Capítulo 34. Seguridad en Linux / 34.3. Codificación de archivos y particiones | ||||
|---|---|---|---|---|
 | 34.2. SSH: trabajar de forma segura en red | 34.4. Seguridad y privacidad |  | |
Capítulo 34. Seguridad en Linux / 34.3. Codificación de archivos y particiones | ||||
|---|---|---|---|---|
| 34.2. SSH: trabajar de forma segura en red | 34.4. Seguridad y privacidad | | |
Cualquier usuario posee datos confidenciales que no deben mostrarse a terceras partes no autorizadas. Cuanto más se trabaje de forma móvil o en red, más en serio debe tomarse el tema de la seguridad en relación con los datos. Se recomienda codificar archivos o particiones enteras cuando terceras partes tengan acceso al sistema, bien sea físicamente o a través de una conexión de red. La siguiente lista menciona algunos escenarios de aplicación posibles:
Si normalmente trabaja de forma móvil y suele transportar datos confidenciales en el portátil, se recomienda codificar las particiones correspondientes en el disco duro. En caso de pérdida o robo del portátil, los datos que se hayan guardado en una partición codificada o en un sistema de archivos codificado basado en un archivo estarán a salvo de miradas indiscretas.
El riesgo de robo en el caso de los sticks USB o discos duros externos es el mismo que en el caso de un portátil. Un sistema de archivos codificado le ofrece también aquí protección de cara a terceros.
YaST le ofrece la posibilidad de codificar archivos o directorios tanto durante la instalación como en el sistema instalado. Un sistema de archivos codificado puede crearse siempre, ya que se integra perfectamente en la estructura existente de particiones. Por su parte, una partición codificada sólo puede crearse cuando la estructura de particiones proporcione a tal efecto una partición dedicada. El particionamiento estándar sugerido por YaST durante la instalación no prevé espacio adicional para una partición codificada. Por lo tanto, en este caso ha de modificar manualmente la estructura de particionamiento para poder crear una partición codificada.
![[Warning]](admon/warning.png) | Contraseña |
|---|---|
Tenga en cuenta las advertencias de seguridad a la hora de definir la contraseña y recuerde bien ésta. En caso de olvidar la contraseña, no podrá volver a acceder a los datos codificados. | |
En el diálogo avanzado de particionamiento () descrito en la Sección 2.7.5, “Particionamiento”, seleccione el botón para crear una partición codificada como si se tratara de una partición cualquiera. A continuación se abre un diálogo donde puede introducir los parámetros de particionamiento. Introduzca aquí el tipo de formato y el punto de montaje de la nueva partición y pulse . En el siguiente diálogo puede introducir la contraseña que va a utilizar, la cual debe escribirse dos veces por razones de seguridad. La partición codificada se crea al abandonar el diálogo de particionamiento con . La próxima vez que inicie el sistema deberá introducir la contraseña para que la partición codificada pueda montarse.
Si no desea montar la partición codificada durante el arranque, deje vacío el apartado correspondiente a la contraseña y responda negativamente a la pregunta sobre la repetición de la contraseña. En este caso, el sistema de archivos codificado no se montará y el resto del sistema será iniciado como de costumbre. El montaje automático de una partición codificada durante el arranque debilita el concepto de seguridad subyacente. Esto se debe a que la partición está disponible para todos los usuarios una vez que el sistema ha arrancado, a no ser que vuelva a desmontarse inmediatamente después de acceder a ella. Por lo tanto, esta opción sólo tiene sentido si desea proteger contra robo un dispositivo móvil utilizado sólo por usted y que esté apagado en el momento del robo.
Para no tener que introducir la contraseña cada vez que el sistema arranque
y poder montar la partición codificada sólo cuando sea necesario, seleccione la
opción en el diálogo
. La partición correspondiente se ignorará
durante el arranque y deberá montarse explícitamente para poder acceder a ella:
mount nombre_partición punto_montajenombre_partición después de
utilizarla.
| Activar la codificación en el sistema activo |
|---|---|
De manera similar al proceso descrito anteriormente para la instalación, es posible crear particiones codificadas mientras el sistema está en funcionamiento. No obstante, debe tener presente que, al codificar una partición ya disponible, todos los datos existentes se perderán. | |
Seleccione en el sistema activo el módulo de YaST a través del menú del Centro de Control de YaST. Conteste a la pregunta de seguridad sobre el particionamiento en el sistema activo. A continuación se muestra una lista de todas las particiones disponibles. En lugar de , pulse aquí . A partir de este punto, proceda como se describe en las líneas anteriores.
Además de particiones enteras, también puede crear sistemas de archivos codificados basados en archivos para albergar sus datos confidenciales. Como en el caso de las particiones codificadas, el punto de partida es el diálogo de YaST . Seleccione la opción e introduzca en el siguiente diálogo la ruta al archivo y su tamaño. Acepte las opciones preseleccionadas correspondientes al formateado y por último defina si el sistema de archivos ha de montarse durante el arranque.
La ventaja de los archivos codificados reside en que pueden añadirse sin necesidad de modificar las particiones del disco duro. Se montan mediante un dispositivo de bucle y se manejan como particiones normales.
Un inconveniente de las particiones codificadas es que, mientras las
particiones estén montadas, al menos el usuario root tiene acceso a los datos. Para evitarlo es
posible utilizar el editor vi en modo codificado.
Ejecute el comando vi -x nombre_archivo
para editar un nuevo archivo. Tras solicitar una contraseña, vi codificará el
contenido del archivo. Cada vez que desee acceder a este archivo, vi le
pedirá la contraseña.
Para obtener un máximo nivel de seguridad, puede guardar el archivo codificado en una partición cifrada. Esto puede resultar muy útil ya que el mecanismo criptográfico que utiliza vi no es muy seguro.
Los medios extraíbles tales como los discos duros externos o los sticks USB son detectados por YaST de la misma forma que otros discos duros. Si desea codificar archivos o particiones en estos medios, proceda como se ha descrito arriba. En cualquier caso debe seleccionar la opción en el diálogo de , ya que este tipo de medios no suele estar disponible durante el arranque sino que se conecta posteriormente cuando el sistema está activo.
