Escolar Documentos
Profissional Documentos
Cultura Documentos
http://www.vivaolinux.com.br/artigos/impressora.p...
Preparativos iniciais
1 de 12
11-04-2011 10:26
http://www.vivaolinux.com.br/artigos/impressora.p...
Requerimentos
Kernel: >= 2.6.20 Suporte para udev Partio de boot separada. Algum mecanismo para backup. No meu caso utilizei um velho disco rgido de 20GB Pacincia e persistncia.
Preparando o kernel
O seu kernel deve estar configurado com as opes a seguir: # make menuconfig General setup ---> [*] Initial RAM filesystem and RAM disk (initramfs/initrd) support () Initramfs source file(s) (Deixe este campo em branco!) Device Drivers ---> [*] Multiple devices driver support (RAID and LVM) ---> <*> Device mapper support <*> Crypt target support --- Cryptographic API ---> <*> SHA256 digest algorithm <*> SHA384 and SHA512 digest algorithms <*> Blowfish cipher algorithm <*> Serpent cipher algorithm <*> AES cipher algorithms se estiver usando um sistema amd64 troque a opo acima por <*> AES cipher algorithms (x86_64) Ento, # make && make modules modules_install # mount /boot # make install
2 de 12
11-04-2011 10:26
http://www.vivaolinux.com.br/artigos/impressora.p...
Para quem usa Debian: # make-kpkg kernel-image # dpkg -i <o novo kernel>
Obtenha as ferramentas
Verifique se voc possui cryptsetup-luks instalado. # emerge -avn cryptsetup-luks ou # apt-get install cryptsetup
3 de 12
11-04-2011 10:26
http://www.vivaolinux.com.br/artigos/impressora.p...
l lgica (5 ou superior) p partio primria (1-4) p Nmero da partio (1-4): 1 Depois enter + enter para utilizar todo o disco e ento para salvar: Comando (m para ajuda): w # mkfs.ext3 /dev/sdb1 Agora vamos fazer o backup dos dados: # # # # mkdir /mnt/crypt mount /dev/sdb1 /mnt/crypt cd / cp -avx / /mnt
Aproveite para comer algo enquanto os dados so transferidos... Vamos preparar a nova partio: # vi /mnt/crypt/etc/fstab Troque a partio de root atual por /dev/sdb1. /dev/sdb1 / ext3 noatime 01
Edite tambm seu gerenciador de inicializao, no caso do grub, edite /boot/grub/menu.lst. kernel /vmlinuz root=/dev/sda3 Troque pelos valores da sua nova partio (lembre-se estes so exemplos. Substitua pelas SUAS parties). kernel /vmlinuz root=/dev/sdb1 # reboot Depois da inicializao, verifique se realmente est na nova partio: # mount | grep 'on / type'
4 de 12
11-04-2011 10:26
http://www.vivaolinux.com.br/artigos/impressora.p...
Preparando as parties root e swap a criptografar Agora vamos preparar a "antiga" root. O primeiro passo encher toda a partio com 'lixo' de forma que um possvel atacante no tenha como saber o quanto de dados foram escritos partio: # shred -vn 1 /dev/sda3 Agora aproveite para dar uma cochilada, caminhar, ler ou espere bastante dependendo dos recursos da sua mquina.
5 de 12
11-04-2011 10:26
http://www.vivaolinux.com.br/artigos/impressora.p...
This will overwrite data on /dev/sda3 irrevocably. Enter LUKS passphrase: (insira a senha) Verify passphrase: (repita a senha) Agora voc pode abrir sua partio LUKS: # cryptsetup luksOpen /dev/sda3 root Enter LUKS passphrase: key slot 0 unlocked. A partir de agora sua partio de root passa a ser denominada /dev/mapper /root. Vamos criar um sistema de arquivos na mesma: # /sbin/mkfs.ext3 -j -m 1 -O dir_index,filetype,sparse_super /dev/mapper/root (espere vrios minutos...) mke2fs 1.35 (28-Feb-2004) Filesystem label= OS type: Linux Block size=4096 (log=2) Fragment size=4096 (log=2) 36634624 inodes, 73258400 blocks 732584 blocks (1.00%) reserved for the super user First data block=0 2236 block groups 32768 blocks per group, 32768 fragments per group 16384 inodes per group Superblock backups stored on blocks: 32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208, 4096000, 7962624, 11239424, 20480000, 23887872, 71663616 Writing inode tables: done Creating journal (8192 blocks): done Writing superblocks and filesystem accounting information: done This filesystem will be automatically checked every 39 mounts or 180 days, whichever comes first. Use tune2fs -c or -i to override. Monte a agora a partio:
6 de 12
11-04-2011 10:26
http://www.vivaolinux.com.br/artigos/impressora.p...
