Cómo crear una partición cifrada con LUKS y LVM en tu ordenador

Categorías: Administración de sistemas Encriptación GNU/Linux Privacidad Sin categoría

En mi caso, me interesa que esta partición no esté montada por defecto, para que no me pida la contraseña cada vez que se inicia el ordenador. Ya se la diré yo cuando me haga falta.

Ya expliqué en su día cómo quitar espacio de un volúmen lógico de LVM para dárselo a Docker, así que si no tienes espacio LVM libre, puedes seguir esas instrucciones, pero nos saltaremos la parte de Docker.

Ahora lo que nos interesa es crear un volúmen lógico encriptado. Para encriptarlo, usaremos LUKS.

HUGOMORE42

Comenzamos por crear el volúmen lógico, en este caso de 500 GiB, dentro del grupo de volúmenes fedora, y lo llamaremos family porque ahí pondremos cosas familiares:

# lvm lvcreate --size 500G --name family fedora

Ahora le decimos a LUKS que lo encripte, con una contraseña que nos pedirá 2 veces:

# cryptsetup luksFormat --verify-passphrase /dev/mapper/fedora-family

Desbloqueamos el volúmen y le damos formato ext4 a los datos.

# cryptsetup luksOpen /dev/mapper/fedora-family luks-family
# mkfs.ext4 /dev/mapper/luks-family

Voy a llamar a este volúmen luks-family (a la vista de LUKS, no para LVM, donde ya se llama fedora/family), e indicaré que la partición ext4 que tiene dentro se monte en /srv/family:

# echo luks-family UUID=$(cryptsetup luksUUID /dev/mapper/fedora-family) none nofail,noauto >> /etc/crypttab
# echo /dev/disk/by-uuid/$(blkid -s UUID -o value /dev/mapper/luks-family) /srv/family auto nosuid,nodev,nofail,x-gvfs-show 0 0 >> /etc/fsta

A partir de ahora, para montar esto tendré que ejecutar:

# cryptsetup luksOpen /dev/mapper/fedora-family
# mount /srv/family

...  lo cual no es muy cómodo, pero ya encontraré la forma de que esto sea más fácil para todos y lo pondré.

Ver también

Comentarios

comments powered by Disqus