Como instalar o Debian 8/9 de forma segura, com LVM e Criptografia de Disco!

Hoje, o Matheus Fidelis trás mais um artigo e acredito que é interesse de muitos saber como instalar o Debian 8 de forma segura e com LVM e Criptografia de Disco! Então, vamos ver o artigo dele e mãos à obra!

Neste artigo estarei abordando a instalação segura do sistema operacional Debian 8 Jessie ou Debian 7 Wheezy e seus derivados como o Kali Linux entre outros. Neste exemplo estarei fazendo a instalação de um servidor vindo de uma minimal ISO em um ambiente virtual, porém os passos podem ser reproduzidos em ambientes reais como servidores e computadores pessoais.

Considerandos as informações acima estaremos lidando com dois tipos tipos de criptografia, sendo uma delas a nível de Disco onde estaremos instalando o sistema inteiro em um volume LVM criptografado inteiramente e logo abaixo em estaremos criando uma encriptação a nível de arquivo sobre tudo que se encontra dentro da partição /home/usuário.

As filesystem LVM normalmente são utilizadas para guardar aplicações que vão suportar muito storage ou bancos de dados que correm o risco de aumentar de tamanho, possibilitando a qualquer hora o administrador de sistemas acionar o “trunfo” da LVM, o aumento ou diminuição de espaço dinamicamente entre partições LVM sem necessariamente mexer em nada na aplicação, tornando tudo mais escalável. Porém outro recurso muito interessante desses volumes é a possibilidade de estender seus recursos a um nível de criptografia.

Nao passo de definir as partições do disco, vamos selecionar a opção “Assistido – Usar disco inteiro e LVM criptografado” e selecionar o disco que queremos trabalhar. No caso estou usando um disco virtual de 8 GB apenas para demonstração em um ambiente controlado.

1.2. – Agora devemos escolher o esquema de particionamento. Até deve ser bem familiar pra você, pois não mudou muita coisa de uma instalação normal pra essa. Os passos que vão diferenciar a construção de um disco virtual de um normal vão ser tratadas a partir daqui. Bom, existem duas formas de executar o passo a seguir: Uma delas é executar a instalação do sistema inteiro em uma unica partição e outra é separando manualmente o espaço da partição raiz e da Home. No caso necessito apenas instalar todas as pastas da raiz em uma única partição, então vamos escolher a opção “Todos os arquivos em uma unica partição” e em seguida gravar as mudanças no disco.

1.3. – Após aceitar as mudanças, o sistema irá executar uma especie de “Wipe” no disco afim de garantir a segurança dos dados presentes no mesmo até o momento. Esta etapa demora e é opcional e pode ser cancelada a qualquer momento. Vai de você…

1.4. -Agora será um passo importante, no qual iremos definir uma senha no disco criptografado. Essa senha será pedida logo no boot do sistema, após o “OK” do Boot Loader. É ela que vai manter nosso disco cifrado e seguro. Então informe e repita a mesma para executar a instalação. Depois disso o sistema irá nos mostrar uma “Árvore” com a estrutura do disco do servidor. Basta “Finalizar o particionamento e escrever as mudanças no disco” e continuar a instalação do sistema do modo convencional, selecionando os espelhos e pacotes adicionais se necessário.

No final da instalação, reinicie o servidor e aguarde o próximo boot. Logo após a chamada do bootloader e seleção do Kernel, será necessário informar a senha que criamos para o disco para iniciar a abertuda do volume criptografado e continuar com o boot do Linux:

Pronto, agora já temos uma instalação efetuada sobre um volume cifrado no disco.

[code type=”Cole no terminal como ROOT e pressione ENTER”]apt-get update ; apt-get upgrade[/code]

Agora vamos baixar o eCryptFS para encriptar nossa filesystem:

[code type=”Cole no terminal como ROOT e pressione ENTER”]apt-get install ecryptfs-utils rsync[/code]

Habilite a inicialização do mesmo no Kernel durante o inicio do sistema

[code type=”Cole no terminal como ROOT e pressione ENTER”]modprobe ecryptfs[/code]

Agora deslogue do seu usuário e logue como Root, se possível reinicie a máquina e em modo texto, digite:

[code type=”Cole no terminal como ROOT e pressione ENTER”]ecryptfs-migrate-home -u matheus[/code]

Informe e repita a senha do usuário. O sistema irá utilizar a mesma como chave para criptografar e descriptografar os itens da home.

Esse processo irá efetuar uma criptografia a nível de arquivo em todos os diretórios encontrados a partir do diretório home do usuário apontado, portanto se já houver muitos dados, talvez isso demore um pouco para terminar. Após ficar tudo ok, reinicie a máquina. Após ela bootar, logue com seu usuário em modo texto e digite:

[code type=”Cole no terminal como ROOT e pressione ENTER”]ecryptfs-unwrap-passphrase[/code]