Como Criptografar Suas Partições no Linux com dm-crypt
Os discos rígidos e SSDs são fáceis de remover de laptops ou computadores. Nesse caso, todas as medidas de segurança implementadas pelo seu sistema operacional vão por água abaixo. Se você tem dados que deseja proteger, pode criar um contêiner criptografado. Você armazenaria arquivos sensíveis lá, enquanto armazena arquivos não secretos em suas partições regulares.
É mais fácil configurar uma partição criptografada quando você instala sua distribuição Linux. O instalador pode guiá-lo durante esse processo. Mas se você perdeu essa oportunidade, siga os passos deste guia para criar seu cofre secreto.
Leia também: Como Criptografar Arquivos no Linux Usando GPG, Ccrypt, Bcrypt e 7-Zip
Pré-requisitos
Você precisa de uma partição vazia para esse processo. Isso significa uma que não esteja formatada (sem sistema de arquivos nela).
Se suas partições formatadas ocupam atualmente todo o espaço livre em seu dispositivo de armazenamento, você precisará usar o GParted para reduzir o tamanho de uma delas.
Aviso: É prudente fazer backup de seus dados primeiro. Quando você reduz uma partição e seu sistema de arquivos, há um pequeno risco envolvido. Seu computador pode travar ou perder a energia durante o processo. Isso pode deixar seu sistema de arquivos em um estado inconsistente que pode ser difícil de recuperar.
Siga os primeiros passos deste guia para redimensionar uma partição com o GParted. Ou, se houver uma partição que você não precisa mais, você pode excluí-la. (Depois de liberar algum espaço e ele aparecer como “não alocado”, pule o resto dos passos do guia.) Especificamente, não crie uma partição formatada como ext4. Em vez disso, clique com o botão direito no espaço não alocado, como mostrado no guia. Na janela de diálogo que abre, você verá um campo rotulado como “Sistema de arquivos”. Normalmente, o ext4 deve estar selecionado como padrão aqui. Clique nele e mude para “limpo”.
Depois de selecionar “Adicionar”, clique na marca de verificação verde para aplicar as mudanças.
Instale o cryptsetup
Se você iniciou um sistema operacional ao vivo para editar suas partições com o GParted, reinicie no seu sistema Linux principal.
Abra um emulador de terminal. Em sistemas baseados em Debian, como Ubuntu ou Linux Mint, insira este comando:
sudo apt update && sudo apt install cryptsetup
Em distribuições como Fedora ou CentOS e outras que usam pacotes RPM em vez de DEB, o cryptsetup pode já estar instalado. Se não, você pode instalá-lo com:
sudo yum install cryptsetupNo OpenSUSE, se o cryptsetup não estiver pré-instalado, você pode instalá-lo com:
sudo zypper refresh && sudo zypper install cryptsetupE em distribuições baseadas em Arch, você usaria este comando:
sudo pacman -S cryptsetupEncontre o Nome do Dispositivo de Bloco da Sua Partição
Digite o seguinte comando:
lsblk
No exemplo mostrado na imagem, o dispositivo de armazenamento é “vda”. “vda1” a “vda3” são partições.
Para encontrar a partição que você preparou, lembre-se do tamanho que você reservou para ela. Você a encontrará entre as partições sem pontos de montagem. No seu caso, isso pode ser algo como “/dev/sda2” em vez de “/dev/vda3”.
Criptografar a partição irá sobrepor dados nela (se presentes), o que significa que se você errar o nome do dispositivo, poderá acabar destruindo dados úteis. Para ter certeza de que você obteve o nome do dispositivo corretamente, pode instalar o GParted e dar uma olhada na disposição de suas partições. Os nomes dos dispositivos serão listados na interface gráfica. Não use o nome que você viu no GParted quando inicializou do sistema ao vivo (se você fez). A disposição mostrada no sistema ao vivo será diferente da disposição que você vê ao inicializar da sua distribuição instalada.
Há outra maneira de garantir que você não escreva no dispositivo de bloco errado. Tente montá-lo. Normalmente, deve recusar fazer isso, pois não possui um sistema de arquivos nele.
Importante: lembre-se de sempre substituir “vda3” pelo nome do seu dispositivo:
sudo mount /dev/vda3 /mntNo seu caso, o comando pode ser sudo mount /dev/sda2 /mnt ou algo semelhante.
Esta é a mensagem que você deve obter.
Configurar o Cabeçalho LUKS
Uma vez que você esteja certo de que possui o nome do dispositivo correto, adicione um cabeçalho LUKS à partição.
sudo cryptsetup luksFormat /dev/vda3Digite “SIM” e depois escolha uma senha forte para sua partição criptografada. Digite a mesma senha quando solicitado a verificar a frase secreta.
Criar um Sistema de Arquivos na Partição
Você precisa mapear este dispositivo físico para um dispositivo virtual. O que é escrito no dispositivo virtual será criptografado antes de ser armazenado no dispositivo físico.
sudo cryptsetup luksOpen /dev/vda3 encrypted-partitionA partição precisa de um sistema de arquivos para ser utilizável. Crie um sistema de arquivos ext4 com este comando:
sudo mkfs.ext4 /dev/mapper/encrypted-partition
Montar Partição Criptografada
Crie o diretório onde você montará o sistema de arquivos da partição.
mkdir ~/encrypted-storageMonte o sistema de arquivos:
sudo mount /dev/mapper/encrypted-partition ~/encrypted-storageMude para esse diretório:
cd ~/encrypted-storageNeste momento, apenas o usuário root pode gravar aqui. Dê ao seu usuário permissão para gravar neste sistema de arquivos tornando-o o proprietário do diretório de nível superior. Copie e cole todo o comando, incluindo o “.” no final.
sudo chown $USER:$USER .Restringa outros usuários de ler ou escrever neste diretório.
chmod 700 .Neste ponto, a maioria dos gerenciadores de arquivos deve mostrar o novo dispositivo criptografado na interface. Isso mostra como aparece no gerenciador de arquivos Thunar, o padrão usado no ambiente de desktop XFCE.
Se o volume não estiver montado, quando você clicar nele, será solicitado a senha do volume e sua senha sudo. O volume será montado automaticamente e você poderá navegá-lo. O ponto de montagem será diferente de “~/encrypted-storage”. Pode ser algo como “/media/user/f42f3025-755d-4a71-95e0-37eaeb761730/“.
Isso não é importante; as permissões que você definiu anteriormente ainda se aplicam. O que é importante é lembrar de clicar com o botão direito e desmontar quando terminar de trabalhar com o volume. Desmontar e fechar o dispositivo virtual garante que ninguém possa ler os dados da partição criptografada, nem mesmo seu sistema operacional.
Se, por algum motivo, seu gerenciador de arquivos não suportar esse recurso, você pode montar a partir do terminal.
sudo cryptsetup luksOpen /dev/vda3 encrypted-partition
sudo mount /dev/mapper/encrypted-partition ~/encrypted-storageVocê pode agora acessar o volume indo para “/home/username/encrypted-storage” no gerenciador de arquivos. Quando terminar, desmontar o sistema de arquivos e fechar o dispositivo virtual:
cd && sudo umount /dev/mapper/encrypted-partition
sudo cryptsetup luksClose /dev/mapper/encrypted-partitionConclusão
Agora você tem um cofre para seus arquivos importantes. Saber que ninguém pode ver o que você armazena lá deve lhe dar um pouco de tranquilidade.
