Las unidades de disco duro y las unidades SSD son fáciles de quitar de los portátiles u ordenadores. En tal caso, todas las medidas de seguridad implementadas por tu sistema operativo se irán por la ventana. Si tienes datos que deseas proteger, puedes crear un contenedor cifrado. Almacenarías archivos sensibles allí, mientras que almacenarías archivos no secretos en tus particiones regulares.
Es más fácil configurar una partición cifrada cuando instalas tu distribución de Linux. El instalador puede guiarte a través de esto. Pero si perdiste esa oportunidad, sigue los pasos de esta guía para crear tu bóveda secreta.
Necesitas una partición vacía para este proceso. Esto significa que no está formateada (no haya ningún sistema de archivos en él).
Si tus particiones formateadas actualmente ocupan todo el espacio libre en tu dispositivo de almacenamiento, necesitarás usar GParted para reducir una de ellas.
Advertencia: Es aconsejable realizar primero una copia de seguridad de los datos. Cuando reduces una partición y tu sistema de archivos, hay una pequeña cantidad de riesgo involucrado. El equipo puede fallar o perder energía durante el proceso. Esto podría dejar tu sistema de archivos en un estado inconsistente del que puede ser difícil recuperarse.
Sigue los primeros pasos de esta guía para cambiar el tamaño de una partición con GParted. O, si hay una partición que ya no necesitas, puedes eliminarla. (Después de liberar algo de espacio y que aparezca como “no asignado”, omite el resto de los pasos de la guía). Específicamente, no crees una partición formateada como ext4. En su lugar, haz clic con el botón derecho en el espacio no asignado, como se muestra en la guía. En la ventana de diálogo que se abre, verás un campo llamado “Sistema de archivos”. Normalmente, ext4 debería estar seleccionado como predeterminado aquí. Haz clic en él y cámbialo por “cleared”.
Después de seleccionar “Añadir”, haz clic en la marca de verificación verde para aplicar los cambios.
Instalar cryptsetup
Si has arrancado un sistema operativo en vivo para editar tus particiones con GParted, reinicia de nuevo en tu distribución principal de Linux.
Abre un emulador de terminal. En sistemas basados en Debian, como Ubuntu o Linux Mint, introduce este comando:
sudo apt update && sudo apt install cryptsetup
En distribuciones como Fedora o CentOS y otras que usan paquetes RPM en lugar de DEB, es posible que ya esté instalado el cryptsetup. Si no es así, puedes instalarlo con:
sudo yum install cryptsetup
En OpenSUSE, si cryptsetup no está preinstalado, puedes instalarlo con:
sudo zypper refresh && sudo zypper install cryptsetup
Y en las distribuciones basadas en Arch, usarías este comando:
sudo pacman -S cryptsetup
Encontrar el nombre del dispositivo de la partición
Introduce este comando:
lsblk
En el ejemplo de la imagen, “vda. “vda1” a “vda3” son particiones.
Para encontrar la partición que has preparado, recuerda el tamaño que le has reservado. Lo encontrarás entre las particiones sin puntos de montaje. En tu caso esto podría ser algo como “/dev/sda2” en lugar de “/dev/vda3”.
Cifrar la partición sobrescribirá los datos de la misma (si está presente), lo que significa que si te equivocas con en el nombre del dispositivo, podría terminar destruyendo los datos útiles. Para asegurarse de que el nombre del dispositivo es correcto, puedes instalar GParted y echar un vistazo a la distribución de tu partición. Los nombres de los dispositivos se mostrarán en la interfaz gráfica de usuario. No uses el nombre que viste en GParted cuando arrancaste desde el sistema en vivo (si lo hiciste). El diseño mostrado en el sistema en vivo será diferente del diseño que ves al arrancar desde tu distribución instalada.
Hay otra manera de asegurarse de que no escribes en el dispositivo de bloque equivocado. Intenta montarlo. Normalmente, debería negarse a hacerlo ya que no tiene un sistema de archivos.
Importante: recuerda sustituir siempre “vda3” por el nombre de tu dispositivo:
sudo mount /dev/vda3 /mnt
En tu caso, el comando podría ser sudo mount /dev/sda2 /mnt u otro.
Este es el mensaje que deberías recibir.
Agregar un encabezado LUKS a la partición
Una vez que estés seguro de que tienes el nombre correcto del dispositivo, agrega un encabezado LUKS a la partición.
sudo cryptsetup luksFormat /dev/vda3
Escribe “SI” y luego elige una contraseña segura para tu partición cifrada. Escribe la misma contraseña cuando se te pida que verifiques la frase de contraseña.
Crear un Sistema de Archivos en la Partición
Debes asignar este dispositivo físico a un dispositivo virtual. Lo que se escribe en el dispositivo virtual se cifrará antes de almacenarse en el dispositivo físico.
sudo cryptsetup luksOpen /dev/vda3 encrypted-partition
La partición necesita un sistema de archivos para poder ser utilizada. Crea un sistema de archivos ext4 con este comando:
sudo mkfs.ext4 /dev/mapper/encrypted-partition
Montar partición cifrada
Crea el directorio donde montarás el sistema de ficheros desde la partición.
mkdir ~/encrypted-storage
Monta el sistema:
sudo mount /dev/mapper/encrypted-partition ~/encrypted-storage
Cambia a ese directorio:
cd ~/encrypted-storage
Por el momento, sólo el usuario root puede escribir aquí. Concede a tu usuario permiso para escribir en este sistema de ficheros convirtiéndolo en el propietario del directorio de nivel superior. Copia y pega todo el comando:
sudo chown $USER:$USER .
Restringir a otros usuarios la lectura o escritura en este directorio.
chmod o= .
En este punto, la mayoría de los administradores de archivos deberían mostrarle el nuevo dispositivo cifrado en la interfaz. Esto muestra cómo se ve en el gestor de archivos Thunar, el predeterminado utilizado en el entorno de escritorio XFCE.
Si el volumen no está montado, al hacer clic en él se te pedirá la contraseña del volumen y la contraseña de sudo. El volumen se montará automáticamente y podrás navegar por él. El punto de montaje será diferente de “~/encrypted-storage”. Podría ser algo como “/media/user/f42f3025-755d-4a71-95e0-37eaeb761730/,”
Esto no es importante; los permisos que estableciste anteriormente aún se aplican. Lo importante es recordar hacer clic con el botón derecho del ratón y desmontarlo cuando termines de trabajar con el volumen. Desmontar y cerrar el dispositivo virtual garantiza que nadie pueda leer los datos de la partición cifrada, ni siquiera tu sistema operativo.
Si, por alguna razón, tu gestor de archivos no soporta esta función, puedes montar desde el terminal.
sudo cryptsetup luksOpen /dev/vda3 encrypted-partition sudo mount /dev/mapper/encrypted-partition ~/encrypted-storage
Ahora puedes acceder al volumen yendo a “/home/username/encrypted-storage” en el administrador de archivos. Cuando termines, desmonta el sistema de archivos y cierra el dispositivo virtual:
cd && sudo umount /dev/mapper/encrypted-partition sudo cryptsetup luksClose /dev/mapper/encrypted-partition
