Truecrypt

Problema de montaje en Linux con Veracrypt

 Vie, 21/10/2016 - 09:09     Sandor

Suelo usar habitualmente un disco duro portátil, cifrado con Veracrypt (sucesor de Truecrypt).

El caso es que esta mañana, al ir a montar el disco en el servidor que utilizo para hacer el backup semanal, me aparecía el siguiente error:

Error: device-mapper: create ioctl on veracrypt2 failed: Dispositivo o recurso ocupado

Por lo que he entendido, este error nos indica que el mapeo de unidad virtual que se iba a usar está ocupado (tal vez se desmontó anteriormente mal el volumen, o ha habido un corte de luz, por ejemplo). Para solucionar este error sin tener que reiniciar, podemos listar las particiones con el comando dmsetup:

dmsetup ls

Después podemos hacer un mount para ver qué dispositivos virtuales aparecen efectivamente montados (los verás como /dev/mapper/veracryptX). Probablemente el error nos salga al haber más particiones lógicas que las que efectivamente se están usando. Una vez hayamos decidido cuales no están en uso, simplemente debemos quitarlas con el comando:

dmsetup remove particion

Una vez haya realizado estos pasos, podremos montar nuestro dispositivo con Veracrypt, sin problemas.

 

Categoria: 

Permisos en disco duro USB bajo Win 7

 Lun, 28/09/2015 - 10:04     Sandor

Como ya os he contado en alguna otra ocasión, tengo un disco duro cifrado (durante años con Truecrypt y ahora, después de la polémica de los servicios secretos y demás, con Veracrypt, un digno sucesor que guarda compatibilidad con Truecrypt).

El caso es que al migrar uno de mis ordenadores a Windows 7, me dí cuenta que no podía ejecutar  programas desde la unidad montada a no ser que fuera ejecutado como administrador. También mi imprescindible wiki quedó como solo lectura y, en definitiva, era incapaz de realizar cambios en un montón de documentación con la que trabajo diariamente.

Tras leer un poco, me dí cuenta que era un tema de permisos, así que opté por otorgar al grupo "Todos" permisos totales. Al ser un volumen cifrado, tampoco consideré una operación de riesgo hacerlo así.

Para asignar al grupo "Todos" permisos de Control Total, lo podemos hacer desde la consola, o desde el entorno gráfico. Para hacerlo desde la consola, debemos ejecutar con permisos de administrador la utilidad cmd, y hacer uso del comando ICACLS. Un simple icacls /? nos ofrece la ayuda básica:

ICACLS nombre /save archivoACL [/T] [/C] [/L] [/Q]
    almacena las DACL para los archivos y carpetas cuyos nombres coinciden
    en archivoACL para su uso posterior con /restore. Tenga en cuenta que no
    se guardan las SACL, el propietario ni las etiquetas de identidad.

ICACLS directorio [/substitute SidOld SidNew [...]] /restore archivoACL
                  [/C] [/L] [/Q]
    aplica las DACL almacenadas a los archivos del directorio.

ICACLS nombre /setowner usuario [/T] [/C] [/L] [/Q]
    cambia el propietario de todos los nombres coincidentes. Esta opción
    no fuerza un cambio de propiedad; use la utilidad takeown.exe
    con esta finalidad.

ICACLS nombre /findsid Sid [/T] [/C] [/L] [/Q]
    busca todos los nombres coincidentes que contienen una ACL
    que menciona el SID de forma explícita.

ICACLS nombre /verify [/T] [/C] [/L] [/Q]
    busca todos los archivos cuya ACL no está en formato canónico o cuyas
    longitudes no son coherentes con los recuentos de la ACE.

ICACLS nombre /reset [/T] [/C] [/L] [/Q]
    reemplaza las ACL con ACL heredadas predeterminadas para todos
    los archivos coincidentes.

ICACLS nombre [/grant[:r] Sid:perm[...]]
       [/deny Sid:perm [...]]
       [/remove[:g|:d]] Sid[...]] [/T] [/C] [/L] [/Q]
       [/setintegritylevel nivel:directiva[...]]

    /grant[:r] Sid:perm concede los derechos de acceso al usuario
        especificado. Con :r, los permisos reemplazan cualquier permiso
        explícito concedido anteriormente. Sin :r, los permisos se agregan a
        cualquier permiso explícito concedido anteriormente.

    /deny Sid:perm deniega de forma explícita los derechos de acceso al
        usuario especificado. Se agrega una ACE de denegación explícita
        para los permisos indicados y se quitan los mismos permisos de
        cualquier concesión explícita.

    /remove[:[g|d]] Sid quita todas las repeticiones del SID en la ACL. Con
        :g, quita todas las repeticiones de derechos concedidos a ese SID. Con
        :d, quita todas las repeticiones de derechos denegados a ese SID.

    /setintegritylevel [(CI)(OI)]nivel agrega de forma explícita una ACE de
        integridad a todos los archivos coincidentes. El nivel se debe
        especificar como:
            L[ow] - para bajo
            M[edium] - para medio
            H[igh] - para alto
        Las opciones de herencia para la ACE de integridad pueden preceder al
        nivel y se aplican sólo a los directorios.

    /inheritance:e|d|r
        e - habilita la herencia
        d - deshabilita la herencia y copia las ACE
        r - quita todas las ACE heredadas

Nota:
    Los SID pueden tener un formato numérico o de nombre descriptivo. Si se da
    un formato numérico, agregue un asterisco (*) al principio del SID.

    /T indica que esta operación se realiza en todos los archivos o
        directorios coincidentes bajo los directorios especificados en el
        nombre.

    /C indica que esta operación continuará en todos los errores de archivo.
        Se seguirán mostrando los mensajes de error.

    /L indica que esta operación se realiza en el vínculo simbólico en sí
        en lugar de en su destino.

    /Q indica que icacls debe suprimir los mensajes de que las operaciones
       se realizaron correctamente.

    ICACLS conserva el orden canónico de las entradas ACE:
            Denegaciones explícitas
            Concesiones explícitas
            Denegaciones heredadas
            Concesiones heredadas

    perm es una máscara de permiso que puede especificarse de dos formas:
        una secuencia de derechos simples:
                N - sin acceso
                F - acceso total
                M - acceso de modificación
                RX - acceso de lectura y ejecución
                R - acceso de sólo lectura
                W - acceso de sólo escritura
                D - acceso de eliminación
        una lista separada por comas entre paréntesis de derechos específicos:
                DE - eliminar
                RC - control de lectura
                WDAC - escribir DAC
                WO - escribir propietario
                S - sincronizar
                AS - acceso al sistema de seguridad
                MA - máximo permitido
                GR - lectura genérica
                GW - escritura genérica
                GE - ejecución genérica
                GA - todo genérico
                RD - leer datos/lista de directorio
                WD - escribir datos/agregar archivo
                AD - anexar datos/agregar subdirectorio
                REA - leer atributos extendidos
                WEA - escribir atributos extendidos
                X - ejecutar/atravesar
                DC - eliminar secundario
                RA - leer atributos
                WA - escribir atributos
        los derechos de herencia pueden preceder a cualquier forma y se
        aplican sólo a directorios:
                (OI) - herencia de objeto
                (CI) - herencia de contenedor
                (IO) - sólo herencia
                (NP) - no propagar herencia
                (I) - permiso heredado del contenedor principal

Ejemplos:

        icacls c:\windows\* /save archivoACL /T
        - Guardará todas las ACL para todos los archivos en c:\windows
          y sus subdirectorios en archivoACL.

        icacls c:\windows\ /restore archivoACL
        - Restaurará todas las ACL para cada archivo dentro de
          archivoACL que exista en c:\windows y sus subdirectorios.

        icacls file /grant Administrador:(D,WDAC)
        - Concederá al usuario permisos de administrador para eliminar y
          escribir DAC en el archivo.

        icacls file /grant *S-1-1-0:(D,WDAC)
        - Concederá al usuario definido por el SID S-1-1-0 permisos para
          eliminar y escribir DAC en el archivo.

Este mismo proceso se puede hacer haciendo uso del entorno gráfico: botón derecho sobre la letra de la unidad, ir a la pestaña Seguridad -> Opciones avanzadas -> Permisos -> Cambiar permisos -> Agregar -> añadir grupo "Todos", seleccionar "Control total" y aplicar los cambios a "Esta carpeta, subcarpeta y archivos".

Tardará un poquito, en función del tamaño de vuestro disco, pero no volvereis a comeros la cabeza con este tema :-)

Linux: montar volumen Truecrypt NTFS desde la consola

 Vie, 10/12/2010 - 22:03     Sandor

Hoy me he encontrado con que he tenido que montar una partición Truecrypt bajo Linux, usando la línea de comandos. Vago que es uno :-) me apunto aquí la chuletilla, para futuras referencias y por si a alguien le puede ser de utilidad.

El comando quedaría algo así:

truecrypt --filesystem='ntfs-3g'  --mount /dev/sdb2 /mnt/truecrypt  --fs-options='uid=1000,gid=1001,umask=0002'

Obviamente, es necesario tener instalado el soporte NTFS en linux, mediante el paquete ntfs-3g, así como el propio Truecrypt. Las opciones de --mount son autoexplicativas: primero la partición y luego la ruta destino para el montaje. Como parámetros a ntfs-3g (fs-options), le ordenamos que monte la partición como el usuario con id 1000 y grupo con id 1001, con unos permisos (umask) de 0002 que pondrá los archivos con los permisos 664 y los directorios con 775.

