Cargando



Cómo encriptar y poner contraseña disco USB Ubuntu Linux (LUKS cryptsetup)

Tutorial para poder proteger y encriptar un disco USB usando las comandos LUKS y cryptsetup en Ubuntu de Linux.


oct 30 2018 18:20
Avanzado
Total de Apartados : 3
sep 20 2019 10:31

La seguridad de la información es una de las tareas más importantes que debemos gestionar hoy en día ya que con las constantes amenazas tanto a nivel interno como externo la información siempre estará susceptible y vulnerable a caer en las manos erróneas.

 

Existen diversos métodos disponibles para proteger la información, desde alojar los datos en la nube hasta establecer reglas fuertes de Firewall pero podemos optar por métodos prácticos, fiables y con diversas opciones de seguridad. Uno de ellos es encriptar y establecer una contraseña para nuestros dispositivos y en este caso Solvetic hablará de los medios USB, que son más vulnerables para ser atacados en cualquier lugar. Para evitarlo debemos encriptar su contenido y asignamos una contraseña, solo el usuario de dicha USB tendrá acceso a ésta. Aprenderemos a usar LUKS junto a Cryptsetup para ello.

 

Qué es LUKS y Cryptsetup
Cryptsetup es una utilidad cuyo propósito es configurar de forma integral el cifrado del disco directamente en el módulo del kernel DMCrypt. Cryptsetup incluye volúmenes de dm-crypt sin formato, volúmenes LUKS, bucle-AES y formato TrueCrypt con lo cual las opciones de seguridad son amplias, adicional a esto, se incluye la utilidad veritysetup la cual es usada para configurar los módulos de kernel de verificación de integridad de bloque DMVerity y a partir de la versión 2.0, la integridad se añade para la configuración del módulo kernel de integridad de bloque DMIntegrity.

 

Por su parte, LUKS (Linux Unified Key Setup) es un estándar diseñado para el cifrado del disco duro en ambientes Linux. gracias a LUKS, se ofrece un formato estándar en disco que facilita la compatibilidad entre las diversas distribuciones, pero también permite una gestión segura de las contraseñas para múltiples usuarios. LUKS almacena toda la información de configuración necesaria en el encabezado de la partición, esto facilita transportar o migrar datos de una forma completa y sin problemas.

 

Ventajas de LUKS
Algunas de las ventajas de usar LUKS son:
  • compatible a través de la estandarización.
  • seguro contra ataques de todo tipo
  • Es gratuito
  • soporte para múltiples claves
  • permite ejecutar la revocación efectiva de la frase de contraseña y más.

 

 

LUKS está en la capacidad de administrar múltiples contraseñas, las cuales pueden ser revocadas efectivamente y están protegidas contra ataques de diccionario con PBKDF2.

 

 


1. Funciones y sintaxis de LUKS, Cryptsetup

 

Algunas acciones validas al usar LUKS son:

 

Iniciar partición LUKS
Esta opción inicializa una partición LUKS y establece la clave inicial, bien sea a través de parámetros manuales o mediante un archivo de clave.
luksFormat <dispositivo> [<archivo clave>]
Con este parámetro podemos añadir <opciones> como:
[--cipher, --verify-passphrase, --key-size, --key-slot, --key-file (tiene prioridad sobre el segundo argumento opcional), --keyfile-size, - uso aleatorio | --use-urandom, --uuid].

 

Opción Open
luksOpen <dispositivo> <nombre>
Esta opción abre la partición LUKS <dispositivo> y configura un mapeo <nombre> después de que la verificación haya sido exitosa con la clave indicada. Con este parámetro podemos añadir <opciones> como:
[--key-file, --keyfile-size, --readonly]

 

Opción close
Cumple las funciones del parámetro "remove".
luksClose <nombre>

 

Opción Suspend
Este parámetro suspende el dispositivo activo (todas las operaciones de IO quedaran inactivas) y procede con el borrado de la clave de cifrado del kernel. Se requiere la versión 2.6.19 del Kernel o posterior para esto, después de esta operación, sera necesario hacer uso de luksResume para restablecer la clave de cifrado y reanudar el dispositivo o luksClose para eliminar el dispositivo asignado.
luksSuspend <nombre>

 

Opción Addkey
luksAddKey <dispositivo> [<nuevo archivo clave>]
Esta opción agrega un nuevo archivo de clave o frase de contraseña, para ello se debe proporcionar una frase de contraseña o archivo de clave, algunas de sus opciones son:
[--key-file, --keyfile-size, --new-keyfile-size, --key-slot]

 

Parámetros adicionales de LUKS
Algunos parámetros adicionales a usar con LUKS son:
  • Eliminar la clave suministrada o el archivo de clave del dispositivo LUKS
luksRemoveKey <dispositivo> [<archivo clave>]
  • Imprimir el UUID del dispositivo seleccionado
luksUUID <dispositivo>
  • Volcar la información del encabezado de una partición LUKS.
luksDump <dispositivo>

 

Parámetros adicionales de Cryptsetup
Ahora, Cryptsetup maneja la siguiente sintaxis:
cryptsetup <opciones> <acción> < argumentos>
Las opciones disponibles con Cryptsetup son:
  • Renombrar un mapeo existente.
remove <nombre>
  • Generar el estado del mapeo.
status <nombre>
  • Modificar una asignación activa.
reload <nombre>
  • Redimensionar un mapeo actual.
resize <nombre>

 

Ahora veremos cómo instalar Cryptsetup y hacer uso de esta utilidad junto a LUKS para proteger los dispositivos USB y para ello usaremos Ubuntu 18.

 

 


2. Instalar y configurar Cryptsetup y el medio USB en Ubuntu Linux

 

Paso 1

Para la instalación de la utilidad, accedemos a la terminal y allí ejecutamos lo siguiente:
sudo apt-get install cryptsetup

1-Instalar-y-configurar-Cryptsetup.png

 

 

Paso 2

Ingresamos la letra S para confirmar la descarga e instalación. Después de esto, accedemos a la utilidad de discos a través del buscador de Ubuntu 18:

 

2-disco-ubuntu-linux.jpg

 

 

Paso 3

Seleccionamos “Discos” y en la ventana desplegada seleccionamos el medio USB conectado al equipo:

 

 

Nota
En caso de que la USB esté montada, será necesario desmontarla para ejecutar con éxito la operación de cifrado.

 

Paso 4

Ahora, pulsamos sobre el icono de piñón en la parte inferior y en las opciones desplegadas seleccionamos “Formatear partición”:

 

 

Paso 5

Se desplegará la siguiente ventana donde debemos configurar los siguientes parámetros:
  • En el campo “Borrar” podemos seleccionar si sobrescribimos o no los datos existentes.
  • En el campo “Tipo” debemos seleccionar la opción “Cifrado, compatible con sistemas Linux (LUKS + Ext4)” con el fin de que se apliquen las políticas de seguridad de LUKS.
  • Ingresamos y confirmamos la contraseña para la USB.

 

 

 

 

 

Paso 6

Definido esto, pulsamos e el botón “Formato” y se desplegara la siguiente advertencia:

 

 

Paso 7

Allí confirmamos la acción pulsando de nuevo en el botón “Formato” y veremos que se inicia el proceso de formato de la USB:

 

 

Paso 8

Una vez finalice este proceso, desconectamos y reconectamos de nuevo el dispositivo USB al equipo y al tratar de acceder a él se desplegará la siguiente ventana. Allí ingresamos la contraseña que hemos asignado en el proceso de formato y pulsamos en el botón “Desbloquear” para acceder al contenido del medio.

 

8-inicia-el-proceso-de-formato-de-la-USB.jpg

 

Paso 9

Para verificar que la USB está protegida, podremos ver un icono de candado en la esquina inferior derecha del acceso al medio:

 

9-unidad-usb-linux.jpg

 

Paso 10

Ahora, en el momento que deseemos modificar la contraseña de LUKS, debemos ir de nuevo a la utilidad Discos y allí pulsar en el icono de engranaje y esta vez seleccionar la opción “Cambiar frase de paso”:

 

 

Paso 11

Al realizar esto, en la ventana emergente ingresaremos la contraseña actual y la nueva a asignar. Pulsamos en “Cambiar” para completar el proceso. De esta forma gráfica tenemos la oportunidad de cifrar y proteger con contraseña el medio USB deseado.

 

 

 


3. Usar LUKS y Cryptsetup a través de consola de comandos en Ubuntu Linux

 

Paso 1

Otra de las opciones para usar estas herramientas es a través de la terminal, así, para cifrar y añadir contraseña a un dispositivo USB debemos ejecutar lo siguiente:
cryptsetup -y -v luksFormat /dev/sdb
Nota
Debemos cambiar /dev/sdb por la ruta del medio USB a proteger.

 

Paso 2

Al pulsar Enter, debemos ingresar el termino YES para conformar la acción y establecer la respectiva contraseña:

 

 

 

Paso 3

Este comando inicializará el volumen y establecerá una clave inicial o frase de contraseña, es importante anotar que la frase de contraseña no es recuperable, ahora, ejecutamos el siguiente comando para crear una asignación:
sudo cryptsetup luksOpen /dev/sdb backup2
Paso 4

Allí debemos ingresar la contraseña, después de esto será posible ver el nombre de asignación /dev/mapper/backup2 cuando la verificación haya sido exitosa con el comando luksFormat, para ver estos detalles ejecutamos:
ls -l /dev/mapper/backup2

13-Usar-LUKS-y-Cryptsetup-a-través-de-consola-de-comandos-en-Ubuntu.png

 

Paso 5

Si deseamos ver el estado del cifrado ejecutamos lo siguiente:
sudo cryptsetup -v status backup2

14-sudo-cryptsetup.png

 

Paso 6

Allí encontramos detalles como. Si deseamos volcar los encabezados LUKS, debemos usar el siguiente comando. Allí veremos detalles mucho más profundos sobre el cifrado.
sudo cryptsetup luksDump /dev/sdb
  • Tipo de cifrado
  • Tamaño del cifrado
  • Dispositivo seleccionado
  • Tamaño
  • Modo y más.

 

Podemos ver las diferentes opciones para proteger y cifrar un dispositivo USB en Linux y así añadir una capa más de seguridad la cual nunca sobrará.

 

Te explicamos qué es y las características de Cryptmount y cómo utilizarlo para encriptar sistemas de archivos Linux y mejorar la Seguridad IT.


¿Te ayudó este Tutorial?


Sin comentarios, sé el primero!

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!

X