En un tutorial aparte, resaltamos el proceso para utilizar el cifrado de disco completo en Ubuntu Desktop 20.04 con el cifrado LUKS durante la instalaci贸n. En la pr谩ctica, este es el m茅todo recomendado para proteger a su dispositivo Ubuntu debido a que cifra todas las particiones del disco incluido el espacio de intercambio y particiones de sistema, y de esta manera logra un cifrado completo.
Si ya tiene instalado Ubuntu sin ning煤n cifrado, el cifrado de disco completo ya no resulta una opci贸n; sin embargo, todav铆a puede cifrar el directorio principal y espacio de intercambio sin requerir una reinstalaci贸n completa del sistema operativo.
De manera predeterminada, el directorio principal es donde se encuentran la mayor铆a de los archivos personales. Esto puede incluir documentos, hojas de c谩lculo, m煤sica, videos, im谩genes, y cualquier otro archivo que haya descargado. El espacio de intercambio es el espacio en el disco duro que se utiliza como memoria virtual. Cuando se opera un sistema Linux fuera del espacio RAM, las p谩ginas inactivas son llevadas al espacio de intercambio; mientras que el acceso al tiempo resulta m谩s lento que en RAM, en hacer esto el espacio de intercambio complementa los dispositivos RAM cuando se encuentra ya casi agotado.
Ubuntu otorga una herramienta de l铆nea de comando para cifrar tanto el directorio principal como el espacio de intercambio. 驴Por qu茅 cifrar el espacio de intercambio tambi茅n? Como se mencion贸 con anterioridad, el OS peri贸dicamente elimina algunas p谩ginas de memoria al 谩rea de intercambio cuando la memoria RAM se encuentra casi agotada. La informaci贸n que se movi贸 al 谩rea de intercambio puede contener informaci贸n personal tales como nombre de usuario y contrase帽as las cuales pueden ser valiosas para los piratas inform谩ticos. Consecuentemente, resulta esencial cifrar el espacio de intercambio tambi茅n.
En este gu铆a, exploraremos el cifrado despu茅s de la instalaci贸n en Ubuntu 20.04. Cubriremos el cifrado tanto para el directorio principal como para el espacio de intercambio lo cual es fundamental para salvaguardar la informaci贸n personal y profesional del usuario.
PONGA ATENCI脫N: El Cifrado es un proceso que puede resultar en p茅rdida de informaci贸n en su m谩quina. Por favor, respalde su carpeta 鈥/home鈥 antes de llevar a cabo cualquiera de los pasos que se mencionan a continuaci贸n. Adem谩s, si est谩 utilizando 探花大神 para administrar los usuarios en su m谩quina, podr谩 experimentar un molesto ciclo de inicio si reinicia la m谩quina antes de que el usuario acceda con una nueva contrase帽a.
Paso 1: Instalar los Paquetes de Cifrado
Para iniciar, instalaremos los paquetes de software que proveen el cifrado en Linux: ecrypt-utils y cryptsetup. Primero, inicie su terminal y ejecute el siguiente comando:
$ sudo apt install ecryptfs-utils cryptsetup
Cuando se le direccione presione 鈥Y鈥 para proceder con la instalaci贸n de los paquetes y otras dependencias del software.
Paso 2: Crear Otro Usuario y Asignar Beneficios Sudo
El cifrado de su directorio principal requiere el uso de otro usuario con beneficios. Esto se debe a que alguno de los archivos en su directorio principal pueden resultar inaccesibles si se encuentra ejecutando el cifrado mientras est谩 ingresado con su propia cuenta.
Por esta raz贸n, crearemos un nuevo usuario con beneficios para cifrar el directorio principal.
Primero, crearemos un usuario regular empleando la siguiente sintaxis:
$ sudo adduser username
Para esta gu铆a, encryption_user es el usuario regular que vamos a crear.
$ sudo adduser encryption_user
Aseg煤rese de proporcionar todos los detalles relevantes y presione 鈥淵鈥 para guardar la informaci贸n.
A continuaci贸n, asigne privilegios base para el usuario recientemente creado agregando el usuario a los grupos sudoers.
