4.3. Cifratura di partizioni e file

Tutti gli utenti creano o utilizzano dati riservati a cui gli altri utenti non devono avere accesso. La gestione dell'accesso ai dati richiede particolare attenzione nel caso di utenti mobili e connessi. La cifratura di file o intere partizioni è consigliata negli scenari in cui altri utenti hanno accesso fisico diretto oppure tramite una connessione di rete ai file.

[Warning]i supporti cifrati offrono una protezione limitata

Si tenga presente che i metodi descritti in questa sezione non consentono di evitare che il sistema in esecuzione venga compromesso. Dopo il montaggio dei supporti cifrati, tutti gli utenti che dispongono di autorizzazioni adeguate possono accedervi. I supporti cifrati risultano utili nel caso in cui il computer venga perso o sottratto e individui non autorizzati desiderino leggere dati riservati.

Di seguito vengono elencati alcuni possibili scenari di applicazione.

Computer portatili

Se si utilizza un computer portatile durante i propri viaggi, è consigliabile cifrare le partizioni del disco rigido contenenti dati riservati. In caso di perdita o furto del computer portatile, i dati presenti nel file system cifrato o in un singolo file cifrato non saranno accessibili.

Supporti rimovibili

Le unità flash USB e i dischi rigidi esterni presentano gli stessi rischi di sottrazione dei computer portatili. Un file system cifrato garantisce una protezione contro l'accesso da parte di terzi.

Workstation

Nelle società in cui quasi tutti gli utenti hanno accesso a un computer può essere utile cifrare partizioni o singoli file.

4.3.1. Impostazione di un file system cifrato con YaST

YaST consente di cifrare file o partizioni sia durante l'installazione che in un sistema già installato. Un file cifrato può essere creato in qualsiasi momento perché si adatta perfettamente al layout delle partizioni esistenti. Per cifrare un'intera partizione, riservare una partizione alla cifratura nel layout delle partizioni. Il partizionamento standard proposto da YaST non include per default una partizione cifrata ed è necessario aggiungerla manualmente nella finestra di dialogo per il partizionamento.

4.3.1.1. Creazione di una partizione cifrata durante l'installazione

[Warning]input della password

Leggere i messaggi di avviso riguardanti la protezione durante l'impostazione della password per partizioni cifrate e memorizzare tale parola. Senza la password non è possibile accedere ai dati cifrati né ripristinarli.

Nella finestra di dialogo avanzata di YaST per il partizionamento, descritta nella Sezione 2.9.5, "Partizionamento" (↑Avvio), sono disponibili le opzioni necessarie per creare una partizione cifrata. Fare clic su Crea come quando si crea una normale partizione. Nella finestra di dialogo visualizzata immettere i parametri del partizionamento per la nuova partizione, ad esempio la formattazione desiderata e il punto di montaggio. Fare clic su File system cifrato per completare la procedura. Nella finestra di dialogo successiva immettere la password due volte. La nuova partizione cifrata viene creata quando si fa clic su OK per chiudere la finestra di dialogo per il partizionamento. Il sistema operativo richiede la password in fase di avvio, prima del montaggio della partizione.

Se non si desidera montare la partizione cifrata durante la fase di avvio, premere Invio quando viene richiesta la password, quindi scegliere di non immettere la password una seconda volta. In questo caso, il file system cifrato non viene montato e il sistema operativo continua la procedura di avvio bloccando l'accesso ai dati. La partizione risulta disponibile a tutti gli utenti dopo che è stata montata.

Se si desidera montare il file system cifrato solo in caso di necessità, abilitare Non montare durante l'avvio nella finestra di dialogo Opzioni. La partizione corrispondente non verrà montata durante l'avvio del sistema. Per renderla disponibile successivamente, è necessario montarla manualmente tramite il comando mount nome_partizione punto_montaggio. Immettere la password quando richiesto. Dopo avere utilizzato la partizione, smontarla tramite il comando umount nome_partizione per impedire l'accesso da parte di altri utenti.

4.3.1.2. Creazione di una partizione cifrata in un sistema in esecuzione

[Warning]attivazione della cifratura in un sistema in esecuzione

È inoltre possibile creare partizioni cifrate in un sistema in esecuzione seguendo una procedura simile a quella utilizzata durante l'installazione. La cifratura di una partizione esistente, tuttavia, comporta la distruzione di tutti i dati esistenti.

In un sistema in esecuzione selezionare Sistema+Partizionamento nel centro controllo YaST. Fare clic su per continuare. Anziché selezionare Crea come specificato sopra, fare clic su Modifica. La restante parte della procedura è identica.

4.3.1.3. Installazione di file cifrati

Anziché utilizzare una partizione, è possibile creare file system cifrati all'interno di singoli file per la memorizzazione di dati riservati. Questi file system vengono creati nella stessa finestra di dialogo di YaST. Selezionare File cifrato e immettere il percorso del file da creare nonché la dimensione prevista. Accettare le impostazioni di formattazione proposte e il tipo di file system. Specificare quindi il punto di montaggio e scegliere se il file system cifrato deve essere montato durante l'avvio del sistema.

I file cifrati offrono il vantaggio di poter essere aggiunti senza ripartizionare il disco rigido. Vengono montati con l'ausilio di un dispositivo con loop e hanno un comportamento analogo a quello delle normali partizioni.

4.3.1.4. Uso di vi per la cifratura di file

Lo svantaggio derivante dall'uso di partizioni cifrate è che durante il montaggio della partizione i dati sono accessibili almeno dall'utente root. Per evitare questo inconveniente, è possibile utilizzare vi in modalità cifrata.

Utilizzare vi -x nomefile per modificare un nuovo file. Verrà chiesto di impostare una password, dopo di che il contenuto del file verrà cifrato. Ogni volta che si accederà a questo file, verrà richiesta la password.

Per aumentare ulteriormente il livello di protezione, è possibile inserire il file di testo cifrato in una partizione cifrata. Poiché la cifratura applicata in vi non è di livello avanzato, è consigliabile adottare questo ulteriore accorgimento.

4.3.2. Cifratura del contenuto di supporti rimovibili

YaST gestisce i supporti rimovibili come dischi rigidi esterni e le unità flash USB come qualsiasi altro disco rigido. I file o le partizioni su tali supporti possono essere cifrati come descritto sopra. Evitare, tuttavia, di montare questi supporti durante l'avvio del sistema perché in genere sono connessi solo mentre il sistema è in esecuzione.