Encriptar disco completo via terminal

Este manual describe como instalar Trisquel usando encriptación completa de disco.

• swap estará cifrado.
• root (/) estará cifrado.
• boot (/boot) no puede cifrarse, pero podría estar en una memoria USB o en un CD-ROM no regrabable (no se trata aquí).

Instrucciones

• Arranca el CD, DVD o memoria USB en el entorno en directo.
• Conéctate a la red usando NetworkManager (ubicado en el extremo derecho del panel).
• Abre el terminal y conviértete en raíz:

sudo su

• Instalar cryptsetup y gparted:

apt-get update
apt-get install gparted
apt-get install cryptsetup

• Lanza gparted y particiona tu disco duro como normalmente harías (así que crea un sistema de archivos en la partición, etc.) creando particiones válidas sin cifrar.

• La opción predeterminada es aes-xts-plain64'. Otro ejemplo es aes-xts-essiv:256', que usaremos en esta documentación.

• Cargar los módulos del cifrado elegido:

modprobe xts
modprobe aes_i586 
modprobe sha256

Ten en cuenta que aes_i586 es una versión optimizada de aes para CPU X86 i586 o posterior. Para una arquitectura de 64 bits (amd64), tienes que cargar el módulo aes_x86_64.

• Formatea la partición que has elegido para root(/) con cryptsetup :

cryptsetup -y --cipher aes-xts-essiv:sha256 --key-size 512 luksFormat /dev/PARTITION

• Sustituye /dev/PARTITION por tu partición. 'Sobrescribirá todos los datos de la partición.

• Abrir la partición (reemplazar /dev/PARTITION según sea necesario):

cryptsetup luksOpen /dev/PARTITION crypto_root

• Formatea la partición usando el sistema de archivos que quieras (preferiblemente ext4, o XFS si no te importa que las particiones no puedan reducirse en XFS). Para un sistema de archivos ext4, ejecuta:

mkfs.ext4 /dev/mapper/crypto_root

• Inicia el instalador de Trisquel y procede al paso 4, particionamiento del disco duro.
• Selecciona particionamiento manual y luego selecciona tu partición raíz (/) como /dev/mapper/crypto_root. *Selecciona tu partición de swap
• Selecciona tu partición unencrypted /boot'
• Ten cuidado de no'' de recrear la tabla de partición.
• Procedan con la instalación. Cuando termine, selecciona seguir probando Trisquel. No reinicies''.

• Monta tu partición raíz y chroot en ella:

mkdir /mnt/root
mount /dev/mapper/crypto_root /mnt/root
mount /dev/ /mnt/root/dev -o bind
chroot /mnt/root mount /proc
chroot /mnt/root mount /sys
chroot /mnt/root

• Crea el '''etc/crypttab' reemplazando /dev/PARTITION según sea necesario:

echo "root /dev/disk/by-uuid/$(blkid -o value -s UUID /dev/PARTITION) none luks" >> /etc/crypttab

• Añade los módulos cifrado que has elegido antes a /etc/módulos para que carguen al arrancar y se incluyan en el inicio:

echo xts >> /etc/initramfs-tools/modules
echo aes_i586 >> /etc/initramfs-tools/modules
echo aes_x86_64 >> /etc/initramfs-tools/modules # for amd64 arch
echo sha256 >> /etc/initramfs-tools/modules

• Instalar cryptsetup:

apt-get update
apt-get install cryptsetup

• Remontar el initrd:

mount /boot
update-initramfs -u

• Salir de chroot y desmontarlo todo:

exit
umount /mnt/root/boot
umount /mnt/root/proc
umount /mnt/root/dev
umount /mnt/root/sys

• Por último, reinicia Trisquel. Se te pedirá la contraseña de cifrado del disco duro.