4.3. Cifrado de particiones y archivos

Todo usuario tiene algún dato confidencial que no debería estar al alcance de terceros. Cuantas más conexiones y más movilidad tenga un equipo, con más cuidado deben tratarse los datos. Se recomienda el cifrado de archivos o de particiones enteras si hay terceros que puedan obtener acceso físico o a través de la red.

[Warning]El cifrado de medios ofrece una protección limitada

Tenga en cuenta que mediante los métodos descritos en esta sección no es posible proteger un equipo en funcionamiento. Una vez montado correctamente un medio cifrado, cualquier usuario con los permisos correspondientes tendrá acceso a él. El cifrado de medios es útil si el equipo se pierde o lo roban y usuarios sin autorización intentan leer datos confidenciales.

A continuación aparecen algunas situaciones posibles de uso.

Equipos portátiles

Si se viaja con un equipo portátil, es buena idea cifrar las particiones del disco duro que contengan datos confidenciales. Si pierde el equipo o se lo roban, nadie podrá acceder a los datos que se encuentren en un sistema de archivos cifrado o en un archivo independiente cifrado.

Medios extraíbles

Las unidades flash USB o los discos duros externos son tan susceptibles de robo como los equipos portátiles. Un sistema de archivos cifrado ofrece protección frente al acceso de terceros.

Estaciones de trabajo

En entornos empresariales en los que muchas personas tienen acceso a los equipos, puede resultar útil cifrar particiones o archivos independientes.

4.3.1. Configuración de un sistema de archivos cifrado con YaST

YaST ofrece cifrado de archivos y particiones durante la instalación así como en sistemas ya instalados. Los archivos cifrados se pueden crear en cualquier momento porque se integran perfectamente en la distribución de particiones. Para cifrar una partición entera, dedique una partición a cifrado en la distribución de particiones. La propuesta de distribución de particiones estándar que YaST sugiere por defecto no incluye una partición cifrada. Añádala manualmente en el cuadro de diálogo de particionamiento.

4.3.1.1. Creación de una partición cifrada durante la instalación

[Warning]Introducción de contraseñas

Cuando establezca contraseñas para particiones cifradas, tenga en cuenta los avisos de seguridad y memorícelas bien. Sin la contraseña no se puede acceder a los datos cifrados ni restaurarlos.

El cuadro de diálogo de particionamiento avanzado de YaST, que se describe en la Sección 2.9.5, “Particionamiento” (↑Inicio), ofrece las opciones necesarias para crear particiones cifradas. Haga clic en Crear como al crear particiones normales. En el cuadro de diálogo que se abre, introduzca los parámetros de la nueva partición, como por ejemplo, el formato deseado y el punto de montaje. Complete el proceso haciendo clic en Sistema de archivos codificado. En el siguiente cuadro de diálogo, introduzca dos veces la contraseña. La nueva partición cifrada se creará al cerrar el cuadro de diálogo de particionamiento haciendo clic en Aceptar. Al arrancar, el sistema operativo solicitará la contraseña antes de montar la partición.

Si no desea montar la partición cifrada durante el inicio, pulse Entrar cuando se le pida la contraseña. A continuación, rechace la posibilidad de volver a introducir la contraseña. En este caso, el sistema de archivos cifrado no se montará y el sistema operativo continuará iniciándose, pero el acceso a los datos estará bloqueado. Una vez montada, todos los usuarios podrán acceder a la partición.

Si el sistema de archivos cifrado sólo debe montarse cuando sea necesario, active la opción Do Not Mount During Booting (No montar durante el arranque) en el cuadro de diálogo Opciones fstab. La partición correspondiente no se montará cuando se arranque el sistema. Después, para que sea accesible, móntela manualmente con mount nombre_de_la_particion punto_de_montaje. Introduzca la contraseña cuando se le pida. Cuando acabe de trabajar con la partición, desmóntela con unmount nombre_de_la_particion para impedir el acceso de otros usuarios.

4.3.1.2. Creación de una partición cifrada en un sistema en funcionamiento

[Warning]Activación del cifrado en un sistema en funcionamiento

También es posible crear particiones cifradas en un sistema en funcionamiento durante la instalación. Sin embargo, el cifrado de una partición existente destruye todos los datos que contenga.

En un sistema en funcionamiento, seleccione Sistema+Particionamiento en el centro de control de YaST. Haga clic en para continuar. En lugar de seleccionar Crear como se describía anteriormente, haga clic en Editar. El resto del procedimiento es igual.

4.3.1.3. Instalación de archivos cifrados

En lugar de utilizar una partición, es posible crear sistemas de archivos cifrados dentro de archivos independientes para almacenar datos confidenciales. Estos se crean desde el mismo cuadro de diálogo de YaST. Seleccione Archivo crypt e introduzca la vía al archivo que se creará y el tamaño deseado. Acepte la configuración de formato propuesta y el tipo de sistema de archivos. A continuación, especifique el punto de montaje y decida si el sistema de archivos cifrados debe montarse cuando se arranque el sistema.

La ventaja de los archivos cifrados es que se pueden añadir sin volver a particionar el disco duro. Se montan mediante un dispositivo de bucle y tienen el mismo comportamiento que una partición normal.

4.3.1.4. Uso de vi para cifrado de archivos

La desventaja de utilizar particiones cifradas es que, mientras la partición se encuentre montada, como mínimo el usuario root podrá acceder a los datos. Para evitarlo, se puede utilizar vi en modo cifrado.

Utilice vi -x nombre_del_archivo para editar un archivo nuevo. vi solicitará que se establezca una contraseña, tras lo cual cifrará el contenido del archivo. Cada vez que se acceda al archivo, vi solicitará la contraseña correspondiente.

Si se desea una seguridad todavía mayor, es posible ubicar el archivo de texto cifrado en una partición cifrada. Se recomienda hacerlo dado que el cifrado utilizado en vi no es muy fuerte.

4.3.2. Cifrado del contenido de medios extraíbles

YaST trata los medios extraíbles, tales como discos duros externos o unidades flash USB, de la misma manera que cualquier disco duro. Los archivos o las particiones de estos medios pueden cifrarse de la manera anteriormente descrita. Sin embargo, seleccione que estos medios no se monten durante el inicio del sistema, dado que normalmente sólo se conectan mientras el sistema se encuentra funcionando.