newhome" is encrypted with fscrypt.
    
    Policy:   d80f252996aae181204403043b0ada25
    Options:  padding:32 contents:AES_256_XTS filenames:AES_256_CTS policy_version:2
    Unlocked: Yes
    
    Protected with 1 protector:
    PROTECTOR         LINKED  DESCRIPTION
    5952c84ebaf0f98d  No      login protector for testuser
    pero en mi caso, al hacer esto, siempe aparece Unlocked: NO aunque antes del reinicio vea que sí está desbloqueado, es al reinciar que se bloquea. Por eso creo que el problema lo tengo con PAM

    Siguiendo el Archlinux de fscrypt, dice que debo añadir una serie de lineas al fichero /etc/pam.d/system-login, pero ese sytem-log no está en las distribuciones que uso para probar la encriptación, ni en Kubuntu, ni en Ubuntu, ni en KDE neon.
    En Ubuntu quizás sea el fichero /etc/pam.d/gdm-password y en Kubuntu/KDE neon supongo /etc/pam.d/sddm, (aunque no estoy seguro de que sean estos ficheros) pero he añadido algunas de las lineas mencionadas y parece no funcionar o algo hago mal.

    He encontrado este tutorial de fscrypt (de lo poco que se encuentra en la red, por cierto) y para configurar PAM se comenta de ejecutar sudo pam-auth-update pero después de darle a OK, no veo que haga nada..

    Así que voy indagando, a ver si doy con la solución o puedes arrojarme luz sobre el tema.

    Un saludo


    EDITO:
    He visto esto en github https://github.com/google/fscrypt#en...bian-or-ubuntu sobre PAM en sistemas Debian/Ubuntu, pero no sé bien que debo hacer porque también comenta de hacer sudo pam-auth-update pero después...
    Comentar que yo fscrypt lo instalo desde sudo apt install fscrypt y no compilándolo...
    Última edición por Burt; 20/04/2023 a las 00:45

  2. #12
    El señor de los forillos Avatar de Burt
    Ubicación
    Alt Penedès
    Mensajes
    4,584

    Predeterminado Re: ¿Como puedo encriptar el disco duro sin formatear?

    Bueno, creo que lo he conseguido!!

    Parece que problema era que tenía que instalar esta librería:
    Código:
    libpam-fscrypt
    que según este link https://github.com/google/fscrypt#en...bian-or-ubuntu te instala ese fichero en /usr/share/pam-configs/fscrypt

    No he tenido que editar ningún archivo de PAM ni nada.

    Tengo que hacer más pruebas y confirmaré si todo funciona correctamente!!

    Un saludo.

  3. #13

    Predeterminado Re: ¿Como puedo encriptar el disco duro sin formatear?

    Hola Burt!! Perfecto, venia comentarte eso mismo.

    La verdad que la wiki de arch es oro, pero muchas veces hay que cogerla con pinzas ya que no todo es extrapolable. Como en ubuntu vi que no existian las rutas que mencionabas hice como tu, mire en la web oficial de fscrypt lo del modulo pam:

    The official libpam-fscrypt package for Debian (and Debian derivatives such as Ubuntu) will install a configuration file for Debian's PAM configuration framework to /usr/share/pam-configs/fscrypt. This file contains reasonable defaults for the PAM module. To automatically apply these defaults, run sudo pam-auth-update and follow the on-screen instructions.

    Justo lo que has comentado.

    En una maquina lxd hice las pruebas, que por cierto, este proyecto de canonical para lanzar imagenes cloud de ubuntu ya sea del tipo contenedor de sistema o maquinas virtual esta genial (te ahorras el tipico hypervisor como virtualbox, qemu/kvm y hacer todo el proceso de instalacion):

    root@:~# time lxc init ubuntu:jammy/amd64 fscrypt --vm
    Creating fscrypt

    real 0m6,432s
    user 0m0,053s
    sys 0m0,049s

    En 6 segunos la maquina funcionando (La primera vez que creas una VM con esa imagen tarda algo mas, ya que tiene que descargarla).

    # Arrancamos
    root@:~# lxc start fscrypt
    root@:~# lxc list
    +---------+---------+------------------------+------+-----------------+-----------+
    | NAME | STATE | IPV4 | IPV6 | TYPE | SNAPSHOTS |
    +---------+---------+------------------------+------+-----------------+-----------+
    +---------+---------+------------------------+------+-----------------+-----------+
    | fscrypt | RUNNING | 192.168.2.236 (enp5s0) | | VIRTUAL-MACHINE | 0 |
    +---------+---------+------------------------+------+-----------------+-----------+

    Entramos dentro de la vm, acceso root por defecto.
    root@:~# lxc exec fscrypt bash
    root@fscrypt:~#

    root@fscrypt:~# lsb_release -a
    No LSB modules are available.
    Distributor ID: Ubuntu
    Description: Ubuntu 22.04.2 LTS
    Release: 22.04
    Codename: jammy


    Habilito un dispositivo virtual para probar:

    root@fscrypt:~# truncate -s1G test.img
    root@fscrypt:~# losetup -Pf --show test.img
    /dev/loop3
    root@fscrypt:~# mkfs.ext4 -O encrypt /dev/loop3
    root@fscrypt:~# mkdir /srv/fscrypt
    root@fscrypt:~# mount /dev/loop3 /srv/fscrypt/

    root@fscrypt:~# apt update && apt install fscrypt libpam-fscrypt
    root@fscrypt:~# pam-auth-update (acepto los defaults)
    root@fscrypt:~# fscrypt setup
    root@fscrypt:~# fscrypt setup /srv/fscrypt/
    root@fscrypt:~# mkdir /srv/fscrypt/directorio-crypt

    Le pongo pass a la cuenta de root

    root@fscrypt:~# passwd root
    root@fscrypt:~# fscrypt encrypt /srv/fscrypt/directorio-crypt/ --user=root -> elijo el metodo login pam
    root@fscrypt:~# fscrypt status /srv/fscrypt/directorio-crypt/ -> Unlocked: Yes

    Monto el loop al arranque en la vm en /etc/fstab y salgo de la misma -> /root/test.img /srv/fscrypt/ ext4 defaults,loop

    root@fscrypt:~# exit

    De vuelta en el host reinicio la maquina para que se monte el dispositivo y la carpeta que contiene dentro y hacemos login:
    root@:~# lxc restart fscrypt
    root@:~# lxc exec fscrypt login
    fscrypt login: root
    Password:
    Welcome to Ubuntu 22.04.2 LTS (GNU/Linux 5.15.0-1030-kvm x86_64)

    root@fscrypt:~# fscrypt status /srv/fscrypt/directorio-crypt/
    "/srv/fscrypt/directorio-crypt/" is encrypted with fscrypt.
    Unlocked: Yes

    Un saludo!

  4. #14
    El señor de los forillos Avatar de Burt
    Ubicación
    Alt Penedès
    Mensajes
    4,584

    Exclamation Re: ¿Como puedo encriptar el disco duro sin formatear?

    @UltimaNeurona, queria pedirte un consejo.

    Resulta que estaba haciendo pruebas para instalar KDE neon con la encriptación de inicio, pero me encuentro con un problema que por lo visto hace años que se arrastra y no se ha solucionado. Cuando inicio la instalación mediante el instalador Calamares que usa Neon, eligo encriptar la partición / y la de /home, las dos con LUKS2, pero el instalador crashea. Como digo, parece que es un problema conocido, así que poco puedo hacer, no puedo encriptar el sistema de esta manera. Lo que sí me permite es encriptar la instalación con LUKS, la versión anterior, pero entiendo que no es la mejor opción.

    Entonces he pensado en hacer una instalación normal con:
    /boot/efi fat32
    boot ext4
    / ext4
    /home ext4

    Una vez hecha esta instalación, encriptar la carpeta /home con fscrypt (lo que hablamos anteriormente). El problema de seguridad que veo aquí es que como puede cambiarse la contraseña de usuario editando el grub, igualmente podrían acceder a mi carpeta /home ya que habrían iniciado sesión sin mayor problema. Lo que he pensado es añadirle contraseña al grub, con lo cual ya no podrían editar mi contraseña de usuario y no podrían iniciar sesión de ninguna manera. ¿Como lo ves?, ¿es suficientemente segura esta configuración o habría alguna alternativa?

    Un saludo.

  5. #15

    Predeterminado Re: ¿Como puedo encriptar el disco duro sin formatear?

    Hola Burt.

    Para evitar el problema que comentas podrias probar a presentar el disco ya particionado y encriptado a calamares. De esta forma evitas hacer el particionado desde el instalador.

    En el post anterior que puse sobre la instalacion de ubuntu lo hice de esta forma. Primero particione el disco y lo encripte para posteriormente iniciar la instalacion, de tal forma que al llegar al punto del particionado del instalador el disco ya esta listo para indicar los puntos de montaje.

    El live de ubuntu te da la opcion de "Instalar" o "Probar". El particionado previo lo hago desde "Probar", y una vez hecho lanzo el instalador (echale un ojo de nuevo al post de la instalacion).
    Si calamares no tiene la opcion de probar, puedes iniciar cualquier live y hacer el particionado previamente.

