Instalar Debian cifrado.

Publicado el de debianotes

VirtualBox_debian_02_02_2016_10_33_59

Este manual pretende ser una guía acerca de la instalación de Debian con las particiones /home, /var y swap cifradas. Esta es una práctica que, en el caso de equipos portátiles o que manejen información sensible, está más que recomendada.

El sistema de cifrado usado será el ofrecido en el propio instalador de Debian, es decir, LUKS (Linux Unified Key Setup), sobre las particiones citadas y gestionadas por LVM (Logical Volume Manager).

¿Y por qué sólo vamos a cifrar esas particiones y no todo el sistema? En primer lugar hay que tener en cuenta que un sistema cifrado afecta directamente al rendimiento del mismo pues, a diferencia de un sistema «en claro» (sin cifrar), sometemos el sistema a operaciones de cifrado-descifrado. Por ello, mejor limitar dicho cifrado a los directorios que puedan almacenar datos sensibles: /home (datos personales del usuario), /var (información de bases de datos, registros, datos de páginas visitadas, datos de correo…) y la memoria de intercambio (swap), donde pueden quedar datos comprometidos si se ha hecho uso de ésta.

Consideraciones previas:

  1. Suponemos la familiarización con la instalación de una distribución en modo texto (también podemos elegir modo gráfico) y la terminología y opciones empleadas. En caso contrario, mejor empezar por la guía de instalación de Debian.
  2. Las capturas de pantalla utilizadas corresponden a la actual versión de pruebas de Debian (Stretch), por lo que puede variar algo si la versión que estás instalando es otra.
  3. Este manual es una adaptación de Installing Debian 8 (Jessie) with LUKS Encrypted /home and /var Partitions.

Procedimiento:

1. Una vez iniciado desde la imagen de instalación y seleccionado el método deseado (en este caso Install), seleccionamos el lenguaje de instalación, país y configuración de teclado.

 

2. Tras la configuración de la interfaz de red, elegiremos el nombre de la máquina y el de dominio (importante si está conectado a una red local).

 

3. Configuración de usuarios y contraseñas.

 

4. Seleccionamos la ubicación respecto a nuestra zona horaria.

VirtualBox_debian_02_02_2016_10_40_15

 

5. Configuración del particionado del disco: elegiremos el método manual, y creamos una nueva tabla de particiones vacía en el disco.

 

6. Una vez creada la tabla de particiones crearemos nuestra primera partición, / (root), que no irá cifrada.

 

7. Configuramos la partición recién creada con las opciones deseadas.

VirtualBox_debian_02_02_2016_10_42_42

8. Una vez creada la partición de sistema, vamos a crear y configurar las particiones cifradas. En el espacio libre del disco creamos una nueva partición (utilizamos todo el espacio restante) de tipo lógica y como volumen lógico para cifrado.

9. Configuramos el volumen cifrado antes de crear en él las particiones.

10. A continuación el instalador nos preguntará si deseamos eliminar los datos (sobreescribiendo con datos aleatorios) antes del cifrado; a no ser que la instalación la estemos llevando a cabo en un disco nuevo, sin información, es recomendable acceder a éste.

Una vez completado, nos solicitará una contraseña para el volumen cifrado.

11. Configuración del gestor de volúmenes lógicos y creación de un grupo de volúmenes bajo el que crearemos los volúmenes cifrados.

12. Creamos los volúmenes lógicos para /home, …

/var

… y finalizamos con swap.

13. Configuramos los volúmenes recién creados.

Empezamos con /home, …

… seguimos con swap

… y finalizamos con /var.

14. Completamos el particionado verificando los nuevos cambios en el disco.

15. A partir de este momento, continuaremos con los pasos habituales de la instalación del sistema.

16. Una vez completada la instalación y reiniciado el sistema, éste nos solicitará la contraseña de cifrado para montar los correspondientes volúmenes y descifrarlos.

VirtualBox_debian_02_02_2016_11_10_33

Con esto damos por concluida la instalación de nuestra Debian con volúmenes cifrados. He de advertir que, en el artículo que he usado como fuente, terminan configurando la opción de desbloqueo y montado automático de las particiones cifradas en el arranque, en principio, para facilitar la gestión remota (p.e. vía SSH) sin tener que estar introduciendo previamente la clave de acceso. Para ello almacena en un directorio del sistema la clave de acceso (cifrada). He decidido obviar esta parte debido a que es una opción (el acceso remoto) que no contemplo para mi portátil.

Seguramente haya otras formas, y tal vez mejores, de realizar este proceso. Cualquier comentario al respecto será bienvenido.

2 comentarios en “Instalar Debian cifrado.

    1. Muy buenas… Sí; supongo que si yo hubiera cifrado también la partición del sistema, no lo notaría. Imagino que en máquinas que requieran de un proceso más constante que el que le pueda exigir un simple usuario de escritorio (yo), pueda notarse la diferencia. Aún así, sería cuestión de analizar un determinado proceso en un sistema cifrado frente a otro sin cifrar y compararlos.
      Gracias a ti por el comentario y un saludo desde el otro lado del charco.

      Me gusta

Deja un comentario