Seguretat a l’escriptori Linux: xifrat de disc, UFW i actualitzacions automàtiques

Protegir un sistema Linux d’ escriptori no requereix solucions complexes ni costoses. Tampoc n’hi ha prou amb confiar que “Linux és segur per defecte”. Hi ha mesures concretes, ben conegudes i disponibles en pràcticament totes les distribucions, que permeten cobrir els principals vectors de risc en escriptoris personals o de treball.

Aquesta entrada s’enfoca en tres d’elles: xifrat de disc, firewall amb UFW i actualitzacions automàtiques. Cadascuna compleix un rol diferent, però juntes formen una base sòlida.

1. Xifrat de disc: protecció real davant pèrdua o robatori

Què protegeix el xifrat de disc

El xifrat a nivell de disc bloqueja l’accés a les dades si algú obté físicament l’equip. Sense ell, qualsevol que arrenqui des d’un USB pot llegir arxius, copiar la partició, accedir a claus emmagatzemades, bases de dades, correus, tokens d’autenticació i molt més.

Aquest problema no és hipotètic: afecta des de portàtils extraviats fins a robatoris a oficines o domicilis.

Quina part del sistema convé xifrar?

Per a obtenir una protecció completa a sistemes d’ escriptori, el més recomanable és xifrar:

• Tota la partició arrel (/)
• La partició /home (si està separada)
• La Swap (especialment si hi ha hibernació)

Xifrar només /home o només carpetes concretes deixa fora una gran quantitat d’informació sensible: logs, arxius temporals, configuracions d’usuaris, credencials, etc. Per això, l’opció més segura i senzilla és xifrat complet del disc.

LUKS: l’ estàndard en sistemes Linux

Linux Unified Key Setup (LUKS) és el mètode estàndard per a xifrat de disc. Opera a nivell de bloc fent servir dm-crypt. Està suportat per totes les principals distribucions, s’ integra amb LVM, permet múltiples claus i es pot fer servir amb TPM si es desitja.

Des del punt de vista de l’ usuari, en iniciar el sistema es demanarà una contrasenya per desxifrar el volum abans d’ arrencar. Això passa abans que el sistema operatiu estigui carregat, cosa que protegeix l’entorn complet.

Configuració pràctica: xifrat des de l’instal·lador

La forma més senzilla i sòlida de tenir xifrat LUKS és durant la instal·lació. La majoria de distribucions permeten això en l’instal·lador gràfic:

Ubuntu, Debian i derivats:

• En crear particions, marcar l’opció “fer servir LVM amb xifrat”.
• Es demanarà una clau de xifrat. Aquesta clau es fa servir per accedir al contenidor LUKS que encapsula totes les particions internes.
• L’esquema habitual: → LUKS → LVM → root, y (opcional) home.

Fedora:

• L’instal·lador de Fedora xifra el disc complet per defecte si se selecciona LVM.
• Permet configurar la clau durant la instal·lació.

Arch Linux:

• El xifrat es configura manualment fent servir cryptsetup i LVM o Btrfs.
• La flexibilitat és màxima, però requereix conèixer bé el procés.

Accés, recuperació i gestió de claus

Un volum LUKS pot tenir fins a 8 slots de clau. Això permet afegir claus addicionals sense esborrar les existents:

sudo cryptsetup luksAddKey /dev/sdX

També es pot eliminar una clau sense afectar les altres:

sudo cryptsetup luksRemoveKey /dev/sdX

Convé guardar una còpia de la capçalera del volum, que inclou metadades essencials:

sudo cryptsetup luksHeaderBackup /dev/sdX --header-backup-file luks-header.img

Això permet recuperar el volum si es corrompen les metadades, tot i que no recupera la contrasenya.

I el TPM?

En portàtils moderns amb xip TPM, algunes distribucions permeten emmagatzemar la clau de desxifrat en el TPM per a desbloqueig automàtic si no hi ha hagut manipulació del sistema (mitjançant Secure Boot i PCRs). Això permet cert equilibri entre seguretat i comoditat, però no substitueix una clau segura.

Casos on no convé xifrar

En entorns sense dades personals, com quioscos o equips de demostració, es pot prescindir del xifrat. El mateix si el disc conté només dades ja xifrades d’altres fonts (contenidors, volums externs). Però són excepcions. A la majoria de casos, el xifrat total és una mesura raonable i poc costosa.

2. Firewall amb UFW: control de serveis exposats

Per què fer servir firewall a l’escriptori

Tot i que un sistema Linux no sol tenir ports oberts, això canvia amb l’ús real. Instal·lar un servidor d’escriptori remot, una VPN, eines de sincronització o contenidors pot obrir ports sense que l’usuari ho noti.

Un tallafocs permet bloquejar tot trànsit no sol·licitat des de l’exterior. Això no impedeix l’ús normal d’internet ni trenca connexions sortints. Actuar proactivament evita sorpreses.

UFW: configuració clara i directa

UFW (Uncomplicated Firewall) és una interfície per a iptables o nftables. És estable, madura i adequada per a escriptoris o servidors individuals. No requereix coneixements avançats i manté regles persistents entre reinicis.

Instal·lació i activació

En sistemes basats en Debian/Ubuntu:

sudo apt install ufw
sudo ufw enable

A Arch i derivats:

sudo pacman -S ufw
sudo systemctl enable --now ufw.service

Política per defecte recomanada

sudo ufw default deny incoming
sudo ufw default allow outgoing

Això bloqueja tot el que vingui de l’exterior, tret del que l’usuari hagi autoritzat explícitament.

Exemples de regles útils

Permetre SSH només des de la xarxa local:

sudo ufw allow from 192.168.1.0/24 to any port 22

Permetre accés a Samba (només si cal):

sudo ufw allow 137,138/udp
sudo ufw allow 139,445/tcp

Permetre VNC des de localhost:

sudo ufw allow from 127.0.0.1 to any port 5900

Vegeu regles actives amb numeració:

sudo ufw status numbered

Eliminar una regla per número:

sudo ufw delete 1

Logging

Per a veure intents bloquejats:

sudo ufw logging on

Els registres es troben a /var/log/ufw.log. Poden revisar-se amb less o filtrar-se amb grep per adreça IP o port.

Alternatives a UFW

• Firewalld: usada en Fedora i RHEL. Més complexa i flexible, especialment per a zones i perfils de xarxa.
• nftables: més modern, però requereix configuracions manuals o eines d’ alt nivell.
• GUFW: interfície gràfica per a UFW. Útil si s’ administra des de l’ escriptori sense terminal.

Als escriptoris personals, UFW sol ser suficient, especialment si es combina amb monitorització ocasional del log.

3. Actualitzacions automàtiques

Quin tipus d’ actualitzacions es poden automatitzar

En entorns d’ escriptori, és recomanable automatitzar almenys les actualitzacions de seguretat. Deixar completament desatès el sistema pot portar problemes (per exemple, una actualització que requereix reinici pot deixar una aplicació crítica sense reiniciar), però postergar la seguretat és pitjor.

A Debian, Ubuntu i derivats

Instal·lar i activar unattended-upgrades

sudo apt install unattended-upgrades

Configurar quins repositoris es fan servir:

Arxiu: /etc/apt/apt.conf.d/50unattended-upgrades

Unattended-Upgrade::Allowed-Origins {
  "${distro_id}:${distro_codename}-security";
  // "${distro_id}:${distro_codename}-updates";
};

Activar:

sudo dpkg-reconfigure --priority=low unattended-upgrades

Evitar reinicis automàtics inesperats:

Unattended-Upgrade::Automatic-Reboot "false";

Veure registres a:

/var/log/unattended-upgrades/

Opcional: notificacions per correu

Unattended-Upgrade::Mail "admin@midominio.com";
Unattended-Upgrade::MailOnlyOnError "true";

A Fedora y RHEL

Instal·lar:

sudo dnf install dnf-automatic

Configurar a /etc/dnf/automatic.conf:

[commands]
upgrade_type = security
apply_updates = yes

Activar el servei:

sudo systemctl enable --now dnf-automatic.timer

Els logs estan a journalctl -u dnf-automatic.

Flatpak, Snap i AppImage: actualitzacions fora del sistema de paquets

Les aplicacions en formats tipus Flatpak o Snap no s’ actualitzen amb apt o dnf. Això requereix tasques addicionals:

Flatpak

Actualitzar manualment:

flatpak update

Automatitzar amb cron o systemd:

Arxiu d’ unitat: ~/.config/systemd/user/flatpak-update.timer

[Timer]
OnBootSec=10min
OnUnitActiveSec=1d
Unit=flatpak-update.service

Snap

Snap s’actualitza automàticament, amb poca capacitat de control. Per a entorns que requereixen estabilitat predictible, això pot ser un problema. No es recomana a sistemes crítics.

Casos reals

Tot i que aquestes eines són simples de configurar, en molts entorns es deixen fora per costum, per comoditat o per subestimar el risc. Alguns exemples habituals on fallar en aquestes tres àrees té conseqüències:

Xifrat absent en portàtils

Un portàtil perdut o robat amb dades sense xifrar pot significar comprometre identitats, claus d’ accés, bases de dades o documents sensibles. Això és especialment greu si hi ha correus d’empresa o accés persistent a VPNs, emmagatzematge al núvol o portals interns.