    Esto que te cuento quizas no te sirva especificamente en neon y puede que una vez que llegues al particionado del instalador este continue crasheando (esto sucede tambien en ubuntu server por ejemplo. Si particionamos y encriptamos el disco previamente para luego mostrarselo al instalador, crashea. Sin embargo si particionas y encriptas desde el instalador funciona perfectamente).

    Con los ladrillazos que suelto a lo mejor no viste lo que te puse en anteriores posts sobre la consola de emergencia/recovery que se lanza desde grub:

    La shell del usuario root en el modo recuperacion de ubuntu no tiene password pero se la puedes poner. Simplemente inicia el sistema, haz un sudo -i para obtener shell de root y teclea passwd para establecer contraseña en esa cuenta.
    Una vez arranques nuevamente en esta consola de recuperacion e intentes obtener shell te pedira la contraseña de root.

    Este modo esta pensado asi, sin password, un modo en el que tenemos acceso fisico al equipo y hemos olvidado el password de root. Normalmente no se hace fde (full disk encryption) sino que instalas el sistema de forma tradicional que ocupa unos pocos GB y luego ya tendras a parte una particion o disco encriptado montado por ejemplo en /datos o /backups. Aunque entres a la consola de recuperacion como root, para montar esa particion o disco encriptado se necesita un password.


    Como te digo se soluciona poniendole password al usuario root. Ademas, si tienes encriptado el disco completamente tambien te pedira password para montar la particion raiz y acceder a la consola de recuperacion.

    Un saludo!.

  6. #16

    Predeterminado Re: ¿Como puedo encriptar el disco duro sin formatear?

    Tras pruebas varias, ha costado:

    root@neon:~#cryptsetup luksDump /dev/vda3
    LUKS header information
    Version: 2

    Yeahh




    En cuanto saque tiempo pongo el procedimiento.
    Última edición por UltimaNeurona; 11/05/2023 a las 11:23

  7. #17
    El señor de los forillos Avatar de Burt
    Ubicación
    Alt Penedès
    Mensajes
    4,584

    Predeterminado Re: ¿Como puedo encriptar el disco duro sin formatear?

    @UltimaNeurona, muchas gracias!
    A ver si me miro los anteriores post con más detenimiento, es posible que me halla perdido algo, hay cosas con las que me pierdo un poco, pero no te culpo! xD
    Igual hago eso, le pongo contraseña a root y encripto solo /home y tema resuelto.

    Un saludo.

  8. #18

    Predeterminado Re: ¿Como puedo encriptar el disco duro sin formatear?

    Denada @Burt, no hay de que!.

    Como te comente ayer, tras realizar varias pruebas consegui instalar KDE Neon con luks2. Fue trabajoso, porque como bien indicas la mayoria de combinaciones crashean:

    - Si particionamos el disco desde el instalador y posteriormente seleccionamos la particion -> formatear en ext4 -> asignar punto de montaje y marcar casilla encriptar: Instalacion correcta. La pega es que como indicas, KDE Neon encripta con luks1.

    - Si particionamos el disco desde el instalador y posteriormente seleccionamos la particion -> formatear en luks2 -> asignar punto de montaje -> Desaparece la casilla encriptar y ni si quiera te pide password para la encriptacion -> Si damos a siguiente para iniciar la instalacion crashea.

    - Si particionamos el disco desde la consola, encriptamos la particion raiz, abrimos esta particion encriptada y la formateamos en ext4 -> Cuando posteriormente presentamos todo esto al instalador en la seccion particionado manual lo detecta, pero si damos instalar crashea y borra luks.

    - La siguiente probatura fue usar lo anterior pero una vez abierto el dispositivo dm-crypt, ponerle encima LVM y crear un volumen logico para el sistema raiz. Tambien crashea! pero veo que el instalador lo que hace es desactivar LVM para intentar crearlo de nuevo cuando ya esta creado.

    Hay un bug reportado al respecto de estos dos ultimos puntos desde hace mas de dos años: Calamares closes LUKS and/or LVM device before trying to install to it

    La solucion es dejar un comando corriendo de fondo para que calamares no cierre el volumen logico, y entonces, arrancar la instalacion con este comando ejecutandose. De esta forma una vez lleguamos al particionado calamares no desactiva LVM:


    1 - Arrancamos el equipo en modo UEFI con el live-usb de neon:

    Abrimos una consola y obtenemos root.
    Con lsblk vemos que el disco sobre el cual vamos a actuar es /dev/vda de 25G y la herramienta que utilizaremos para el particionado es gdisk:

    Pulsamos la tecla "n" y e intro, de esta forma le indicamos que queremos crear una nueva particion -> numero de particion (numero 1 default) -> enter -> Primer sector default -> enter -> ultimo sector +1G para que la particion ocupe 1GB.
    Esta sera para ESP por tanto codigo de particion: ef00




    2 - Ya hemos creado la pimera particion, de nuevo hacemos el proceso de pulsar n para crear la segunda y sucesivas.

