Criptare una partizione in Ubuntu
18-08-2007
Dopo aver letto questo chiaro e utile post di Christer Edwards, e dopo aver gentilmente chiesto il suo permesso, vi traduco in italiano una comoda mini-guida per creare una partizione criptata in Ubuntu.
Considerate che ho tradotto liberamente il suo post, tagliando o infoltendo ove ritenevo necessario.
Effettivamente era da molto che non mi cimentavo in una qualche guida “tecnica”!
GUIDA: Come criptare una partizione locale o un dispositivo rimovibile (come una chiavetta USB).
ATTENZIONE: Seguire queste istruzioni implica la perdita totale dei dati contenuti nella partizione da criptare, quindi… occhio a cosa state cancellando! In grassetto trovate i comandi da digitare nel terminale.
<> <> <> <> <> <> <> <>
PASSO 1:
Installiamo una utility per criptare:
$ sudo aptitude install cryptsetup
<> <> <> <> <> <> <> <>
PASSO 2:
Ora è il momento di preparare la partizione; se non siete sicuri su come si chiami, lanciate questo comando:
$ sudo fdisk -l
Vi verranno mostrate tutte le partizioni disponibili, con il dettaglio del nome del dispositivo.
Lanciandolo sul mio laptop, ad esempio, viene fuori questo risultato:
Ora che siete sicuri sul nome del device (nel mio caso sto facendo una prova sulla mia chiavetta USB, ovvero /dev/sdb1, come vedete nella figura sopra), potete lanciare il seguente comando per creare la partizione da criptare (volendo avreste anche potuto usare un tool grafico come gparted):
$ sudo fdisk /dev/[dispositivo]
(ovviamente dovete sostituire [dispositivo] con il nome del dispositivo in cui c’è (o ci sarà) la partizione che vi interessa criptare; nel mio caso, sdb è il dispositivo, e sdb1 è la partizione (già esistente) che intendo criptare)
Vi verrà proposto il menu di fdisk; è sufficiente creare la partizione (con il tasto n(ew), createla primaria o estesa a seconda delle necessità), e poi rendere permanenti le modifiche della tabella delle partizioni con il tasto w(rite).
<> <> <> <> <> <> <> <>
PASSO 3:
Per essere sicuri che il proprio kernel sia aggiornato sulla nuova tabella delle partizioni, potete lanciare il comando:
$ sudo partprobe
Nel mio caso, ad esempio, Ubuntu erroneamente mi lancia una finestra di Nautilus sulla root della chiavetta USB, e il terminale mi dice che il dispositivo è occupato. Potrebbe quindi essere necessario un reboot.
<> <> <> <> <> <> <> <>
PASSO 4:
Ora vedremo come criptare la nuova partizione; ci sono differenti opzioni, e non ne esiste una “migliore” per tutto, dipende molto dalle vostre esigenze di sicurezza. La prima opzione è per chi ha poco tempo ed esigenze basiche, mentre la terza richiede molto tempo ma è a prova di bomba. La seconda opzione è un buon compromesso.
Prima di criptare, scriveremo dei dati nella nuova partizione, per evitare “attacchi” che cercano pattern esistenti nei dati “sparsi” ancora presenti nella partizione; potete usare uno dei seguenti tre comandi (l’ultimo è il più sicuro ma richiede molto tempo):
$ sudo dd if=/dev/zero of=/dev/[dispositivo] bs=4k
$ sudo badblocks -vfw /dev/[dispositivo] [block-size-del-dispositivo]
$ sudo dd if=/dev/random of=/dev/[dispositivo] bs=4k
Per migliorare la sicurezza di queste operazioni, potete effettuare delle operazioni col vostro PC (muovere il mouse, lanciare applicazioni, ecc) per rendere la casualità più efficace possibile.
<> <> <> <> <> <> <> <>
PASSO 5:
A questo punto la partizione è pronta per essere criptata. Il metodo usato in questo tutorial si chiama LUKS, con dei valori di mio gusto per ciò che riguarda lunghezza della stringa, hash e cifratura (potete cambiarli a piacimento, se sapete cosa state facendo).
Con questo comando vi verrà anche chiesta la passphrase (frase segreta) per accedere alla vostra partizione.
Non dimenticatevi la passphrase, altrimenti è molto probabile che non potrete più accedere ai dati della vostra partizione!
$ sudo cryptsetup luksFormat /dev/[dispositivo] -c aes -s 256 -h sha256
<> <> <> <> <> <> <> <>
PASSO 6:
Ora che abbiamo creato l’impostazione di base per la cifratura, dobbiamo aprire la partizione per usarla (il [nome] può essere qualsiasi cosa a vostro piacimento, ma evitate gli spazi ed eventualmente anche le lettere accentate):
$ sudo cryptsetup luksOpen /dev/[dispositivo] [nome]
<> <> <> <> <> <> <> <>
PASSO 7:
Ora che il dispositivo è aperto ed aggiunto al device mapper, possiamo creare dentro esso un filesystem, ed usarlo. Ecco l’ultimo comando da lanciare (name è il [nome] dato sopra, e label è l’etichetta da dare al dispositivo):
$ sudo mke2fs -j /dev/mapper/name -L label
Questo comando crea un filesystem di tipo ext3. Per altri tipi di filesystem sono necessari comandi diversi.
<> <> <> <> <> <> <> <>
COSE AGGIUNTIVE:
Se volete che questa partizione venga automaticamente montata all’avvio, aggiungetela nel file /etc/fstab, assicurandovi di specificare la locazione /dev/mapper/[name] e NON il nome della partizione originaria.
In questo caso, durante il boot vi verrà chiesta la passphrase.
Questo è un esempio di come inserire la partizione in /etc/fstab:
/dev/mapper/name /data ext3 defaults 0 0
Se invece avete criptato un dispositivo rimovibile, il vostro Gnome lo riconoscerà e vi chiederà la passphrase in ambiente grafico.
Terza cosa: sempre nel caso di un disco rimovibile, può essere giusto cambiare il proprietario del percorso di mount, e mettere l’id di gruppo nella directory, in modo che il vostro utente abbia pieni permessi (user.user deve essere sostituito col vostro username nel sistema, e [nome] è il punto di mount del file system):
$ sudo chown -R user.user /media/[nome]
$ sudo chmod g+s /media/[nome]
Potete aggiungere più passphrase per accedere alla partizione (utile se più persone ci devono lavorare):
$ sudo cryptsetup luksAddKey /dev/[dispositivo]
Potete ovviamente anche rimuovere una passphrase precedentemente utilizzata:
$ sudo cryptsetup luksDelKey /dev/[dispositivo] [slot #]
Per avere informazioni sulla vostra partizione criptata e sugli “slot” assegnati per le chiavi:
$ sudo cryptsetup status name
$ sudo cryptsetup luksDump /dev/[dispositivo]
Bene, per ora è tutto!
Fatemi sapere se funziona :-)
Green New York
18-08-2007
Come immaginavo io nel mio romanzo Nonovvio, ci vuole una Metropoli come New York per essere davvero ecologisti.
Scrittore
18-08-2007
Chiunque può scrivere un libro…
Pochissimi, un buon libro…
Pochi riescono a pubblicarlo, e di solito non ci guadagnano granchè.
Annuncio: se vi ricordate, ho scritto un romanzo (già autopubblicato, e venduto per circa 500 copie).
Cercasi editore. Basta scaricare il PDF e leggerlo.
Si sa mai che questo weekend porti fortuna :-)