Encriptación

En mi caso, me interesa que esta partición no esté montada por defecto, para que no me pida la contraseña cada vez que se inicia el ordenador. Ya se la diré yo cuando me haga falta.

Ya expliqué en su día cómo quitar espacio de un volúmen lógico de LVM para dárselo a Docker, así que si no tienes espacio LVM libre, puedes seguir esas instrucciones, pero nos saltaremos la parte de Docker.

Ahora lo que nos interesa es crear un volúmen lógico encriptado. Para encriptarlo, usaremos LUKS.

... aunque debería funcionar también con otras versiones de DNIe.

El blog de Emezeta nos da bastantes ideas, pero yo, siguiendo la dinámica de este blog, me decantaré por una que requiera instalar pocas cosas y se pueda usar con software libre principalmente. En este caso: JSignPdf (ojo, no confundir con jPdfSign, que sencillamente no funciona), un proyecto que ha sido suspendido, pero que funciona.

Google tiene repositorios para Linux, y usa una clave GPG para firmar los paquetes. Si no la tienes instalada, tendrás problemas al actualizar, como me pasaba a mí recientemente:

$ pkcon install google-talkplugin
Error grave: package google-talkplugin-5.41.3.0-1.x86_64 cannot be verified and repo google-talkplugin is GPG enabled: failed to lookup digest in keyring for /var/cache/PackageKit/metadata/google-talkplugin/packages/google-talkplugin-5.41.3.0-1.x86_64.rpm

LUKS es un formato de archivos encriptado, que exige una contraseña para desencriptarse. Sin dicha clave, no se puede saber el contenido de un disco duro.

Es compatible con LVM, pero ¿qué sucede si quiero ampliar una partición LUKS que está en un volúmen lógico LVM?

Para añadir un certificado SSL a tu sitio web, hay que seguir muchos pasos, pelearse con muchos formatos de certificado para diferentes servidores, y peor aún si renovamos.

Aquí va una breve guía.

Necesitaremos dos contraseñas, una del dueño del documento (usaremos yo) y otra para un usuario, al que se le pueden dar determinados permisos (usaremos tu).

Ahora instala PDFtk Server y ejecuta:

Las instrucciones son concretamente para Fedora 22, pero supongo que no diferirán mucho para otras distribuciones.

Primero necesitas un lector de tarjetas inteligentes que esté en la lista de dispositivos soportados.

Suponiendo que ya tienes una clave privada SSH, así cambiarías su contraseña:

Problema

Mi tableta estaba encriptada e iba soporíferamente lenta.

Me extrañaba porque tengo un móvil con un hardware casi idéntico que va muy fluido, así que instalé en ambos Geekbench 3, que analiza el rendimiento del procesador y la RAM. En ambos terminales la puntuación fue casi idéntica (bueno, la velocidad de RAM en el móvil era el doble, pero es normal porque tiene el doble de RAM).

Hoy vamos a ver cómo se puede configurar Debian y Ubuntu para tener una carpeta encriptada. Usaremos la utilidad llamada ecryptfs, y seguiremos los pasos descritos en la ayuda de Ubuntu.
Primero se instala.

# aptitude install ecryptfs-utils

Ahora vamos a configurarlo.

$ ecryptfs-setup-private

Primero nos pide nuestra contraseña de acceso, y luego pide una contraseña de encriptación. Se usará la primera para desencriptar la segunda, y la segunda para desencriptar los ficheros. Esto funciona así para que se monte automáticamente la carpeta al abrir la cuenta sin correr peligro de que root pudiera cambiarnos la contraseña y acceder a los datos. Así es, con esta encriptación ni root puede ver nuestros datos.
Por ello, se recomienda que la contraseña de encriptación (la 2ª) se almacene en algún sitio, por si más a delante nos toca recuperar los datos. Eso y que sea la contraseña más paranoica que hayas puesto en tu vida, ya que total sólo la vas a necesitar en esos casos.
Cuando hayas terminado esto, se habrán creado 3 directorios: