Como Cifrar Ubuntu 20.04 Desktop Después de la Instalación

Escrito por Ben Garrison en January 26, 2023

Comparte este artículo

En un tutorial aparte, resaltamos el proceso para utilizar el cifrado de disco completo en Ubuntu Desktop 20.04 con el cifrado LUKS durante la instalación. En la práctica, este es el método recomendado para proteger a su dispositivo Ubuntu debido a que cifra todas las particiones del disco incluido el espacio de intercambio y particiones de sistema, y de esta manera logra un cifrado completo.

Si ya tiene instalado Ubuntu sin ningún cifrado, el cifrado de disco completo ya no resulta una opción; sin embargo, todavía puede cifrar el directorio principal y espacio de intercambio sin requerir una reinstalación completa del sistema operativo.

De manera predeterminada, el directorio principal es donde se encuentran la mayoría de los archivos personales. Esto puede incluir documentos, hojas de cálculo, música, videos, imágenes, y cualquier otro archivo que haya descargado. El espacio de intercambio es el espacio en el disco duro que se utiliza como memoria virtual. Cuando se opera un sistema Linux fuera del espacio RAM, las páginas inactivas son llevadas al espacio de intercambio; mientras que el acceso al tiempo resulta más lento que en RAM, en hacer esto el espacio de intercambio complementa los dispositivos RAM cuando se encuentra ya casi agotado.

Ubuntu otorga una herramienta de línea de comando para cifrar tanto el directorio principal como el espacio de intercambio. ¿Por qué cifrar el espacio de intercambio también? Como se mencionó con anterioridad, el OS periódicamente elimina algunas páginas de memoria al área de intercambio cuando la memoria RAM se encuentra casi agotada. La información que se movió al área de intercambio puede contener información personal tales como nombre de usuario y contraseñas las cuales pueden ser valiosas para los piratas informáticos. Consecuentemente, resulta esencial cifrar el espacio de intercambio también.

En este guía, exploraremos el cifrado después de la instalación en Ubuntu 20.04. Cubriremos el cifrado tanto para el directorio principal como para el espacio de intercambio lo cual es fundamental para salvaguardar la información personal y profesional del usuario.

PONGA ATENCIÓN: El Cifrado es un proceso que puede resultar en pérdida de información en su máquina. Por favor, respalde su carpeta “/home” antes de llevar a cabo cualquiera de los pasos que se mencionan a continuación. Además, si está utilizando JumpCloud para administrar los usuarios en su máquina, podrá experimentar un molesto ciclo de inicio si reinicia la máquina antes de que el usuario acceda con una nueva contraseña.

Paso 1: Instalar los Paquetes de Cifrado

Para iniciar, instalaremos los paquetes de software que proveen el cifrado en Linux: ecrypt-utils y cryptsetup. Primero, inicie su terminal y ejecute el siguiente comando: 

$ sudo apt install ecryptfs-utils cryptsetup

Cuando se le direccione presione “Y” para proceder con la instalación de los paquetes y otras dependencias del software.

To begin, we will install the software packages that provide encryption on Linux: ecrypt-utils and cryptsetup.

Paso 2: Crear Otro Usuario y Asignar Beneficios Sudo

El cifrado de su directorio principal requiere el uso de otro usuario con beneficios. Esto se debe a que alguno de los archivos en su directorio principal pueden resultar inaccesibles si se encuentra ejecutando el cifrado mientras está ingresado con su propia cuenta.

Por esta razón, crearemos un nuevo usuario con beneficios para cifrar el directorio principal.

Primero, crearemos un usuario regular empleando la siguiente sintaxis:

$ sudo adduser username

Para esta guía, encryption_user es el usuario regular que vamos a crear.

$ sudo adduser encryption_user

Asegúrese de proporcionar todos los detalles relevantes y presione “Y” para guardar la información.

Encryption of your home directory requires the use of another privileged user. This is because some of the files in your home directory might be rendered inaccessible if you are performing the encryption while logged in with your own account.

A continuación, asigne privilegios base para el usuario recientemente creado agregando el usuario a los grupos sudoers.

$ sudo usermod -aG sudo encryption_user

Next, assign root privileges to the newly created user by adding the user to the sudoers group.

Posteriormente, cierre sesión (¡NO REINICIE!) e ingrese utilizando la cuenta de usuario del administrador.

Paso 3: Cifrar el Directorio Principa

Una vez que haya iniciado sesión con el usuario temporal con beneficios, podrá echar un vistazo a los contenidos del directorio principal que está a punto de cifrar. Aquí ~winnie es el directorio principal de la cuenta de usuario llamada winnie la cual cifraremos pronto.

$ sudo ls -l ~winnie

Once logged in as the temporary privileged user, you can have a glance at the contents of the home directory that you are about to encrypt. Here, ~winnie is the home directory of the user account called winnie that we will encrypt shortly.

Para cifrar el directorio principal ejecutaremos el comando que se muestra abajo. En este tutorial, el directorio principal se llama winnie.

$ sudo ecryptfs-migrate-home -u winnie

Obtendrá un resultado similar al que se muestra a continuación. Cuando se le pida la frase de contraseña, ingrese la contraseña con la que inicia sesión la cuenta del usuario y de click en “INTRO” (“enter”).

When you are prompted for the passphrase, provide the user account’s login password and hit “ENTER”.

El cifrado del directorio principal comenzará. Esto llevará un tiempo dependiendo del tamaño y uso del disco del directorio principal. 

Una vez completado con éxito el cifrado del archivo, se imprimirán algunas instrucciones en la terminal para guiarlo al siguiente paso a seguir. Seguiremos estos pasos que a continuación se muestran para finalizar fácilmente el proceso completo.

Upon successful completion of the file encryption, some instructions will be printed out on the terminal to guide you on the next steps to follow. We will follow these steps below to gracefully wind up the entire process.

Paso 4: Confirmar el Cifrado y Registrar la Frase de Contraseña

Después, finalice sesión de la cuenta del usuario con beneficios e inicie sesión de nuevo (¡NO REINICIE!) a su cuenta de usuario regular.

Una vez que haya vuelto a ingresar, se mostrará una notificación en el escritorio proporcionándole (o al usuario en su máquina, si es que está ejecutando este proceso remotamente) los siguientes pasos a tomar para registrar una frase de contraseña la cual se usará para recuperar su directorio principal. Si un usuario no se encuentra presente, la frase de contraseña se podrá registrar por medio de la terminal (vea abajo).

Once back in, a pop-up notification will display on the desktop giving you (or the user at their machine, if you are performing this process remotely) the next steps to take to record a passphrase that will be used to recover your home directory. IF a user is not present, the passphrase can be recorded via the terminal (see below).

Pero antes de ir más allá, necesita confirmar que puede leer y escribir los archivos en su directorio principal. Para intentarlo, crearemos un archivo de texto simple: hello.txt.

$ cat > hello.txt

Ingrese algún texto sin sentido y presione Ctrl + D para guardar los cambios. Para verificar que ha escrito la información correctamente, utilice de nuevo el comando de cat como se muestra a continuación:

$ cat hello.txt

But before going any further, you need to confirm that you can read and write files on your home directory. To give this a try, we will create a simple hello.txt text file.

Si pudo escribir y leer la información, sabremos que el proceso de cifrado se completó correctamente. Esto también significa que la frase de contraseña se aplicó para descifrar el directorio principal cuando el usuario inicie la sesión de nuevo. 

Paso 4B: Registre una Frase de Contraseña

Ahora que ya ha confirmado las capacidades de leer y escribir, deberá imprimir o registrar la frase de contraseña; para hacer esto, regrese a la ventana emergente y presione el botón “Run this action now” o si se encuentra operando este tutorial de manera remota, necesitará ejecutar el comando ecryptfs-unwrap-passphrase. (vea debajo)

Paso 4B: Registre una Frase de Contraseña

Ahora que ya ha confirmado las capacidades de leer y escribir, deberá imprimir o registrar la frase de contraseña; para hacer esto, regrese a la ventana emergente y presione el botón “Run this action now” o si se encuentra operando este tutorial de manera remota, necesitará ejecutar el comando ecryptfs-unwrap-passphrase. (vea debajo)

Now that you have confirmed read/write capabilities, you should print out or record the passphrase; to do this, head back to the pop-up window and press the “Run this action now” button; or, if you are running this tutorial remotely via a terminal, you will need to run the ecryptfs-unwrap-passphrase command instead (see below).

Cuando se le direccione a la frase de contraseña, otorgue su contraseña de inicio de sesión y presione “INTRO”.

Paso 4B: Registre una Frase de Contraseña

Ahora que ya ha confirmado las capacidades de leer y escribir, deberá imprimir o registrar la frase de contraseña; para hacer esto, regrese a la ventana emergente y presione el botón “Run this action now” o si se encuentra operando este tutorial de manera remota, necesitará ejecutar el comando ecryptfs-unwrap-passphrase. (vea debajo)

Now that you have confirmed read/write capabilities, you should print out or record the passphrase; to do this, head back to the pop-up window and press the “Run this action now” button; or, if you are running this tutorial remotely via a terminal, you will need to run the ecryptfs-unwrap-passphrase command instead (see below).

Cuando se le direccione a la frase de contraseña, otorgue su contraseña de inicio de sesión y presione “INTRO”.

When prompted for the passphrase, provide your login password and press “ENTER”.

A partir de entonces, ya puede revelar la contraseña de recuperación utilizando el comando:

$ sudo ecryptfs-unwrap-passphrase

Thereafter, you can reveal the recovery password using the command:

Copie la frase de contraseña de recuperación y manténgala en un lugar seguro.

Paso 5: Cifrado del Espacio de Intercambio

Finalmente, cifraremos el espacio de intercambio para prevenir cualquier pérdida que pueda poner en peligro información confidencial del usuario. Pero primero, verifique si el espacio de intercambio existe en su sistema como se muestra a continuación: 

$ swapon -s

El resultado confirma que de hecho tenemos una partición de cambio marcado como /dev/sda3. Puede además examinar el espacio que ocupa empleando el comando free. El resultado muestra que ocupa 8G de espacio.

$ free -h

The output confirms that indeed we have a swap partition marked as /dev/sda3. You can further probe the space it occupies using the free command. The output shows that it occupies 8G of space.

Para cifrar el espacio de intercambio, simplemente ejecute el comando:

$ sudo ecryptfs-setup-swap

To encrypt the swap space, simply run the command:

Paso 6: Limpie

En este punto, tanto el directorio principal como el espacio de intercambio se han cifrado. Ya puede ahora eliminar al usuario con beneficios que utilizó para cifrar el directorio principal.

$ sudo deluser –remove-home encryption_user

Además, eliminaremos también el directorio /home/winnie.MTL8xtIX. Esto es un respaldo de la carpeta “home” que se creó cuando ejecutó el comando de migración inicial. Lo puede encontrar localizando el directorio que contenga en el nombre MTL8.

En este punto, tanto el directorio principal como el espacio de intercambio se han cifrado. Ya puede ahora eliminar al usuario con beneficios que utilizó para cifrar el directorio principal.

$ sudo deluser –remove-home encryption_user

Además, eliminaremos también el directorio /home/winnie.MTL8xtIX. Esto es un respaldo de la carpeta “home” que se creó cuando ejecutó el comando de migración inicial. Lo puede encontrar localizando el directorio que contenga en el nombre MTL8.

Additionally, we will also remove the /home/winnie.MTL8xtIX directory. This is a backup home folder that was created when we ran the initial migration command. You can find it by locating the directory that contains .MTL8 in the name.

$ sudo rm -Rf /home/winnie.MTL8xtIX

Conclusión

Hemos demostrado el proceso de cifrado del directorio principal y el espacio de intercambio como se ofreció en los paquetes de ecrypt-utils y cryptsetup. Mientras esto ofrece un grado decente de protección para sus archivos personales y documentos, no sustituye al cifrado de disco completo el cual cifra todas las particiones incluyendo las particiones del sistema durante la instalación. Si el cifrado es su única línea de defensa, considere implementar otra barrera de seguridad tal como lo es la autenticación multi factor de Ubuntu.

Por medio de la Plataforma de Directorio de JumpCloud, puede implementar con facilidad el cifrado del disco de su flota entera. Por medio de sus capacidades de gestión del dispositivo, tanto los dispositivos Windows como los dispositivos MacOS pueden alcanzar un cifrado completo del disco a través de políticas estándar o fuera de lo establecido, mientras que los dispositivos Linux pueden gestionarse y monitorearse para su estados de cifrado, empleando características de comandos, implementando procesos como el que se presentó en este tutorial para dispositivos remotos en cualquier lugar.

Para ver cómo funciona esto, junto con un número de otros dispositivos de seguridad y características de gestión, suscríbase a una cuenta gratis hoy. JumpCloud es gratis para usar hasta 10 usuarios y 10 dispositivos; además ofrecemos asesoría virtual las 24 horas los 7 días dentro de los primeros 10 días de uso.

Ben Garrison

Continúa Aprendiendo con nuestro Newsletter