A segurança das informações do Linux é mais do que um aspecto fundamental para milhares de usuários, já que muitos dos dados que lidamos diariamente são classificados como confidenciais e, se as mãos erradas caírem, simplesmente teremos problemas de privacidade.
Hoje em dia, os métodos de informação têm avançado muito e algumas das plataformas que usamos para isso nos oferecem protocolos de segurança especiais, mas tendo em vista que quase por padrão os dados estão hospedados na nuvem, estes podem ser um fator de risco já que a nuvem é global. Embora seja verdade que nos permite acessar esses dados de qualquer lugar, também implica que, se as medidas de segurança corretas não estiverem em vigor, simplesmente uma pessoa com as ferramentas adequadas será capaz de violar a nuvem e acessar nossos dados.
Podemos proteger os dados do Linux do acesso à conta, como os dispositivos físicos onde as informações estão hospedadas, mas sem dúvida um dos métodos mais eficazes é criptografar os dados para evitar o acesso, e isso não é mais como alguns anos atrás, onde deveríamos estar criptografando todo o disco rígido, agora é possível reduzir essa tarefa para criptografar apenas partes ou um objeto específico.
Para nos ajudar nesta tarefa, temos o Gocryptfs e o Solvetic irá explicar como funciona e do que trata este utilitário.
1. O que é Gocryptfs e uso de parâmetros
O Gocryptfs usa um sistema de criptografia baseado em arquivo que é implementado como um sistema de arquivos FUSE montável, o que permite que cada um dos arquivos no Gocryptfs seja armazenado em um arquivo criptografado no disco rígido. Os arquivos criptografados com este utilitário podem ser armazenados em diferentes pastas no disco rígido, em uma memória USB ou na pasta Dropbox, se desejarmos.
Uma das vantagens de usar Gocryptfs é que, como este é um sistema de criptografia baseado em arquivo e não com o método de criptografia de disco, é que cada um dos arquivos criptografados pode ser sincronizado de forma muito mais abrangente ao usar utilitários como o Dropbox ou rsync . O Gocryptfs é baseado em EncFS e permite melhorar a segurança, bem como entregar um ótimo desempenho nas tarefas que são necessárias.
Cifras GocryptfsGocryptfs nos oferece criptografia como:
- Criptografia de senha
- Criptografia GCM para todo o conteúdo do arquivo
- Criptografia de bloco amplo EME para nomes de arquivo com um IV por diretório
Gocryptfs funciona em sistemas Linux e no macOS ainda está em fase de testes.
Parâmetros GocryptfsHá uma série de variáveis deste utilitário a serem utilizadas, são elas:
- -aessiv: implementa o modo de criptografia AES-SIV
- -allow_other: permite o acesso a outros usuários, sujeito à verificação das permissões do arquivo
- -config string: faz uso do arquivo de configuração que indicamos em vez de usar CIP-HERDIR / gocryptfs.conf.
- -d, -debug: ativa a saída de depuração
- -dev, -nodev: Esta opção ativa (-dev) ou desativa (-nodev) arquivos de dispositivo em uma montagem gocryptfs (padrão: -nodev)
- -exec, -noexec: ativa (-exec) ou desativa (-noexec) executáveis em uma montagem gocryptfs
- -forcedecode: força a decodificação de arquivos criptografados, mesmo se a verificação de integridade falhar
- -fsck: Verifica a consistência do CIPHERDIR, caso seja detectado dano, o código de saída é 26
- -fusedebug: ativa a saída de depuração da biblioteca FUSE
- -h: acessa a ajuda do utilitário
- -hh: exibe todas as opções disponíveis
- -info: imprime o conteúdo do arquivo de configuração para ser lido pelo ser humano, eliminando os dados confidenciais.
- -init: inicializa o diretório criptografado.
- -masterkey string: faz uso de uma chave mestra explícita especificada na linha de comando
- -nonempty: Permite a montagem em diretórios não vazios
- -noprealloc: Desativa a pré-alocação antes de gravar os dados
- -passwd: altera a senha do diretório
- -plaintextnames: Não criptografa nomes de arquivos ou destinos de links simbólicos.
