Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança em Servidores Linux! Instrutor: Vitor Mazuco http://facebook.com/vitormazuco Email:vitor.mazuco@gmail.com WebSite: http://vmzsolutions.com.br http://facebook.com/vitormazuco mailto:vitor.mazuco@gmail.com http://vmzsolutions.com.br/ Criptografando discos com LUKS Em pequenas e médias empresas ou em escritórios governamentais, os usuários podem ter que proteger seus sistemas para guardar os seus dados privados, que incluem detalhes dos clientes, senhas, arquivos confidenciais, detalhes de contrato, e assim por diante. Criptografando discos com LUKS Para fazer isso, o Linux oferece um bom número de técnicas criptográficas seguras e fortes, que podem ser utilizadas para proteger os seus dados em dispositivos físicos, como discos rígidos ou mídia removível com HD externo, pen-drive, etc. Uma dessas técnicas criptográficas usa o Linux Unified Key Setup-on-disk-format (LUKS). Esta técnica possibilita a encriptação de partições Linux de maneira bem segura. Criptografando discos com LUKS Para começar, vamos trabalhar com uma partição extra de nosso servidor, o que pode ser um pen-drive, HD, etc. Mas vamos testar uma partição virtual de nosso VirtualBox, para isso, vá em sua máquina e vá em Configurações > Armazenamento > Controladora SATA > Adicionar Disco Rígido > VHD > Tamanho Fixo > Escolher o nome e tamanho > Marcar como Hot-plug Criptografando discos com LUKS Depois ligue sua máquina e vamos instalar os pacotes necessários e ver os discos disponíveis: Debian/Ubuntu: # apt-get install cryptsetup RHEL / CentOS / Oracle: # yum install cryptsetup-luks # dnf install cryptsetup-luks Criptografando discos com LUKS Aviso! O comando a seguir removerá todos os dados na partição que você está criptografando. Você perderá todas as suas informações! Portanto, certifique-se de fazer backup de seus dados em uma fonte externa, como NAS ou disco rígido, antes de digitar qualquer um dos seguintes comandos!!! Criptografando discos com LUKS Agora, vamos encriptografar: Digite o seguinte comando, crie um mapeamento: # cryptsetup -y -v luksFormat /dev/sdb # cryptsetup luksOpen /dev/sdb backup2 Criptografando discos com LUKS # ls -l /dev/mapper/backup2 Você pode ver um nome de mapeamento /dev/mapper/backup2 após uma verificação bem-sucedida que foi criado com a extensão de comando luksFormat: Criptografando discos com LUKS # cryptsetup -v status backup2 Você pode usar o seguinte comando para ver o status do mapeamento: Criptografando discos com LUKS # cryptsetup luksDump /dev/sdb Podemos efetuar um dump nos cabeçalhos do LUKS usando o seguinte comando: Criptografando discos com LUKS # dd if=/dev/zero of=/dev/mapper/backup2 ** isso poderá levar horas, caso queira ver o seu status, rode o comando a seguir # pv -tpreb /dev/zero | dd of=/dev/mapper/backup2 bs=128M Primeiro, você precisa escrever em zeros para o dispositivo criptografado: /dev/mapper/backup2. Isso alocará os dados de bloco com zeros. Isso garante que o mundo exterior verá isso como dados aleatórios, ou seja, protege contra a divulgação de padrões de uso: Criptografando discos com LUKS # mkfs.ext4 /dev/mapper/backup2 Em seguida, crie um sistema de arquivos com esse comando: Criptografando discos com LUKS # mkdir /backup2 # mount /dev/mapper/backup2 /backup2 # df -H # cd /backup2 # ls -l Para montar o novo sistema de arquivos em /backup2, digite: Criptografando discos com LUKS # umount /backup2 # cryptsetup luksClose backup2 Para desmontar o sistema de arquivos em /backup2, digite: Criptografando discos com LUKS # cryptsetup luksOpen /dev/sdb backup2 # mount /dev/mapper/backup2 /backup2 # df -H # mount Para montar ou remontar a partição criptografada, rode esses comandos: Criptografando discos com LUKS # cryptsetup luksDump /dev/sdb # cryptsetup luksAddKey /dev/sdb Para mudar a senha da partição em LUKS, rode esses comandos: Remova ou exclua a senha antiga: # cryptsetup luksRemoveKey /dev/sdb Criptografando discos com LUKS # umount /backup2 # fsck -vy /dev/mapper/backup2 # mount /dev/mapper/backup2 /backu2 Para executar o fsck no volume de partição /LVM baseado em LUKS, rode esses comandos: Slide 1 Slide 2 Slide 3 Slide 4 Slide 5 Slide 6 Slide 7 Slide 8 Slide 9 Slide 10 Slide 11 Slide 12 Slide 13 Slide 14 Slide 15 Slide 16 Slide 17 Slide 18
Compartilhar