Se encuentra usted aquí

Gestión de volúmenes cifrados (o encriptados) con y sin LVM

Aquí os mostraré son los pasos para crear, montar y mantener un volumen de datos cifrado bajo Linux (con LUKS). Esto nos permite proteger todos los datos del disco con contraseña, de forma que en caso de pérdida o robo (cosa cada vez más común dado el tamaño de pendrives y portátiles) no haya acceso a nuestros datos.

Para crear un disco cifrado:
cryptsetup luksFormat /dev/sdb
(en este momento habrá que proporcionar una contraseña)
cryptsetup luksOpen /dev/sdb pendrive
(pendrive es solamente el nombre que daremos a la ruta de acceso ya sin cifrar al dispositivo)
mkfs.ext4 /dev/mapper/pendrive
cryptsetup luksClose pruebas

Para montarlo de forma manual en el sistema (en un entorno gráfico posiblemente no sea necesario ya que los discos de este tipo son reconocidos por los gestores de dispositivos modernos):
cryptsetup luksOpen /dev/sdb pendrive
(pide la contraseña que le dimos al formatear)
mount /dev/mapper/pendrive /mnt

Y cuando terminemos:
umount /mnt
cryptsetup luksClose pendrive

Para definir un punto de montaje permanente (p. ej. en un servidor. CUIDADO: si lo ponemos en el arranque el sistema no iniciará hasta que no introduzcamos la contraseña), hay que añadir al fichero /etc/crypttab:
pendrive /dev/sdb none luks
El tercer campo puede ser un fichero que contenga la clave, pero no parece que tenga mucho sentido cifrar un disco y luego dejar la clave por ahí en un fichero de texto...

Combinando LUKS con LVM

Se puede combinar el cifrado LUKS con LVM indistintamente, p.ej. cifrando un PV que luego gestionaremos o creando un LV y cifrando su contenido. En este último caso sabed que se pueden seguir teniendo las ventajas de LVM, ya que se puede redimensionar un volumen cifrado en caliente:

En este ejemplo, tenemos un LV lvdata sobre un VG vgdata, mapeado con cryptsetup luksOpen sobre /dev/mapper/data:
lvresize -L +10g /dev/vgdata/lvdata
cryptsetup --verbose resize data
resize2fs /dev/mapper/data

Tags: