Nesse artigo será demonstrado como realizar a criptografia de partições.


Identificando e particionando o disco secundário:

 fdisk -l para listar os dispositivos de armazenamento conectados(SATA, USB...) ao servidor.



 No exemplo será usado um disco secundário novo de 8GB, identificado por /dev/sdb.

 fdisk /dev/sdb para selecionar o disco a ser particionado.


Realizar os comandos seguintes em sequência: tecle n para criar uma nova partição, depois tecle p para setar ela como primária, depois tecle 1 para setar como a partição default, e depois pode teclar enter até finalizar, por último tecle w para salvar o particionamento conforme imagem abaixo.



 fdisk -l novamente para identificar a partição criada para uso.

 A partição a ser usada no processo será a /dev/sdb1.



Instalando a aplicação para realizar a criptografia.


 Instale o pacote cryptsetup-luks. Este pacote contém o utilitário cryptsetup usado para configurar sistemas de   arquivos criptografados. 

 Execute: yum install cryptsetup-luks -y   

 Caso solicite a confirmação da instalação é só digitar y e teclar enter.


Criptografando a partição


 Criptografar a partição através do cryptsetup da seguinte maneira:

 Use o comando cryptsetup luksFormat para configurar a partição para criptografia. 

 O exemplo abaixo usa o comando cryptsetup luksFormat para criptografar a  partição /dev/sdb1.

 cryptsetup -y -v luksFormat /dev/sdb1



 Nota: O comando acima removerá todos os dados da partição que está sendo criptografada.


 O LUKS irá pedir que confirme com um yes(em uppercase), ou seja, assim: YES e tecle enter.


 Após isso, irá pedir para informar a senha de criptografia e logo em seguida para confirmar. 


 ATENÇÃO: Nunca deve-se perder ou esquecer as senhas de dispositivos criptografados, pois elas sempre serão   solicitadas na inicialização do sistema.


 Agora é preciso abrir a partição para poder trabalhar nela, isso faremos com o comando abaixo:

 cryptsetup luksOpen /dev/sdb1(partição criptografada) backup2



 IMPORTANTE: Observe que no final do comando tem a palavra backup2 mas não necessariamente precisa ser   igual, você pode colocar outro nome.


 Ao fazer um open na partição criptografada, será criado um “ponteiro” para o nome backup2 como mapeador de   dispositivo lógico, montado na partição, ou seja, será encontrado assim: /dev/mapper/backup2. Porém, esse  ponteiro /dev/mapper/backup2 será excluído após desmontarmos essa partição ou quando desligar ou reiniciar a   máquina, para essas configurações se manterem  será preciso configurar 2(dois) arquivos que veremos logo a   seguir.


 Obs: A senha que você colocou para criptografar irá ser requerida ao executar o luksOpen, então informe-a para   abrir a partição criptografada.


Formatando a partição criptografada

 Com a partição criptografada já aberta, é preciso formatar o seu mapeamento(/dev/mapper/backup2) para o tipo   ext4. 

 Para isso faça: mkfs.ext4 /dev/mapper/backup2


Montando a partição

 Agora, vamos montar essa partição formatada e logo após isso, estará pronta para uso.

 mount /dev/mapper/backup2 /backup2/


 

Nota: /backup2 é um diretório que foi criado no sistema para usar na montagem da partição criptografada.

 

Desmontando a partição 

 umount /backup2

 Após desmontar deve executar o cryptsetup close /dev/mapper/backup2 para fechar a partição.


Configurando arquivos para montagem automática

 Como foi mencionado anteriormente, a partição aberta com o cryptsetup(/dev/mapper/backup2) não fica   permanente, então precisamos criar ou editar 2 (dois) arquivos no /etc.


Arquivo Crypttab

 O arquivo /etc/crypttab é responsável por informar ao sistema que existe um dispositivo criptografado. 

 Identifique o UUID da partição criptografada com o comando abaixo:

 lsblk -f | grep "cryp"


 

Caso o arquivo /etc/crypttab não exista, crie-o e adicione as informações seguintes:

 Execute: vim /etc/crypttab

 Insira a linha: backup2 UUID=8520941e-d14a-4fc2-ae38-655103179f08 none



Nota: O número de UUID é o que foi identificado no comando lsblk para a partição criptografada.


Arquivo Fstab

 O arquivo /etc/fstab é responsável por carregar todo dispositivo na inicialização da máquina. Ao criarmos(ou   editarmos) o arquivo /etc/crypttab, precisamos  informar o mesmo no arquivo /etc/fstab para que nossa máquina   reconheça que existe um dispositivo criptografado a ser lançado na inicialização da máquina.

 Para isso, vamos adicionar no /etc/fstab as seguintes informações:

 Execute: vim /etc/fstab

 Insira a linha: /dev/mapper/backup2 /backup2 ext4 defaults 1 2


Nota: /dev/mapper/backup2 é o ponteiro criado para a partição criptografada e /backup2 é o diretório para   montar a partição.


 Após isso as configurações do arquivo /etc/fstab foram concluídas e o processo finalizado.