$ sudo usermod -aG sudo encryption_user
Posteriormente, cierre sesi贸n (隆NO REINICIE!) e ingrese utilizando la cuenta de usuario del administrador.
Paso 3: Cifrar el Directorio Principa
Una vez que haya iniciado sesi贸n con el usuario temporal con beneficios, podr谩 echar un vistazo a los contenidos del directorio principal que est谩 a punto de cifrar. Aqu铆 ~winnie es el directorio principal de la cuenta de usuario llamada winnie la cual cifraremos pronto.
$ sudo ls -l ~winnie
Para cifrar el directorio principal ejecutaremos el comando que se muestra abajo. En este tutorial, el directorio principal se llama winnie.
$ sudo ecryptfs-migrate-home -u winnie
Obtendr谩 un resultado similar al que se muestra a continuaci贸n. Cuando se le pida la frase de contrase帽a, ingrese la contrase帽a con la que inicia sesi贸n la cuenta del usuario y de click en 鈥INTRO鈥 (鈥渆nter鈥).
El cifrado del directorio principal comenzar谩. Esto llevar谩 un tiempo dependiendo del tama帽o y uso del disco del directorio principal.
Una vez completado con 茅xito el cifrado del archivo, se imprimir谩n algunas instrucciones en la terminal para guiarlo al siguiente paso a seguir. Seguiremos estos pasos que a continuaci贸n se muestran para finalizar f谩cilmente el proceso completo.
Paso 4: Confirmar el Cifrado y Registrar la Frase de Contrase帽a
Despu茅s, finalice sesi贸n de la cuenta del usuario con beneficios e inicie sesi贸n de nuevo (隆NO REINICIE!) a su cuenta de usuario regular.
Una vez que haya vuelto a ingresar, se mostrar谩 una notificaci贸n en el escritorio proporcion谩ndole (o al usuario en su m谩quina, si es que est谩 ejecutando este proceso remotamente) los siguientes pasos a tomar para registrar una frase de contrase帽a la cual se usar谩 para recuperar su directorio principal. Si un usuario no se encuentra presente, la frase de contrase帽a se podr谩 registrar por medio de la terminal (vea abajo).
Pero antes de ir m谩s all谩, necesita confirmar que puede leer y escribir los archivos en su directorio principal. Para intentarlo, crearemos un archivo de texto simple: hello.txt.
$ cat > hello.txt
Ingrese alg煤n texto sin sentido y presione Ctrl + D para guardar los cambios. Para verificar que ha escrito la informaci贸n correctamente, utilice de nuevo el comando de cat como se muestra a continuaci贸n:
$ cat hello.txt
Si pudo escribir y leer la informaci贸n, sabremos que el proceso de cifrado se complet贸 correctamente. Esto tambi茅n significa que la frase de contrase帽a se aplic贸 para descifrar el directorio principal cuando el usuario inicie la sesi贸n de nuevo.
Paso 4B: Registre una Frase de Contrase帽a
Ahora que ya ha confirmado las capacidades de leer y escribir, deber谩 imprimir o registrar la frase de contrase帽a; para hacer esto, regrese a la ventana emergente y presione el bot贸n 鈥Run this action now鈥 o si se encuentra operando este tutorial de manera remota, necesitar谩 ejecutar el comando ecryptfs-unwrap-passphrase. (vea debajo)
Paso 4B: Registre una Frase de Contrase帽a
Ahora que ya ha confirmado las capacidades de leer y escribir, deber谩 imprimir o registrar la frase de contrase帽a; para hacer esto, regrese a la ventana emergente y presione el bot贸n 鈥Run this action now鈥 o si se encuentra operando este tutorial de manera remota, necesitar谩 ejecutar el comando ecryptfs-unwrap-passphrase. (vea debajo)
Cuando se le direccione a la frase de contrase帽a, otorgue su contrase帽a de inicio de sesi贸n y presione 鈥INTRO鈥.
