La seguridad es un tema que todo usuario debe tener presente, siempre que maneje información medianamente importante.
Existen varias soluciones para cifrar información en Linux, quizás la más común es cifrar toda una partición. El problema con esto es que en muchos casos o nos quedamos sin espacio o bien lo desperdiciamos y aunque existen soluciones para aumentar y/o disminuir el tamaño de las particiones de forma más dinámica como LVM la tarea puede llevar algo de riesgo.
eCryptFS
Una posible solución es usar eCryptfs, el cual es un sistema de archivos cifrado y el mismo está contenido en un directorio. Es decir, es un directorio que es «montado» como un dispositivo de almacenamiento, todo lo que se escriba o lea de él se cifrará de manera transparente. Una vez desmontado el mismo la información estará cifrada.
Para preparar un directorio de prueba:
$ mkdir secret
# mount -t ecryptfs secret/ secret/
Se deben recordar los parámetros usados para la próxima vez que se monte.
EncFS
EncFS es otra opción, la misma no requiere ser root ni hacer un suid del mount.
Para usarlo, una vez instalado, ejecutamos lo siguiente:
$ mkdir secret-raw
$ mkdir secret
$ cd secret
$ echo "probando con una línea de texto" > archivo.txt
$ cat archivo.txt
probando con una línea de texto
$ fusermount -u secret
$ cd secret-raw
$ ls
0QOUfazjVWTUASS1,IGYuJ3m
$ cat 0QOUfazjVWTUASS1,IGYuJ3m
�Q^�V-���+wI�$�kZz�㈎zQ '/�.y8��
Se creará un fichero en ~/secret-raw/.encfs6.xml con toda la información seleccionada al momento de crear el volumen, es importante mantener una copia del mismo (protegida).
Notas
Como nota extra es importante recordar que debemos (en la medida de lo posible) cifrar la partición swap. La razón es por la posibilidad que el sistema operativo escriba el contenido de memoria en dicha partición. El atacante podría revisar la información en la partición swap en busca de llaves o información del contenido cifrado.
Para cifrar la partición swap lo mejor es usar dm-crypt, como la data sólo es importante durante la sesión, no es necesario especificar una llave ya que puede ser escogida al azar al inicio.
Lo mejor es seguir la documentación de la distribución que se esté usando para cifrar la partición swap.
