Instalar Debian con partición cifrada

La instalación de Debian con una partición cifrada con el instalador de Debian es trivial si se hace en un disco entero. El instalador hace esto en forma automática. Pero si el disco posee otras particiones, por ejemplo, una con Windows, la instalación de Debian con una partición cifrada debe hacerse manualmente. Aquí vamos a explicar cómo.

Instala Debian como de costumbre, en modo "expert". Al llegar a la parte del particionado del disco, escoge el método manual.

  1. En el espacio del disco destinado a la instalación de Debian, crea una partición de 200 MB, tipo primaria, sistema de archivos ext3. Anda a "Punto de montaje" y marca "/boot". /boot requiere no estar cifrada. Escoge finalizar la definición de la partición.

    cifrado1.png

  2. A continuación crea en el espacio libre una segunda partición con el resto del espacio, tipo primaria. Anda a "Utilizar como" y modifica a "volumen físico para cifrado". Anda a "Borrar los datos" y modifícalo a "no". El proceso de borrar los datos del disco duro en forma segura es muy demoroso. Si tienes tiempo, déjalo en "". Finaliza la definición de la partición.

    cifrado2.png

Se han definido dos particiones para Debian, una de 200 MB, ext3, montada en /boot y la otra cifrada con el resto del espacio.

  1. En el menú principal, anda a "Configurar los volúmenes cifrados". Da una contraseña para el volumen cifrado.

  2. En el menú principal, mueve el cursor hacia la partición #1 del volumen cifrado y entra al modo de edición oprimiendo "enter". En "Utilizar como" modifica a "volumen físico para LVM". Finaliza la definición de la partición.

    cifrado3.png

  3. En el menú principal, anda a "Configurar el Gestor de Volúmenes Lógicos (LVM)". Crea un grupo de volúmenes con el nombre del computador (midebian como ejemplo). Selecciona el dispositivo del grupo (/dev/mapper/[particion]_crypt). De vuelta en el menú de configuración LVM, crea un volumen lógico. Selecciona el grupo recién creado (midebian). Nombra el primer volumen lógico "swap", con un tamaño apropiado para una partición de intercambio (doble de la cantidad de RAM). Crea un segundo volumen lógico, con nombre "root", cuyo tamaño es el resto del espacio en el grupo. Termina de definir los volúmenes lógicos.

  4. En el menú principal, mueve el cursor hacia la partición #1 del volumen lógico "root" y edita. En "Utilizar como" modifica a "sistema ext3 transaccional". En "punto de montaje" modifica a "/ - sistema de ficheros raiz". Finaliza la definición de la partición.

    cifrado4.png

  5. En el menú principal, mover el cursor hacia la partición #1 del volumen lógico "swap" y edita. En "Utilizar como" modifica a "área de intercambio". Finaliza la definición de la partición.

  6. Finaliza el particionado del disco y graba los cambios.

    cifrado5.png

Continua con la instalación de Debian.

Recuperar una partición cifrada cuando se pierde el MBR

El instalador de Debian no permite por ahora montar una partición cifrada en modo "rescate". Si el MBR se pierde, el instalador en modo rescate no va a ser capaz de montar la partición, no logrando pasar más allá de dar la contraseña.

Aquí vamos a suponer que la hay tres particiones en el disco: /dev/hda1 (Windows), /dev/hda2 (/boot) y /dev/hda3 (cifrada).

El procedimiento para recuperar el MBR en Lenny es el siguiente: Corre el instalador de Debian en modo "rescate". Continua hasta el punto en donde se pide escoger la unidad a montar como sistema raíz.

Ingresa a otro terminal, oprimiendo ctrl-alt-f2. Instala los módulos criptográficos y cryptsetup,

# anna-install crypto-dm-modules cryptsetup-udeb

luego genera el mapa y dependencias de los módulos,

# depmod -a

Con esto hemos hecho accesible al núcleo el módulo dm-crypt necesario para descifrar la partición cifrada.

Corre,

# cryptsetup luksOpen /dev/hda3 hda3_crypt
Enter LUKS passphase:
key slot 0 unlocked.
Command successful.

para abrir la partición cifrada. Substituye hda3 con la partición correspondiente en ambas ocurrencias.

Ahora recupera el grupo y volúmenes lógicos LVM,

# vgchange -a y midebian
  2 logical volume(s) in volume group "midebian" now active

en donde midebian es el nombre del volumen, que incidentalmente se le dio el mismo nombre del computador.

Ahora recupera el MBR como de costumbre:

# mkdir -p /target 
# mount /dev/midebian/root /target
# mount /dev/hda2 /target/boot
# mount -o bind /dev /target/dev

El último comando es necesario para traspasar a la nueva raíz las unidades lógicas.

Modifica la raíz y monta /proc,

# chroot /target
# mount proc /proc -t proc

Instala nuevamente el MBR en el disco y actualiza GRUB,

# grub-install /dev/hda
# update-grub

Sal de la raíz con exit, luego desmonta todas las unidades en el orden reverso (/target/dev, /target/boot, /target, respectivamente.)

Sal del terminal con exit.

De vuelta en el instalador de Debian, interrumpe la instalación y reinicia el computador.

InstalarDebianParticionCifrada (última edición 2009-12-19 05:19:37 efectuada por RicardoYanez)