Una clau de disc fort, configurada des del principi, evita que el maquinari perdut es converteixi en una filtració de dades.

Firewall desactivat a escriptoris fets servir per a compartir arxius

Instal·lar Samba o NFS en un escriptori sense configurar el firewall permet a qualsevol dispositiu de la xarxa accedir a l’equip, de vegades sense autenticació si es fa servir una configuració laxa. Amb un firewall correctament configurat, aquests serveis poden limitar-se a certs rangs d’ IP o desactivar-se per defecte.

Sistema sense pegats de seguretat per mesos

Una vulnerabilitat en un paquet com OpenSSL, sudo, o fins i tot en un component d’escriptori com GNOME o KDE, pot estar activa durant setmanes si el sistema no instal·la actualitzacions de seguretat. Automatitzar aquest procés elimina el risc de confiar que l’ usuari es recordi.

Gestió en múltiples escriptoris o entorns semi-controlats

Quan es gestionen diversos escriptoris Linux, per exemple en un equip de treball, en una petita empresa o en un laboratori, té sentit automatitzar o estandarditzar aquestes pràctiques. Algunes opcions útils:

Scripts de postinstal·lació

Per a noves instal·lacions, pot ser útil tenir un script que:

• Activi UFW amb regles per defecte
• Instal·li actualitzacions desateses o dnf-automatic
• Configuri actualitzacions de Flatpak
• Habiliti logs i monitoratge bàsic

Això estalvia temps i redueix errors de configuració.

Systemd timers en lloc de cron

Els timers de systemd són més fiables i flexibles que cron. Es poden fer servir per llançar actualitzacions automàtiques, backups, escanejos de logs, etc.

Exemple:

systemctl --user enable --now my-auto-update.timer

Monitorització bàsica

Fer servir logwatch, journalctl, o simplement una combinació de grep i mail pot permetre detectar esdeveniments anòmals, com intents de connexió bloquejats, errors d’ actualització o reinicis pendents.

Algunes recomanacions

• No facis servir la mateixa contrasenya de xifrat que la de l’usuari del sistema. Si algú obté la clau del sistema per phishing o per accés físic mentre està desbloquejat, podrà reiniciar i desxifrar el disc si la clau és la mateixa.
• No deixis serveis escoltant a totes les interfícies per defecte. Moltes aplicacions llancen serveis de xarxa sense preguntar, com GNOME Remote Desktop, Syncthing o alguns contenidors Docker. Revisa amb ss -tulnp o netstat -plnt i bloqueja amb UFW.
• Verifica periòdicament que el sistema està rebent actualitzacions. No n’hi ha prou amb instal·lar unattended-upgrades. De vegades els arxius de configuració estan mal definits, o els paquets es marquen com a no actualitzables.
• Xifra els discos externs si contenen dades sensibles. Un disc extern sense xifrar és una fuga de dades portàtil. LUKS també funciona bé en volums externs i es pot fer servir des de GNOME Disks o amb cryptsetup en terminal.

Checklist de seguretat bàsica en escriptori Linux

Component	Acció recomanada
Disc	Xifrat complet amb LUKS des de l’instal·lador
Tallafoc	UFW actiu amb política deny incoming, allow outgoing
Serveis exposats	Revisar ports amb ss, tancar l’ innecessari
Actualitzacions (APT)	unattended-upgrades instal·lat i configurat
Actualitzacions (DNF)	dnf-automatic actiu amb només seguretat
Flatpak	Actualització automàtica amb systemd o script
Snap	Acceptar les seves limitacions o evitar-ho si és crític
Registres	Logging d’ UFW i actualitzacions revisats
Accés físic	Suspensió o bloqueig automàtic si l’ usuari s’ absenta
Claus de xifrat	Backup de capçalera de LUKS, claus diferents i segures

Conclusió

Fer servir Linux a l’escriptori amb seguretat no requereix eines noves ni configuracions complexes. N’hi ha prou amb aplicar bé les que ja existeixen i estan disponibles des de la instal·lació. Aquestes tres mesures —xifrat de disc, firewall actiu i actualitzacions automàtiques— cobreixen problemes freqüents i greus amb molt poc esforç.

No són mesures avançades ni experimentals: formen part de l’ ús responsable de qualsevol sistema de treball. Deixar-les sense configurar és assumir un risc innecessari que no es justifica, sobretot quan el cost de prevenir-lo és tan baix.