Instalar ArchLinux cifrando el disco con dm-Crypt y LUKS – Parte I

Un sistema instalado sobre un disco sin cifrar es accesible. Tan solo hay que modificar una entrada en el gestor de arranque o, en caso de que esté protegido, arrancar con otro sistema. Bastará montar el disco al que queremos acceder y podremos extraer toda la información, contraseñas de usuarios, etc.

El cifrado de discos antes de instalar un sistema, es muy importante para prevenir el acceso a los datos en caso de pérdida del equipo. En algunas distribuciones podemos realizar este cifrado desde su instalador (es el caso de Debian y derivadas o Fedora). En el caso de ArchLinux y otras distribuciones, esto no es así, por lo que veremos un método para realizar esta tarea.

Consideraciones previas

Lo primero que debemos tener en cuenta es el tipo de cifrado que utilizaremos. En principio, tenemos dos posibilidades:

• Cifrar a nivel de bloque (dispositivo o partición).
• Cifrar a ninel de archivos (únicamente directorios o archivos específicos).

De las opciones que disponemos en ArchLinux para cifrar a nivel de bloque, vamos a utilizar dm-Crypt con LUKS. El dm-Crypt viene con el kernel del sistema y nos permite mapear un dispositivo cifrado en otro virtual , que será el que contendrá los datos sin cifrados. LUKS es una capa de abstracción que se encarga de almacenar la configuración de dm-Crypt y nos permite una utilización del disco más fácil, además de la gestión de claves, por lo que podremos disponer de más de una (hasta ocho) por dispositivo cifrado.

Con este método, además de poder tener varias claves por dispositivo, podremos crear un keyfile (un fichero que contiene la clave, de forma que podemos almacenarlo en un pendrive y arrancar el sistema con el conectado, sin necesidad de introducir la clave manualmente).

A la hora de particionar, dispondríamos, en general, de dos opciones:

• Cifrar todo el dispositivo, es decir, todo el disco. En este caso utilizaríamos dm-Crypt plain y perdemos las ventajas de LUKS.
• Cifrar las particiones con dm-Crypt+LUKS. Esta es la opción que vamos a utilizar, es la más flexible.

Además de esto, vamos a utilizar LVM (Logical Volume Manager). En general, en un contenedor LVM, podremos crear particiones virtuales. Lo bueno de LVM es que nos permite añadir dispositivos para redimensionar las particiones virtuales, sin necesidad de formatear.

Ahora, tenemos dos opciones más para elegir:

• Cifrar la partición y, dentro de ésta, crear el LVM. Nos permite ocultar que estamos utilizando un contenedor LVM, pero no podremos añadir/quitar dispositivos a una partición, sin tener que volver a crearla.
• Crear un volumen LVM y cifrar las particiones creadas. Nos va a permitir redimensionar y utilizar sistemas cifrados y sin cifrar. No ocultamos la existencia de un contenedor LVM.

En resumen:

Vamos a crear un contenedor LVM, vamos a cifrar las particiones que creemos dentro de él y, salvo la partición donde se montará el sisema raíz, el resto se descifrarán con un keyfile alojado dentro de ésta.

Este método nos va a permitir una gran flexibilidad a la hora de mantener el sistema. Es la utilizada, por ejemplo, por Debian en el instalador.

Esquema de partionado

Para que el sistema pueda arrancar, primero ha de descifrar la partición donde está alojado el sistema raíz. Esto obliga a  separar el /boot, directorio donde reside el gestor de arranque , para que pueda ser legible y pueda, al cargar el kernel, descifrar el resto del sistema.

En esta guía vamos a instalar utilizando el nuevo sistema de particiones GPT, con una placa base con firmware BIOS. Además, utilizaremos GRUB, por lo que será necesario crear una partición adicional (no estará cifrada), de tipo EF02, para poder arrancar. Para un sistema UEFI, será similar, con la salvedad de que la partición destinada a /boot debe estar formateada como FAT32 (tipo EF00), de un tamaño mínimo de 512 MB (aconsejado  1 GB) y no será necesaria la partición adicional antes mencionada.

Suponiendo que el disco donde vamos a instalar sea el /dev/sda, vamos a crear las particiones siguientes:

1. /dev/sda1 <– Tipo EF02, tamaño uno o dos megas.
2. /dev/sda2 <– Para /boot, con 300 MB estará bien. Si el sistema es UEFI, tipo EF00, de 1 GB
3. /dev/sda3 <– Contenedor LVM, con el espacio para el sistema raíz (entre 30 y 40 GB), más el espacio para home y swap. Dentro del contenedor crearemos:

• rootvol <– Partición virtual para el sistema raíz.
• homevol <– Partición virtual para el home.
• swap <– A partir de 2 GB de RAM, no es necesaria, tan solo si queremos hibernar el equipo. Dependiendo de qué utilicemos para hibernar, necesitamos más o menos swap. Con un tamaño del 60% de RAM será suficiente. Para equipos con menos de 1GB, el doble que la RAM del sistema.