# mount -t ext3 /dev/mapper/root /mnt/crypt Agora vamos transferir os dados da sua partio root temporria para a nova partio criptografada: # cd / # cp -avx / /mnt/crypt (espere novamente bastante...) E quando terminar: # cd /mnt/crypt/dev # MAKEDEV generic
Criando a imagem initramfs A initramfs um ramfs no qual um arquivo initramfs desempacotado antes que o kernel efetue tarefas tais como montar a partio root. Este arquivo pode ser inserido junto com a imagem do kernel, no momento da confeco do mesmo ou como um arquivo separado. Para nossa initramfs precisamos do busybox. Busybox um conjunto de utilitrios comuns em sistemas UNIX em um nico e minsculo executvel. Para usurios de Gentoo: # mkdir /usr/local/src/build_initramfs # ROOT="/usr/local/src/build_initramfs/" USE="-pam make-symlinks static" emerge -av busybox Edite /etc/portage/savedconfig/sys-apps/busybox-<version> e tenha certeza de que a linha CONFIG_BUSYBOX_EXEC_PATH est como abaixo: CONFIG_BUSYBOX_EXEC_PATH="/bin/busybox" Seno altere e construa o busybox novamente com a USE savedconfig. # ROOT="/usr/local/src/build_initramfs/" USE="-pam savedconfig make-symlinks static" emerge -av busybox # cd /usr/local/src/build_initramfs # rm -r {etc,usr,lib,lib64,var}
7 de 12 11-04-2011 10:26
http://www.vivaolinux.com.br/artigos/impressora.p...
Usurios Debian ou outra distribuio devem baixar as fontes diretamente de http://www.busybox.net/. # tar -xjvf busybox-<verso> # cd busybox-<verso> # make menuconfig E selecione as opes conforme: http://gentoo-wiki.com/...-Crypt_with_LUKS#Building_BusyBox make Vamos gerar um kmap (mapa do teclado): # dumpkeys > default_keymap # loadkeys br-abnt2 # /usr/local/src/build_initramfs/bin/busybox dumpkmap > br-abnt2-<ARCH>.bin Ou, se voc compilou as fontes do pacote oficial do busybox: <caminho para as fontes do busybox>/busybox dumpkmap > br-abnt2-<ARCH>.bin Como eu uso amd64 no lugar de ARCH inseri amd64 ficando br-abnt2amd64.bin Se for i386, idem. # loadkeys default_keymap
8 de 12
11-04-2011 10:26
http://www.vivaolinux.com.br/artigos/impressora.p...
http://baderna.birosca.org/~aline/share/init
Preparando a initramfs
Baixe tambm o arquivo applets: http://baderna.birosca.org/~aline/share/applets Se voc compilou o busybox com o pacote do site oficial faa o seguinte: Crie o diretrio temporrio para a initramfs: # mkdir /usr/local/src/build_initramfs E crie os links para o busybox: # cd /path/to/busybox-<version> # ./applets/install.sh /usr/local/src/build_initramfs --symlinks Agora, independente de qual busybox esteja usando faa o seguinte: Crie os diretrios necessrios: # cd /usr/local/src/build_initramfs # mkdir {proc,sys,new-root,etc,dev} Copie o script init: # cp /path/to/init . # chmod 755 init Crie os dispositivos necessrios: # mknod --mode=0660 /usr/local/src/build_initramfs/dev/null c 1 3 # mknod --mode=0600 /usr/local/src/build_initramfs/dev/console c 5 1 Voc precisa de um executvel esttico executvel cryptsetup. Pode baix-lo de: http://luks.endorphin.org/dm-crypt
9 de 12
11-04-2011 10:26
http://www.vivaolinux.com.br/artigos/impressora.p...
# cp cryptsetup-<verso>-<arch>-pc-linux-gnu-static /usr/local /src/build_initramfs/sbin/cryptsetup # chmod u+x /usr/local/src/build_initramfs/sbin/cryptsetup Voc pode incluir um arquivo com uma art ascii para ser apresentado no momento do login, para um visual mais bonito. Salve em /usr/local /src/build_initramfs/etc copie tambm o kmap que voc criou anteriormente e o applets em /usr/local/src/build_initramfs/etc.
Recompilando o kernel
Agora finalmente vamos criar a imagem initramfs diretamente nas fontes do kernel. Tenha certeza de que a fonte do seu kernel esteja em /usr/src/linux. # rm -iv /usr/src/linux/usr/initramfs_data.cpio.gz # cd /usr/local/src/build_initramfs # find . | cpio --quiet -o -H newc | gzip -9 >/usr/src/linux /usr/initramfs_data.cpio.gz # touch /usr/src/linux/usr/initramfs_data.cpio.gz Tenha certeza que seu kernel est configurado conforme as opes apresentadas no incio. Agora compile mais uma vez: # mount /boot # make && make modules modules_install install Ou para Debian: # make-kpkg --revision=crypt.1.0 kernel-image # dpkg -i <novo-pacote-do-kernel>
ltimos passos Edite o fstab da sua partio root encriptada para usar /dev/mapper/root. # vi /mnt/crypt/etc/fstab /dev/mapper/root / ext3 noatime 01
10 de 12
11-04-2011 10:26
http://www.vivaolinux.com.br/artigos/impressora.p...
E finalmente edite o bootloader (grub): title=Gentoo Linux 2.6.23 root (hd0,0) kernel /vmlinuz root=/dev/sda3 ikmap=br-abnt2-amd64.bin root o dispositivo ordinrio da sua partio encriptada e ikmap o mapa do teclado. Reinicie seu sistema e reze para que o prompt com a senha aparea... Se deu tudo certo, hora de cuidar das outras parties.
11 de 12
11-04-2011 10:26
http://www.vivaolinux.com.br/artigos/impressora.p...
Agora crie a imagem e queime seu cdrom: # mkisofs -o crypt-cd.iso -b isolinux.bin -c boot.cat \ -no-emul-boot -boot-load-size 4 -boot-info-table \ -J -hide-rr-moved -R crypt-cd/ # cdrecord cryptcd.iso No seu dia-a-dia voc deve sempre bootar pelo cdrom. A partio boot apenas para casos de emergncia.
12 de 12
11-04-2011 10:26