Como verificar se a criptografia de disco está habilitada no Linux

Introdução

Neste laboratório, você aprenderá como verificar se a criptografia de disco está habilitada em um sistema Linux. Compreender o status da criptografia de seus discos é uma habilidade fundamental para a administração e segurança do sistema.

Exploraremos três métodos principais para alcançar isso: usando o comando lsblk -f para identificar dispositivos criptografados, examinando o arquivo /etc/crypttab para verificar volumes criptografados configurados e utilizando o comando cryptsetup status para obter informações detalhadas sobre dispositivos criptografados ativos. Ao final deste laboratório, você estará equipado para determinar com confiança o status da criptografia dos discos em uma máquina Linux.

Verificar dispositivos criptografados com lsblk -f

Nesta etapa, começaremos a explorar dispositivos criptografados em um sistema Linux. Entender como identificar partições criptografadas é crucial para a administração e segurança do sistema.

Usaremos o comando lsblk com a opção -f. O comando lsblk lista dispositivos de bloco (como discos rígidos e partições). A opção -f adiciona informações sobre o sistema de arquivos e, o que é importante para nós, a criptografia.

Abra seu terminal, caso ainda não esteja aberto. Você pode encontrar o ícone do Xfce Terminal no lado esquerdo da sua área de trabalho.

Digite o seguinte comando e pressione Enter:

lsblk -f

Você verá uma saída semelhante a esta:

NAME    FSTYPE      FSVER LABEL UUID                                 FSAVAIL FSUSE% MOUNTPOINTS
loop0   squashfs    4.0                                                     0   100% /snap/bare/5
loop1   squashfs    4.0                                                     0   100% /snap/core20/2182
loop2   squashfs    4.0                                                     0   100% /snap/core22/1122
loop3   squashfs    4.0                                                     0   100% /snap/firefox/437
loop4   squashfs    4.0                                                     0   100% /snap/gnome-3-38-2004/140
loop5   squashfs    4.0                                                     0   100% /snap/gtk-common-themes/1535
loop6   squashfs    4.0                                                     0   100% /snap/htop/3620
loop7   squashfs    4.0                                                     0   100% /snap/snapd/20671
loop8   squashfs    4.0                                                     0   100% /snap/snapd-desktop-integration/83
sda
├─sda1  vfat        FAT32       <UUID>                                505.4M     0% /boot/efi
├─sda2  ext4        1.0         <UUID>                                  1.4G    68% /boot
└─sda3  crypto_LUKS 2           <UUID>
  └─sda3_crypt
    ext4        1.0         <UUID>                                 16.4G    11% /

Procure a coluna FSTYPE. Se você vir crypto_LUKS listado para uma partição (como sda3 no exemplo acima), isso indica que essa partição está criptografada usando LUKS (Linux Unified Key Setup).

A linha abaixo da entrada crypto_LUKS (por exemplo, └─sda3_crypt) mostra o nome do dispositivo descriptografado que é criado quando a partição é desbloqueada. Este dispositivo descriptografado é então tipicamente formatado com um sistema de arquivos padrão como ext4 e montado (por exemplo, em /).

Identificar partições com crypto_LUKS é o primeiro passo para entender a configuração de criptografia em um sistema Linux.

Clique em Continuar para prosseguir para a próxima etapa.

Verificar crypttab com cat /etc/crypttab

Nesta etapa, examinaremos o arquivo /etc/crypttab. Este arquivo é usado pelo sistema para configurar dispositivos de bloco criptografados que são configurados durante a inicialização do sistema. Ele contém informações sobre partições criptografadas e como elas devem ser desbloqueadas.

Usaremos o comando cat para exibir o conteúdo do arquivo /etc/crypttab. O comando cat é um utilitário simples usado para concatenar e exibir o conteúdo do arquivo.

