Continuamos con la instalación de nuestro sistema operativo cifrado, ahora vamos a continuar con la parte final del proceso de instalación y debemos estar con los ojos abiertos a cualquier problema, error o duda. Es recomendable, por sencillo que parezca esta instalación, tomar notas de los pasos, conceptos importantes y demás para que en un futuro se faciliten las posteriores instalaciones.
Nos habíamos quedado en la creación de un volumen lógico.
Ahora selecciona crear volumen lógico y continua seleccionando vg, ahora pedirá que tipo de volumen es, escribe root.
En la siguiente pantalla, pedirá el tamaño del volumen; tomando en cuenta la capacidad de memoria RAM de la computadora donde estás instalando el sistema, si tienes menos de 2GB de RAM, debes crear una partición de intercambio o el sistema no podrá funcionar. Elige 32044MB de tamaño o 30044 si quieres una partición swap. Presiona enter para continuar.
La siguiente pantalla solo es necesaria si quieres crear la partición de intercambio, selecciona "create logical volume" y da enter. Ahora te muestra un resumen de la configuración, selecciona finalizar y enter.
Ahora verás una tabla del particionado del disco, selecciona la entrada “LVM VG vg, LV root.” y presiona enter, después selecciona “Use as: do not use” y avanza.
La pantalla que sigue muestra la manera de como vas a usar la particion, selecciona “Ext4 journaling file system” y presiona enter. Ahora vamos seleccionar “Mount point: none” para punto de montaje. Presiona enter.
Ahora selecciona “/ - the root file system” y da enter. Estableces aquí el punto de montaje en /. Selecciona entonces “done setting up the partition” y presiona enter.
Después sigue unos sencillos pasos si elegiste crear una partición de intercambio, sino solamente marca “finish partitioning and write changes to disk” en la pantalla del instalador y presiona enter. Confirma de nuevo escribir los cambios en el disco, presiona enter.
Terminado el particionado del disco ahora queda seguir los sencillos pasos de instalación normal del sistema base de Debian, te mostraran pantallas sobre que aplicaciones quieres instalar, el mirror, etc. En una pantalla pedirá crear el GRUB Boot Loader Elige NO instalar GRUB.
Esta parte ahora es importante, te pedirá el instalador que selecciones el tipo de dispositivo que será necesario para arrancar el sistema instalado. Recuerda que hemos creado esta instalación para ser arrancada por una llave USB, entonces necesitas escribir /dev/sdc, que es la ubicación del dispositivo.
Una vez esperado el tiempo de instalación y que te informe que está completa, retira el disco de instalación o unidad USB y presiona enter.
Finalizando.
El instalador te pedirá o automáticamente reiniciara la computadora. Después verás un mensaje en la terminal del sistema indicando la contraseña que habíamos creado durante la instalación. Ahora verás la clásica pantalla de login de Debian pidiendo nombre de usuario y contraseña. Una vez dentro del sistema operativo, abre el menú de aplicaciones y busca la terminal (ejecutarla como root)
Ahora verás una terminal, aquí vamos a crear el archivo necesario para desbloquear el disco duro en un futuro. Escribe esta linea:
|
1 |
dd if=/dev/random of=/keyfile bs=1 count=4096 |
Se va a crear un archivo de 4kb con datos aleatorios. Esto puede durar unos minutos. Podemos ayudar al sistema creando más entropía jugando o haciendo gestos con el ratón y teclado.
Una vez creado el archivo, ahora vamos a editar /etc/crypttab, un archivo que usa Debian para saber como manejar los discos encriptados al inicio del sistema. Usa tu editor favorito para editarlo. El contenido debe iniciar con el nombre de tu disco encriptado, que seria sda5 o sda6, según tu sistema. Ahora ubicate en la parte final de la linea del archivo, borra “none luks” y pega o escribe la siguiente linea:
|
1 |
/boot/keyfile.gpg luks,keyscript=/lib/cryptsetup/scripts/decrypt_gnupg |
Guarda los cambios.
Ahora vamos a agregar el archivo al anillo de llaves de LUKS. Necesitamos el nombre del disco cifrado (sda5 o sda6), escribe ahora esto en la terminal y presiona enter:
|
1 |
cryptsetup luksAddKey /dev/YourDeviceName /keyfile |
Te pedirá la clave que creamos durante la instalación.
Ahora vamos a encriptar el archivo keyfile con GPG usando el algoritmo de cifrado AES256, una cosa robusta, escribe lo siguiente:
|
1 |
gpg -c --cipher-algo AES256 /keyfile |
Puedes usar la misma contraseña del disco cifrado o escribir una nueva. Recuerda que esta será la contraseña que vas a teclear cada vez que inicie el sistema de ahora en adelante.
Ahora copiamos el archivo a una USB si lo necesitamos en un futuro:
|
1 |
mv /keyfile.gpg /boot/keyfile.gpg |
Vamos entonces a actualizar el arranque para usar el archivo encriptado, escribimos en la terminal “update-initramfs -u” y presiona enter. Ahora reinicia.
Entra de nuevo al sistema, usando primero la clave de para el disco cifrado, luego tu clave de usuario para Debian.
Siguiente paso es remover la clave inicial para el disco duro cifrado. El sistema de cifrado LUKS usa algo llamado keyring. Hasta el momento tenemos dos claves en el keyring: la primera que hemos creado durante la instalación y la creada y cifrada con GPG, o sea los 4kb de datos aleatorios. Eliminando la clave que hemos creado primero, haremos que solo el archivo cifrado sea usado para desencriptar el disco duro. Como sabemos, hasta ahora nadie puede recordar en memoria 4kb de datos aleatorios. CUIDADO: si destruyes la llave USB los datos en tu disco duro serán perdidos para siempre (por ahora).
En una teminal somo root escribe:
|
1 |
cryptsetup luksKillSlot /dev/YourDeviceName 0 --key-file /keyfile |
Ahora si, vamos a eliminar de manera segura la clave del disco duro. Esto minimiza el riesgo si alguien la descubre por ahí. Escribe:
|
1 |
shred -n 30 -uvz /keyfile |
Muy bien, felicidades, se ha finalizado el largo y precioso proceso de cifrado de un disco duro con Debian instalado. Si has llegado hasta aquí siguiendo los pasos, lidiando con errores o aclarando confusiones, enhorabuena, ya eres uno de los afortunados. Has ganado... experiencia!