En el ejemplo, con la máquina virtual, utilizaremos 8 GB para el raiz, 1 GB para el home y 1 GB para la swap.

Iniciando el sistema

Arrancamos el equipo con el medio de instalación. Si hemos descargado la versión dual y nuestra máquina soporta 64 Bits, nos permitirá elegir esta opción. Si no lo soporta, no aparece.

Una vez iniciado el sistema, hay que establecer el mapa de teclado y el idioma del sistema. Por defecto, está en inglés.

Para ello, bastará ejecutar:

loadkeys es

Ya tenemos el teclado en nuestro idioma, ahora editamos el /etc/locale.gen y localizamos las entradas correspondientes, eliminamos la # para descomentar y guardamos el archivo. Si utilizamos nano, con CTRL+w podemos buscar la cadena es_ES y, con CTRL+x, guardar y salir del editor. Las líneas a descomentar son:

es_ES.UTF-8 UTF-8
es_ES ISO-8859-1
es_ES@euro ISO-8859-15

Una vez hecho esto, generamos los locales y exportamos la variable LANG, que indica al sistema el idioma en que se encuentra:

locale-gen
export LANG=es_ES.UTF-8

Si nuestra red es cableada y con DHCP activado, deberíamos tener conexión. Si es wifi, primero deberemos levantarla. Después, con wifi-menu la configuraremos. Para conocer cómo se llama la interfaz de red wifi, ejecutamos:

iwconfig
# Nos devuelve las interfaces y nos informa si son wireless o no.
ip link set nombre_interfaz up
wifi-menu nombre_interfaz

Particionamos el disco

Podemos proceder a crear las particiones. Para ello utilizaremos el comando cgdisk, similar al cfdisk, pero para particionado GPT. Lo invocamos con el disco en el que vamos a instalar:

cgdisk /dev/sda

La primera partición que crearemos será la Bios Boot Partition. Nos situamos en New, pulsamos intro, dejamos como primer sector el que viene por defecto. En la siguiente pregunta, ponemos +1M. En el tipo especificamos EF02.

En el espacio restante, creamos otra partición, dejando el primer sector el que nos indique y especificando en la siguiente pregunta +300MB.  Ésta será la /boot, podemos dejar el tipo de partición por defecto. En el caso de UEFI, el tamaño será de un 1G y el tipo EF00.

En el espacio libre que queda, le damos a New y dejamos el sector incial y final el que venga por defecto. Para el tipo de partición, eligiremos la LVM (código 8e00).

Ahora creamos el volumen LVM y, dentro de él, los volumenes virtuales. Es posible que haya que cargar el módulo encardado de mapear dispositivos, el dm-mod:

#Comprobamos que dm-mod está cargado
lsmod |grep dm-mod
#Si no hay salida, ejecutamos:
modprobe dm-mod

#Creamos el contenedor LVM
pvcreate /dev/sda3

#Definimos el grupo virtual
vgcreate Datos /dev/sda3

#Creamos los volúmenes (particiones) virtuales
lvcreate -L 8G Datos -n rootvol
lvcreate -L 1G Datos -n homevol
lvcreate -C y -l +100%FREE Datos -n swapvol
# -C y para el swap, para que no la divida entre varios discos,
# en caso de que añadamos más o utilicemos más de uno

#Ciframos los volúmenes, las claves se pueden modificar
#y añadir más después
cryptsetup luksFormat /dev/Datos/rootvol
cryptsetup luksFormat /dev/Datos/homevol
cryptsetup luksFormat /dev/Datos/swapvol

#Abrimos los volúmenes
cryptsetup open --type luks /dev/Datos/rootvol root
cryptsetup open --type luks /dev/Datos/homevol home
cryptsetup open --type luks /dev/Datos/swapvol swap

Ya tenemos el sistema particionado, vamos a formatear:

mkfs.ext4 /dev/mapper/root
mkfs.ext4 /dev/mapper/home
mkswap /dev/mapper/swap
swapon /dev/mapper/swap
mkfs.ext4 /dev/sda2

Podemos ver estos pasos en el siguiente vídeo:

En la próxima entrada, instalaremos el sistema base y completaremos la configuración para un primer reinicio.

Fuente:

• https://wiki.archlinux.org/index.php/Encryption
• https://wiki.archlinux.org/index.php/LVM

Segunda parte: https://archeando.wordpress.com/2013/12/09/instalar-archlinux-cifrando-el-disco-con-dm-crypt-y-luks-parte-ii/