    Solo creare dos mas, n -> numero 2 -> first sector default -> last sector +2G -> tipo 8300 -> esta sera para /boot
    n -> numero 3 -> first sector default -> las sector default (todo el espacio) -> tipo 8309 -> esta sera para encriptarla, poner lvm y el raiz / encima de todo.

    Finalmente pulsamos p (print) para ver un resumen:




    3 - Escribimos los cambios en gdisk con w y confirmamos pulsando Y:




    4 - Formateamos la particion ESP (vda1) en FAT32, formateamos la particion para boot (vda2) en ext4, encriptamos la tercera particion (vda3) con luks y la abrimos para poder trabajar con ella (ira a /dev/mapper/luks)





    EDIT: Se editan las capturas de los pasos 5 y 6 debido a que el orden de las anteriores estaba invertido, y ademas, el comando de formatear se aplicaba sobre el dispositivo dm-crypt /dev/mapper/luks
    Esto es incorrecto, primero hay que crear la estructura lvm y posteriormente formatear el volumen logico /dev/sysvg/rootlv que va a contener el sistema de archivos raiz y NO el dispositivo dm-crypt /dev/mapper/luks
    Aqui estan las anteriores 5 y 6

    5 - Comprobamos que la particion encriptada efectivamente utiliza luks2:




    6 - Creamos el volumen fisico sobre /dev/mapper/luks, el grupo (le puse sysvg) y el volumen logico rootlv para la raiz. Comprobamos posteriormente con pvs, vgs y lvs y formateamos el volumen logico rootlv que contendra el sistema de archivos para la raiz / :

    Nota: En algunas capturas posteriores, como la del montaje del volumen logico o las del final tras la instalacion, aparece el volumen logico como "rootfs" en vez de como rootlv ya que en el comando lvcreate original puse rootfs en vez de rootlv.




    7 - Solo falta lanzar el comando para que el instalador no desactive y cierre LVM. Dicho comando se quedara corriendo en la consola durante la instalacion, por lo tanto no la cerramos:






    8 - Arrancamos la instalacion y llegamos al particionado.

    Aqui ojo, que ahora arriba en el desplegable detecta el disco propiamente dicho (vda) y ademas el grupo volumen sysvg. Actuaremos sobre los dos.
    Primero seleccionamos vda y particionado manual -> Siguiente

    Apareceran las 3 particiones creadas, seleccionamos vda1 -> editar -> no formatear porque ya lo esta -> montar en /boot/efi -> flag boot:






    Luego vamos a por la segunda, vda2 -> editar -> no formatear porque ya lo esta -> montar en /boot -> flag boot:




    Queda tal que asi. Ahora cambiamos a sysvg:




    Dentro de sysvg seleccionamos rootlv -> editar -> no formatear porque ya lo esta -> montar en /:




    9 - Ya con todo montado damos a siguiente para empezar la instalacion. Nuestro proceso continua de fondo:




    10 - Una vez que finalice desmarcamos "restart" y pulsamos "Done".




    11 - Rescatamos la consola y pulsamos ctrl+c para cancelar el comando que lanzamos.

    A diferencia de ubuntu no se precisa de chroot. Con un lsblk vemos que el sistema continua montado en /tmp/cala...
    Si entras a ese directorio se puede comprobar /tmp/cala../etc/fstab /tmp/cala../etc/crypttab y todo esta en orden.

    Desmontamos con umount -R /tmp/cala.. , apagamos, quitamos pen usb y encendemos de nuevo




    12 - Entramos al nuevo sistema, shell, cambiamos a root y le ponemos password. Comprobamos de nuevo luks2:



    Listo!!, un saludo y que vaya esa instalacion bien.
    Última edición por UltimaNeurona; 21/05/2023 a las 07:28

  9. #19
    El señor de los forillos Avatar de Burt
    Ubicación
    Alt Penedès
    Mensajes
    4,584

    Predeterminado Re: ¿Como puedo encriptar el disco duro sin formatear?

    @UltimaNeurona, no sé como agradecertelo!!
    A ver si durante el fin de semana puedo probar todo esto yo y comento!

    Un saludo.

  10. #20

    Predeterminado Re: ¿Como puedo encriptar el disco duro sin formatear?

    De nada!, espero que te sirva.

    Ya comentas que tal te ha ido, un saludo!

Página 2 de 5 PrimerPrimer 12345 ÚltimoÚltimo

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •