IMPLEMENTANDO LA ENCRIPCION DE DIRECTORIOS EN LINUX CON ECRYPTFS

Autor: Ing. Fabin Mestre Socarras Dentro del sistema operativo Linux es posible establecer diferentes mecanismos de seguridad, una de ellas es el aseguramiento de los datos mediante diferentes tipos de encripcin: encripcin de particiones con LUKS, la encripcin de archivos con GPG y la encripcin de DIRECTORIOS asignando un filesystem ecrypts, implementacin que se detalla a continuacin:

1. Como usuario root, instalar el software ecryptfs, el cual no viene instalado con su distribucin Linux CentOS 6.x yum ecryptfs-utils podra user tambin yum y install ecryptfs* 2. Cree un usuario del sistema operativo y colquele contrasea: adduser jarango passwd jarango La creacin del usuario no es fundamental para este ejercicio; como est trabajando como usuario root usted podra crear una carpeta debajo del home del usuario root y ejecutar los pasos aqu descritos.

3. Crear la carpeta donde va a contener los datos seguros: mkdir /home/jarango/segura 4. Remontar la carpeta con el filesystems ecryptfs mount -t ecryptfs /home/jarango/segura /home/jarango/segura Le aparecern las siguientes opciones [root@ldap ~]# mount -t ecryptfs /home/jarango/segura/ /home/jarango/segura/

Escogemos passphrase como metodo de encripcin Select key type to use for newly created files: 1) openssl 2) tspi 3) passphrase Selection: 3 Passphrase: //// aqu escriba su frase de paso.

Escogemos aes como mecanismo de cifrado Select cipher: 1) aes: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded) 2) blowfish: blocksize = 16; min keysize = 16; max keysize = 56 (not loaded) 3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24 (not loaded) 4) cast6: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded) 5) cast5: blocksize = 8; min keysize = 5; max keysize = 16 (not loaded) Selection [aes]: 1 Select key bytes: 1) 16 2) 32 3) 24 Selection [16]: 1 Enable plaintext passthrough (y/n) [n]: Enable filename encryption (y/n) [n]:y *** Attempting to mount with the following options: ecryptfs_unlink_sigs ecryptfs_key_bytes=16 ecryptfs_cipher=aes ecryptfs_sig=4d2ea476e35de496 WARNING: Based on the contents of [/root/.ecryptfs/sig-cache.txt], it looks like you have never mounted with this key before. This could mean that you have typed your passphrase wrong. Would you like to proceed with the mount (yes/no)? : yes Would you like to append sig [4d2ea476e35de496] to [/root/.ecryptfs/sig-cache.txt] in order to avoid this warning in the future (yes/no)? : yes Successfully appended new sig to user sig cache file Mounted eCryptfs Al ejecutar un mount para ver los montajes activos podr ver lo siguiente:
[root@ldap ~]# mount /dev/mapper/vg_ldap-lv_root on / type ext4 (rw) proc on /proc type proc (rw) sysfs on /sys type sysfs (rw) devpts on /dev/pts type devpts (rw,gid=5,mode=620) tmpfs on /dev/shm type tmpfs (rw,rootcontext="system_u:object_r:tmpfs_t:s0") /dev/sda1 on /boot type ext4 (rw) none on /proc/sys/fs/binfmt_misc type binfmt_misc (rw) sunrpc on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw) /home/jarango/segura2 on /home/jarango/segura2 type ecryptfs (rw,ecryptfs_sig=4d2ea476e35de496,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_unlink_si gs)

En el momento que el procedimiento nos pregunta Enable filename encryption (y/n) [n]:y *** si decimos y, los archivos que creemos en esta carpeta una vez la carpeta se encuentre desmontada aparecern con un nombre distinto al que se le puso cuando fueron creados, algo asi como: [root@ldap ~]# ll /home/jarango/segura2 total 20 -rw-rw-r--. 1 jarango jarango 8523 Oct 4 11:03 ECRYPTFS_FNEK_ENCRYPTED.FWb9phlXctK-UTNypKqMOuHjCayuUb1dl2LPN-K7ldwzNa9OMPgZcvTRk-En estos momentos queda el directorio montado y cualquier archivo dentro de ese directorio PUEDE SER LEIDO en su contenido. Cuando se desmonta ese montaje haciendo por ejemplo: # umount /home/jarango/segura Tenga presente que el desmontaje debe hacerse fuera de la carpeta que ha encriptado, en caso contrario el sistema le producir un mensaje de error. Podemos ver que el nombre de la carpeta no sufre ningn cambio, pero si listamos el contenido de ella podemos ver qu cambio el nombre del archivo como se comentaba en prrafo anterior. Para poder ver tanto el nombre del archivo como el contenido legible es necesario volver a montar la carpeta. La seguridad de este procedimiento est cuando se realiza el desmontaje de la carpeta asegurada, la cual hace que todos los archivos dentro de ella queden ilegibles. Si usted copia un archivo que hace parte de la carpeta encriptada a otra ruta dentro del filesystem, a este archivo tampoco podr visualizarse el contenido. Si usted crea un nuevo archivo estando el montaje activo ese archivo automticamente queda encriptado. Para que este montaje se haga automatico al momento de arrancar el sistema es necesario editar el archivo /etc/fstab y agregar lo siguiente: /home/jarango/segura /home/jarango/segura ecryptfs defaults 00