Digite o seguinte comando em seu terminal e pressione Enter:

cat /etc/crypttab

Você verá uma saída semelhante a esta:

sda3_crypt UUID=<UUID> none luks,discard

Vamos analisar o formato típico de uma linha em /etc/crypttab:

1. Nome do destino: Este é o nome do dispositivo descriptografado que será criado (por exemplo, sda3_crypt). Este nome deve corresponder ao nome que você viu na entrada crypto_LUKS na saída lsblk -f da etapa anterior.
2. Dispositivo de origem: Isso especifica a partição criptografada. É frequentemente identificado por seu UUID (UUID=<UUID>) para confiabilidade, mas também pode ser um caminho de dispositivo como /dev/sda3.
3. Arquivo de chave ou senha: Isso indica como o dispositivo deve ser desbloqueado. none significa que o sistema solicitará uma senha durante a inicialização. Outras opções incluem a especificação de um caminho de arquivo de chave.
4. Opções: Este campo contém opções separadas por vírgulas, como luks (especificando que é um dispositivo LUKS) e discard (habilitando o suporte TRIM para SSDs).

Examinar /etc/crypttab ajuda a confirmar quais partições estão configuradas para criptografia no momento da inicialização e como elas devem ser desbloqueadas.

Clique em Continuar para passar para a próxima etapa.

Inspecionar a criptografia com cryptsetup status

Nesta etapa final, usaremos o comando cryptsetup para obter informações detalhadas de status sobre um dispositivo criptografado ativo. O utilitário cryptsetup é uma ferramenta de linha de comando usada para configurar e gerenciar dispositivos de disco criptografados usando LUKS.

Usaremos a opção status seguida pelo nome do dispositivo descriptografado. Na saída lsblk -f na Etapa 1, identificamos o nome do dispositivo descriptografado como sda3_crypt.

Digite o seguinte comando em seu terminal e pressione Enter:

sudo cryptsetup status sda3_crypt

Você verá uma saída detalhada sobre o dispositivo criptografado, semelhante a esta:

/dev/mapper/sda3_crypt is active.
  type:    LUKS2
  cipher:  aes-xts-plain64
  keysize: 512 bits
  key location: keyring
  device:  /dev/sda3
  sector size: 512
  offset:  16384 sectors
  size:    <size in sectors> sectors
  mode:    read/write
  flags:   discards

Vamos analisar algumas informações-chave da saída:

• type: LUKS2: Confirma que o tipo de criptografia é LUKS versão 2.
• cipher: aes-xts-plain64: Mostra o algoritmo de criptografia e o modo usado (AES no modo XTS).
• keysize: 512 bits: Indica o tamanho da chave de criptografia.
• device: /dev/sda3: Especifica a partição criptografada subjacente.
• flags: discards: Confirma que a opção discards (suporte TRIM) está habilitada, correspondendo ao que vimos em /etc/crypttab.

O comando cryptsetup status fornece uma visão abrangente dos parâmetros de criptografia para um dispositivo LUKS ativo, o que é muito útil para verificar a configuração da criptografia.

Você agora usou com sucesso lsblk, cat e cryptsetup para identificar e inspecionar partições criptografadas em um sistema Linux.

Clique em Continuar para concluir o laboratório.

Resumo

Neste laboratório, aprendemos como verificar se a criptografia de disco está habilitada no Linux. Começamos usando o comando lsblk -f para listar os dispositivos de bloco e identificar partições com o FSTYPE crypto_LUKS, indicando a criptografia LUKS. Este comando fornece uma visão geral rápida dos dispositivos de bloco do sistema e seu status de criptografia.

Em seguida, normalmente verificaríamos o arquivo /etc/crypttab para ver quais dispositivos estão configurados para criptografia no momento da inicialização e inspecionar os detalhes da criptografia de um dispositivo específico usando cryptsetup status. Essas etapas, combinadas com lsblk -f, fornecem uma maneira abrangente de determinar se e como a criptografia de disco é implementada em um sistema Linux.