Para algo más de información, podeis ojear estas páginas que he encontrado en la red:

TrueCrypt

 Mié, 11/01/2006 - 03:15     Sandor

TrueCrypt

Como ya he comentado en algun post anterior, suelo llevar habitualmente encima un montón de información personal que sería un problemón perder en un momento dado. Hasta ahora me he viniendo arreglando con un par de scripts y la utilidad ccrypt, pero acabo de descubrir un programa que puede que logre sustituir este sistema. El programa se llama TrueCrypt.

Es software libre, y está disponible en versiones windows y linux (para mi es imprescindible acceder desde cualquiera de los dos sistemas a la información). Por ahora se encuentra parcialmente traducido al castellano, aunque es de esperar que en algunas semanas lo esté completamente.

El funcionamiento, una vez pillada la idea, es bastante sencillo.

TrueCrypt puede trabajar tanto con archivos como con particiones cifradas. Al crear un archivo cifrado, el usuario especifica la ruta del archivo, su tamaño (que lógicamente determinará cuanta información es capaz de almacenar), el algoritmo de cifrado y el algoritmo hash (ante la duda, dejarlo tal cual, esto es AES para cifrado y RIPEMD-160 para hash), y por último la clave de acceso al volumen. Una vez creado el archivo, puede montarse al más puro estilo unix como si fuera una unidad más del sistema.

Vamos a explicarlo con un ejemplo: supongamos que acabo de crear un archivo truecypt en c:\Documents and Settings\planetainopia\datos_cifrados.tc, de 50 megas de capacidad (por decir algo), cifrado con el algoritmo AES, con RIPEMD-160 para hash y la clave abrete sesamo como contraseña. Para tener acceso a la información de datos_cifrados.tc, tendría previamente que asignar una unidad libre de windows a este archivo, usando TrueCrypt. Así, por ejemplo, podría asignar datos_cifrados.tc a la unidad F:, por ejemplo. Entonces comienza la magia :-) El programa nos pide la clave y, si es correcta, tendremos acceso a una unidad F:, de 50 Mbs. de capacidad: todo lo que copiemos a esa unidad se cifrará de forma transparente.

El proceso inverso, llamado desmontaje, consiste es cerrar el archivo cifrado, impidiendo el acceso a su contenido. Una vez cerrado, no hay manera de ver qué contiene, si no es volviéndolo a montar utilizando TrueCrypt utilizando, por supuesto, la clave de acceso con la que fue creado (más vale no olvidarte de la clave, ya que sin clave, no hay forma de acceder a la información). Para acceder a este mismo archivo desde linux, se utilizaría el comando truecrypt, con una sintaxis similar a un mount normal y corriente: truecrypt [OPCIONES] RUTA_VOLUMEN [DIRECTORIO_DE_MONTAJE]

Por último comentar que, además de trabajar con archivos cifrados, TrueCrypt también es capaz de cifrar particiones enteras, funcionando básicamente igual. El procedimiento sería más o menos el mismo: definiríamos una partición cifrada en el espacio libre del disco duro. Una vez montada, toda la información que metamos en ella se cifrará automáticamente, siendo imposible acceder a ella una vez desmontada la partición.

¿Qué os parece el sistema? Como ventaja le veo que permite un acceso transparente a la información, realmente cómoda. Como desventaja, algunas pequeñas pegas, como la imposibilidad de redimensionar el tamaño de un archivo truecrypt (tal vez en versiones futuras...), o que si por un descuido borramos accidentalmente el archivo truecrypt, perderemos lógicamente toda la información almacenada en él (si bien nada impide tener copias de seguridad desperdigadas en cds o dvds grabables, ya que aunque terceras personas tengan acceso al fichero truecrypt, les será imposible acceder a su contenido).

Tal vez no sea un programa para todos los públicos y requiera un poco de aprendizaje, pero hoy por hoy, ahora que cualquiera con un disco usb puede vaciarte el disco duro a nada que te vayas a por el café ;-), pienso que el esfuerzo merece la pena. Por último, comentar que existe una completísima guía de usuario (un pdf de 98 páginas), eso sí, en inglés (no todo iba a ser perfecto, ¿eh?) :-D

Etiquetas: 

Sobre PlanetaInopia

Sandor Inopia nació en Bilbao, un lunes cualquiera, justo 1904 años después de que Nerón se suicidara, diciendo ¡Qué artista muere conmigo!, y 192 años después de que Volta descubriera la pila eléctrica. Mientras celebraba su quinto cumpleaños, Elvis daba su último concierto, y celebrando los siete, Muhammad Ali se retiraba del boxeo.

Sobre PlanetaInoipa, blog personal de Sandor Inopia (Sandor Saiz Ortuondo)

Yo no tengo la ambición de Nerón, la inteligencia de Volta, la voz de Elvis, o la fuerza de Alí, pero a veces me gusta escribir y darme a conocer a los demás. Por eso este blog, que espero te guste.

Comentarios recientes