Paso 4B: Registre una Frase de Contrase帽a
Ahora que ya ha confirmado las capacidades de leer y escribir, deber谩 imprimir o registrar la frase de contrase帽a; para hacer esto, regrese a la ventana emergente y presione el bot贸n 鈥Run this action now鈥 o si se encuentra operando este tutorial de manera remota, necesitar谩 ejecutar el comando ecryptfs-unwrap-passphrase. (vea debajo)
Cuando se le direccione a la frase de contrase帽a, otorgue su contrase帽a de inicio de sesi贸n y presione 鈥INTRO鈥.
A partir de entonces, ya puede revelar la contrase帽a de recuperaci贸n utilizando el comando:
$ sudo ecryptfs-unwrap-passphrase
Copie la frase de contrase帽a de recuperaci贸n y mant茅ngala en un lugar seguro.
Paso 5: Cifrado del Espacio de Intercambio
Finalmente, cifraremos el espacio de intercambio para prevenir cualquier p茅rdida que pueda poner en peligro informaci贸n confidencial del usuario. Pero primero, verifique si el espacio de intercambio existe en su sistema como se muestra a continuaci贸n:
$ swapon -s
El resultado confirma que de hecho tenemos una partici贸n de cambio marcado como /dev/sda3. Puede adem谩s examinar el espacio que ocupa empleando el comando free. El resultado muestra que ocupa 8G de espacio.
$ free -h
Para cifrar el espacio de intercambio, simplemente ejecute el comando:
$ sudo ecryptfs-setup-swap
Paso 6: Limpie
En este punto, tanto el directorio principal como el espacio de intercambio se han cifrado. Ya puede ahora eliminar al usuario con beneficios que utiliz贸 para cifrar el directorio principal.
$ sudo deluser –remove-home encryption_user
Adem谩s, eliminaremos tambi茅n el directorio /home/winnie.MTL8xtIX. Esto es un respaldo de la carpeta 鈥渉ome鈥 que se cre贸 cuando ejecut贸 el comando de migraci贸n inicial. Lo puede encontrar localizando el directorio que contenga en el nombre MTL8.
En este punto, tanto el directorio principal como el espacio de intercambio se han cifrado. Ya puede ahora eliminar al usuario con beneficios que utiliz贸 para cifrar el directorio principal.
$ sudo deluser –remove-home encryption_user
Adem谩s, eliminaremos tambi茅n el directorio /home/winnie.MTL8xtIX. Esto es un respaldo de la carpeta 鈥渉ome鈥 que se cre贸 cuando ejecut贸 el comando de migraci贸n inicial. Lo puede encontrar localizando el directorio que contenga en el nombre MTL8.
$ sudo rm -Rf /home/winnie.MTL8xtIX
颁辞苍肠濒耻蝉颈贸苍
Hemos demostrado el proceso de cifrado del directorio principal y el espacio de intercambio como se ofreci贸 en los paquetes de ecrypt-utils y cryptsetup. Mientras esto ofrece un grado decente de protecci贸n para sus archivos personales y documentos, no sustituye al cifrado de disco completo el cual cifra todas las particiones incluyendo las particiones del sistema durante la instalaci贸n. Si el cifrado es su 煤nica l铆nea de defensa, considere implementar otra barrera de seguridad tal como lo es la autenticaci贸n multi factor de Ubuntu.
Por medio de la Plataforma de Directorio de 探花大神, puede implementar con facilidad el cifrado del disco de su flota entera. Por medio de sus capacidades de gesti贸n del dispositivo, tanto los dispositivos Windows como los dispositivos MacOS pueden alcanzar un cifrado completo del disco a trav茅s de pol铆ticas est谩ndar o fuera de lo establecido, mientras que los dispositivos Linux pueden gestionarse y monitorearse para su estados de cifrado, empleando caracter铆sticas de comandos, implementando procesos como el que se present贸 en este tutorial para dispositivos remotos en cualquier lugar.
Para ver c贸mo funciona esto, junto con un n煤mero de otros dispositivos de seguridad y caracter铆sticas de gesti贸n, suscr铆base a una cuenta gratis hoy. 探花大神 es gratis para usar hasta 10 usuarios y 10 dispositivos; adem谩s ofrecemos asesor铆a virtual las 24 horas los 7 d铆as dentro de los primeros 10 d铆as de uso.
