4.3. Criptografando partições e arquivos

Todo usuário tem alguns dados confidenciais que não devem ser acessados por terceiros. Quanto mais abrangentes forem sua conexão e mobilidade, mais cuidado você deve ter para tratar seus dados. A criptografia de arquivos ou de partições inteiras será recomendável se outras pessoas tiverem acesso por uma conexão de rede ou acesso físico direto.

[Warning]A mídia criptografada é uma proteção limitada

Lembre-se de que, com os métodos descritos nesta seção, você não pode impedir que seu sistema em execução seja comprometido. Após a montagem da mídia criptografada, todas as pessoas com permissões adequadas terão acesso a ela. A mídia criptografada será útil se você perder seu computador ou se ele for roubado e pessoas não autorizadas quiserem ler seus dados confidenciais.

A lista a seguir apresenta diversos cenários de uso imagináveis.

Laptops

Se você levar seu laptop em uma viagem, é uma boa idéia criptografar as partições do disco rígido que contenham dados confidenciais. Se você perder o laptop ou se ele for roubado, seus dados ficarão fora de alcance se residirem em um sistema de arquivos criptografado ou em um único arquivo criptografado.

Mídia removível

Unidades flash USB ou discos rígidos externos são tão suscetíveis a roubo quanto laptops. Um sistema de arquivos criptografado fornece proteção contra o acesso de terceiros.

Estações de trabalho

Em empresas nas quais quase todas as pessoas têm acesso ao seu computador, pode ser útil criptografar a partição ou arquivos individuais.

4.3.1. Configurando um sistema de arquivos criptografado com o YaST

O YaST permite a criptografia de arquivos ou partições durante a instalação, bem como em um sistema já instalado. É possível criar um arquivo criptografado a qualquer momento, pois ele se ajusta perfeitamente ao layout de uma partição existente. Para criptografar uma partição inteira, separe uma no layout de partições. A proposta padrão de particionamento, como sugerida pelo YaST, não inclui por padrão uma partição criptografada. Adicione-a manualmente na caixa de diálogo de particionamento.

4.3.1.1. Criando uma partição criptografada durante a instalação

[Warning]Entrada de senha

Observe os avisos sobre segurança de senhas ao definir a senha de partições criptografadas e memorize-a também. Sem a senha, os dados criptografados não podem ser acessados nem restaurados.

A caixa de diálogo do especialista do YaST em particionamento, descrita na Seção 2.9.5, “Particionador” (↑Inicialização), oferece as opções necessárias para criar uma partição criptografada. Clique em Criar como se estivesse criando uma partição normal. Na caixa de diálogo exibida, digite os parâmetros de particionamento para a nova partição, como a formatação desejada e o ponto de montagem. Para concluir o processo, clique em Sistema de Arquivo Criptografado. Na caixa de diálogo seguinte, digite a senha duas vezes. A nova partição criptografada é criada depois que você clica em OK para fechar a caixa de diálogo de particionamento. Durante a inicialização, o sistema operacional solicita a senha antes da montagem da partição.

Se você não quiser montar a partição criptografada durante a inicialização, clique em Enter quando a senha for solicitada. Em seguida, não digite a senha novamente. Nesse caso, o sistema de arquivos criptografado não será montado, e o sistema operacional continuará a inicialização bloqueando o acesso aos seus dados. Uma vez montada, a partição estará disponível a todos os usuários.

Se o sistema de arquivos criptografado somente for montado quando necessário, habilite a opção Não Montar na Inicialização do Sistema na caixa de diálogo Opções de fstab. A respectiva partição não será montada durante a inicialização do sistema. Para torná-la disponível no futuro, monte-a manualmente com mount nome_da_partição ponto_de_montagem. Digite a senha quando solicitada. Após terminar o trabalho na partição, desmonte-a com umount nome_da_partição para protegê-la contra o acesso de outros usuários.

4.3.1.2. Criando uma partição criptografada em um sistema em execução

[Warning]Ativando a criptografia em um sistema em execução

Também é possível criar partições criptografadas em um sistema em execução como ocorre na instalação. Contudo, a criptografia de uma partição existente destrói todos os respectivos dados.

Em um sistema em execução, selecione Sistema+Particionamento no centro de controle do YaST. Clique em Sim para continuar. Em vez de selecionar Criar como mencionado acima, clique em Editar. O restante do procedimento é igual.

4.3.1.3. Instalando arquivos criptografados

Em vez de usar uma partição, é possível criar sistemas de arquivos criptografados dentro de arquivos individuais para armazenar dados confidenciais. Esses sistemas são criados na mesma caixa de diálogo do YaST. Selecione Arquivo Crypt e digite o caminho do arquivo a ser criado, bem como seu tamanho pretendido. Aceite as configurações de formatação propostas e o tipo do sistema de arquivos. Em seguida, especifique o ponto de montagem e decida se o sistema de arquivos criptografado deve ser montado quando o sistema for inicializado.

A vantagem dos arquivos criptografados é que eles podem ser adicionados sem o reparticionamento do disco rígido. Eles são montados com a ajuda de um dispositivo de loop e se comportam como partições normais.

4.3.1.4. Usando o vi para criptografar arquivos

A desvantagem de usar partições criptografadas é que, enquanto elas são montadas, pelo menos root pode acessar os dados. Para evitar isso, o vi pode ser usado no modo criptografado.

Use vi -x nomedoarquivo para editar um novo arquivo. O vi solicita que você defina uma senha e, em seguida, criptografa o conteúdo do arquivo. Sempre que você acessar esse arquivo, o vi solicitará a senha correta.

Para obter mais segurança, você pode incluir o arquivo de texto criptografado em uma partição criptografada. Isso é recomendável porque a criptografia usada no vi não é muito eficiente.

4.3.2. Criptografando o conteúdo da mídia removível

O YaST trata a mídia removível, ou seja, discos rígidos externos ou unidades flash USB, como qualquer outro disco rígido. É possível criptografar arquivos ou partições nesse tipo de mídia, como descrito acima. Contudo, não faça a montagem dessas mídias durante a inicialização do sistema, pois normalmente elas só ficam conectadas enquanto o sistema está em execução.