- -raw64: usa codificação base64 sem preenchimento para nomes de arquivo
- -speed: Executa o teste de velocidade de criptografia.
1. Instale Gocryptfs no Linux
Passo 1
Para instalar este utilitário de criptografia, vamos executar o seguinte comando:
No Ubuntu ou Debian: sudo apt install gocryptfs No CentOS ou Fedora: sudo dnf install gocryptfs No Manjaro: sudo pacman -Syu gocryptfsPasso 2
Neste caso, iremos instalá-lo no Ubuntu:
sudo apt install gocryptfs
PROLONGAR
etapa 3
Depois de instalada, podemos validar a versão usada com o seguinte comando:
gocryptfs -version
PROLONGAR
2. Criar diretório criptografado Gocryptfs no Linux
Passo 1
Basicamente, o processo de uso para criptografar um arquivo é o seguinte:
- Crie um diretório onde os arquivos e subdiretórios a serem criptografados serão armazenados
- Use Gocryptfs para inicializar o referido diretório.
- Crie um diretório vazio que funcionará como um ponto de montagem para posteriormente montar o diretório criptografado nele.
- No ponto de montagem, é possível visualizar e usar os arquivos descriptografados e criar novos se for o caso
- Desmonte a pasta criptografada quando o processo for concluído
Passo 2
Vamos criar o diretório com o comando "mkdir":
mkdir Solvetic1
PROLONGAR
etapa 3
Agora vamos inicializar este novo diretório, onde o sistema de arquivos Gocryptfs será criado dentro do diretório associado:
gocryptfs -init Solvetic1Passo 4
Ao pressionar Enter entramos e confirmamos a senha a usar e como resultado obteremos as chaves mestras do diretório. Podemos copiar esta chave mestra e colá-la em um local seguro.
PROLONGAR
Etapa 5
Agora iremos para o diretório que criamos com o comando "cd":
cd Solvetic1Etapa 6
Uma vez lá, inserimos o seguinte:
ls -ahl
PROLONGAR
Etapa 7
Lá encontramos dois arquivos que são:
- "Gocryptfs.diriv" que é um arquivo binário curto
- "Gocryptfs.conf" é um arquivo onde as configurações e informações a serem copiadas são armazenadas
ObservaçãoNo caso de enviar os dados criptografados para a nuvem ou realizar uma cópia de backup em um USB, a Solvetic aconselha a não integrar este arquivo ali, isso porque um usuário pode obter a senha a partir das entradas de "chave criptografada" e "sal" com o comando:
cat gocryptfs.conf
PROLONGAR
3. Diretório criptografado Mount Gocryptfs no Linux
Passo 1
O diretório criptografado será montado em um ponto de montagem, este é um diretório vazio, criamos o novo diretório:
mkdir Solvetic2
PROLONGAR
Passo 2
É hora de montar o diretório criptografado no ponto de montagem, o que ele faz é montar o sistema de arquivos Gocryptfs dentro do diretório criptografado que criamos, executamos:
gocryptfs Solvetic1 Solvetic2etapa 3
Ao fazer isso, inseriremos a senha que foi atribuída no início e veremos o seguinte:
PROLONGAR
Passo 4
Uma vez que o diretório está montado, podemos criar e editar os objetos necessários nele, neste caso criamos um arquivo de texto com “touch” e com “gedit” o editamos:
toque em Solvetic.txt gedit Solvetic.txt
PROLONGAR
Etapa 5
Ao mudar para o diretório criptografado, podemos ver que um novo arquivo foi criado, onde seu nome é criptografado:
PROLONGAR
Etapa 6
Lá podemos usar "ls -hl" para obter detalhes mais completos:
PROLONGAR
Etapa 7
Podemos tentar visualizar o conteúdo deste arquivo com o comando "eles":
menos "arquivo"
PROLONGAR
4. Desmonte o diretório criptografado Gocryptfs no Linux
Passo 1
Quando o tempo for necessário, podemos desmontar o diretório usando o comando fusermount:
fusermount -u Solvetic2Passo 2
Então podemos acessar este diretório e com "ls" validar que está vazio:
PROLONGAR
Gocryptfs é uma das soluções mais completas para adicionar segurança a arquivos confidenciais no Linux.
