Criptare una partizione in Ubuntu

18-08-2007

Dopo aver letto questo chiaro e utile post di Christer Edwards, e dopo aver gentilmente chiesto il suo permesso, vi traduco in italiano una comoda mini-guida per creare una partizione criptata in Ubuntu.
Considerate che ho tradotto liberamente il suo post, tagliando o infoltendo ove ritenevo necessario.
Effettivamente era da molto che non mi cimentavo in una qualche guida “tecnica”!

GUIDA: Come criptare una partizione locale o un dispositivo rimovibile (come una chiavetta USB).

ATTENZIONE: Seguire queste istruzioni implica la perdita totale dei dati contenuti nella partizione da criptare, quindi… occhio a cosa state cancellando! In grassetto trovate i comandi da digitare nel terminale.

<> <> <> <> <> <> <> <>
PASSO 1:
Installiamo una utility per criptare:
$ sudo aptitude install cryptsetup

<> <> <> <> <> <> <> <>
PASSO 2:

Ora è il momento di preparare la partizione; se non siete sicuri su come si chiami, lanciate questo comando:
$ sudo fdisk -l

Vi verranno mostrate tutte le partizioni disponibili, con il dettaglio del nome del dispositivo.
Lanciandolo sul mio laptop, ad esempio, viene fuori questo risultato:

Ora che siete sicuri sul nome del device (nel mio caso sto facendo una prova sulla mia chiavetta USB, ovvero /dev/sdb1, come vedete nella figura sopra), potete lanciare il seguente comando per creare la partizione da criptare (volendo avreste anche potuto usare un tool grafico come gparted):

$ sudo fdisk /dev/[dispositivo]

(ovviamente dovete sostituire [dispositivo] con il nome del dispositivo in cui c’è (o ci sarà) la partizione che vi interessa criptare; nel mio caso, sdb è il dispositivo, e sdb1 è la partizione (già esistente) che intendo criptare)

Vi verrà proposto il menu di fdisk; è sufficiente creare la partizione (con il tasto n(ew), createla primaria o estesa a seconda delle necessità), e poi rendere permanenti le modifiche della tabella delle partizioni con il tasto w(rite).

<> <> <> <> <> <> <> <>
PASSO 3:

Per essere sicuri che il proprio kernel sia aggiornato sulla nuova tabella delle partizioni, potete lanciare il comando:
$ sudo partprobe

Nel mio caso, ad esempio, Ubuntu erroneamente mi lancia una finestra di Nautilus sulla root della chiavetta USB, e il terminale mi dice che il dispositivo è occupato. Potrebbe quindi essere necessario un reboot.
<> <> <> <> <> <> <> <>
PASSO 4:

Ora vedremo come criptare la nuova partizione; ci sono differenti opzioni, e non ne esiste una “migliore” per tutto, dipende molto dalle vostre esigenze di sicurezza. La prima opzione è per chi ha poco tempo ed esigenze basiche, mentre la terza richiede molto tempo ma è a prova di bomba. La seconda opzione è un buon compromesso.

Prima di criptare, scriveremo dei dati nella nuova partizione, per evitare “attacchi” che cercano pattern esistenti nei dati “sparsi” ancora presenti nella partizione; potete usare uno dei seguenti tre comandi (l’ultimo è il più sicuro ma richiede molto tempo):
$ sudo dd if=/dev/zero of=/dev/[dispositivo] bs=4k
$ sudo badblocks -vfw /dev/[dispositivo] [block-size-del-dispositivo]
$ sudo dd if=/dev/random of=/dev/[dispositivo] bs=4k

Per migliorare la sicurezza di queste operazioni, potete effettuare delle operazioni col vostro PC (muovere il mouse, lanciare applicazioni, ecc) per rendere la casualità più efficace possibile.

<> <> <> <> <> <> <> <>
PASSO 5:

A questo punto la partizione è pronta per essere criptata. Il metodo usato in questo tutorial si chiama LUKS, con dei valori di mio gusto per ciò che riguarda lunghezza della stringa, hash e cifratura (potete cambiarli a piacimento, se sapete cosa state facendo).
Con questo comando vi verrà anche chiesta la passphrase (frase segreta) per accedere alla vostra partizione.
Non dimenticatevi la passphrase, altrimenti è molto probabile che non potrete più accedere ai dati della vostra partizione!

$ sudo cryptsetup luksFormat /dev/[dispositivo] -c aes -s 256 -h sha256

<> <> <> <> <> <> <> <>
PASSO 6:

Ora che abbiamo creato l’impostazione di base per la cifratura, dobbiamo aprire la partizione per usarla (il [nome] può essere qualsiasi cosa a vostro piacimento, ma evitate gli spazi ed eventualmente anche le lettere accentate):

$ sudo cryptsetup luksOpen /dev/[dispositivo] [nome]

<> <> <> <> <> <> <> <>
PASSO 7:

Ora che il dispositivo è aperto ed aggiunto al device mapper, possiamo creare dentro esso un filesystem, ed usarlo. Ecco l’ultimo comando da lanciare (name è il [nome] dato sopra, e label è l’etichetta da dare al dispositivo):

$ sudo mke2fs -j /dev/mapper/name -L label

Questo comando crea un filesystem di tipo ext3. Per altri tipi di filesystem sono necessari comandi diversi.

<> <> <> <> <> <> <> <>
COSE AGGIUNTIVE:

Se volete che questa partizione venga automaticamente montata all’avvio, aggiungetela nel file /etc/fstab, assicurandovi di specificare la locazione /dev/mapper/[name] e NON il nome della partizione originaria.
In questo caso, durante il boot vi verrà chiesta la passphrase.
Questo è un esempio di come inserire la partizione in /etc/fstab:
/dev/mapper/name     /data     ext3     defaults     0  0

Se invece avete criptato un dispositivo rimovibile, il vostro Gnome lo riconoscerà e vi chiederà la passphrase in ambiente grafico.

Terza cosa: sempre nel caso di un disco rimovibile, può essere giusto cambiare il proprietario del percorso di mount, e mettere l’id di gruppo nella directory, in modo che il vostro utente abbia pieni permessi (user.user deve essere sostituito col vostro username nel sistema, e [nome] è il punto di mount del file system):
$ sudo chown -R user.user /media/[nome]
$ sudo chmod g+s /media/[nome]

Potete aggiungere più passphrase per accedere alla partizione (utile se più persone ci devono lavorare):
$ sudo cryptsetup luksAddKey /dev/[dispositivo]

Potete ovviamente anche rimuovere una passphrase precedentemente utilizzata:
$ sudo cryptsetup luksDelKey /dev/[dispositivo] [slot #]

Per avere informazioni sulla vostra partizione criptata e sugli “slot” assegnati per le chiavi:
$ sudo cryptsetup status name
$ sudo cryptsetup luksDump /dev/[dispositivo]

Bene, per ora è tutto!

Fatemi sapere se funziona :-)

Green New York

18-08-2007

Come immaginavo io nel mio romanzo Nonovvio, ci vuole una Metropoli come New York per essere davvero ecologisti.

Scrittore

18-08-2007

Chiunque può scrivere un libro…
Pochissimi, un buon libro…
Pochi riescono a pubblicarlo, e di solito non ci guadagnano granchè.

Annuncio: se vi ricordate, ho scritto un romanzo (già autopubblicato, e venduto per circa 500 copie).
Cercasi editore. Basta scaricare il PDF e leggerlo.

Si sa mai che questo weekend porti fortuna :-)