Dane Raspberry Pi są przechowywane na partycji systemu operacyjnego karty microSD lub HDD/SSD. Podczas instalacji systemu operacyjnego nie ma możliwości utworzenia zaszyfrowanych partycji (w żadnym z popularnych systemów operacyjnych Pi). Jeśli nośnik Pi zostanie zgubiony lub skradziony, można go podłączyć do innego komputera i wszystkie dane można odczytać, niezależnie od silnego hasła logowania lub stanu automatycznego logowania (wyłączone lub włączone).
Zhakowane dane mogą zawierać poufne informacje, takie jak „Dane profilu Firefox”, które zawierają dane logowania (zapisane nazwy użytkowników i hasła do różnych witryn internetowych). Te wrażliwe dane wpadające w niepowołane ręce mogą prowadzić do kradzieży tożsamości. Ten artykuł jest przewodnikiem krok po kroku, jak chronić dane za pomocą szyfrowania. Jest to jednorazowa konfiguracja dokonana przy użyciu narzędzi GUI dla uproszczenia.
W porównaniu z komputerem stacjonarnym lub laptopem, Pi nie ma ani śrub, ani fizycznej blokady dla swoich nośników. Chociaż ta elastyczność umożliwia wygodne przełączanie systemów operacyjnych, poprzez wymianę karty microSD, nie jest to dobre dla bezpieczeństwa. Wystarczy sekunda, by zły aktor usunął swoje media. Poza tym karty microSD są tak małe, że ich namierzenie będzie niemożliwe.
Ponadto w Raspberry Pi nie ma klipsa do gniazda kart microSD. Kiedy nosisz ze sobą Pi, jeśli karta gdzieś wyślizguje się, jest równie dobra szansa, że ktoś przez nią przejdzie zawartość.
Różne sposoby zabezpieczania danych osobowych na Pi
Kilku użytkowników Pi rozumie ryzyko i aktywnie szyfruje poszczególne pliki. Powszechną praktyką jest również ustawianie hasła głównego dla przeglądarek. Ale ten dodatkowy wysiłek musi być włożony za każdym razem.
Biorąc pod uwagę te czynniki, mądrze jest: skonfigurować szyfrowanie dla całego dysku. Dysk pozostanie nieczytelny dla innych, chyba że mają hasło szyfrowania, którego oczywiście nie znają i nie mogą cię zapytać. Brute-forsing za pomocą słownika haseł również go nie złamie, ponieważ ustawisz hasło, które będzie wystarczająco dobre, aby oprzeć się takim atakom.
Korzystanie z istniejącego dysku a Konfiguracja na nowym dysku
Pomysł polega na stworzeniu zaszyfrowanej partycji i ustawieniu jej jako katalogu domowego. Ponieważ wszystkie dane osobowe znajdują się zwykle w katalogu domowym, bezpieczeństwo danych pozostanie nienaruszone.
Można to zrobić na dwa różne sposoby:
- Zrób miejsce na zaszyfrowaną partycję na dysku, który jest aktualnie używany przez system operacyjny.
- Użyj nowego dysku SSD lub dysku twardego, podłącz go do Pi za pomocą Adapter USB do SATA (w razie potrzeby) i użyj go jako zaszyfrowanej partycji.
Obie konfiguracje mają pewne zalety:
- Pierwsza konfiguracja wykorzystuje istniejącą kartę microSD lub SSD i nie wymaga dodatkowego sprzętu. Będąc pojedynczym dyskiem, zachowuje kompaktowość i jest dobry do przenoszenia.
- Druga konfiguracja zapewnia dłuższą żywotność dysku ze względu na mniejszą liczbę zapisów. Jest również nieco szybszy, ponieważ odczyty/zapisy są rozdzielone między dwa dyski.
Pierwsza konfiguracja jest omówiona tutaj, ponieważ ma jeszcze kilka kroków. Druga konfiguracja jest częścią pierwszej, a kroki, które należy wykluczyć, są łatwe do zrozumienia.
Instalacja tutaj pokazuje proces na Raspberry Pi OS; ten sam proces można replikować dla Ubuntu Desktop OS i jego odmian, takich jak MATE.
Przygotuj dysk do szyfrowania
Odkąd zaszyfrowana partycja będzie na samym dysku systemu operacyjnego, wymagane miejsce musi zostać wycięte z partycji głównej. Nie można tego zrobić na uruchomionym Pi, ponieważ partycja główna jest już zamontowana. Użyj więc innego komputera, na którym można uruchomić narzędzie gnome-disk, takiego jak komputer z systemem Linux.
Alternatywnie, możesz także uruchomić podwójne uruchomienie Raspberry Pi lub uruchom tymczasowy system operacyjny z nośnikiem podłączonym przez USB.
Podłącz dysk systemu operacyjnego Pi do drugiego komputera i zainstaluj narzędzie do zarządzania dyskiem:
sudo apt aktualizacja
sudo apt zainstalować gnome-disk-narzędzieotwarty Dyski z menu lub poleceniem:
gnome-dyskiOpcjonalnym krokiem w tym momencie jest utworzenie kopii zapasowej dysku, szczególnie jeśli znajdują się na nim ważne dane. Narzędzie Dyski ma wbudowaną funkcję zapisywania całego dysku jako obrazu. W razie potrzeby ten obraz można przywrócić z powrotem na nośnik.
Wytnij miejsce potrzebne na zaszyfrowany dysk. Wybierz partycja główna, Kliknij Koło zębate kontroluj i wybierz Zmień rozmiar
Jeśli używasz karty microSD lub dysku o pojemności 32 GB lub większej, przydziel 15 GB dla partycji głównej, a resztę pozostaw do zaszyfrowania.
Kliknij Zmień rozmiar i Wolna przestrzeń zostanie stworzony.
Po zakończeniu wysuń nośnik z tego komputera. Podłącz go do swojego Raspberry Pi i uruchom go.
Otwórz terminal i zainstaluj narzędzie Dyski na Pi:
sudo apt zainstalować gnome-disk-narzędzie -yPonieważ szyfrowanie jest potrzebne, zainstaluj następującą wtyczkę kryptograficzną:
sudo apt zainstalować libblockdev-crypto2 -yUruchom ponownie usługę Dyski:
sudosystemowyuruchom ponownieudiski2.usługaSkonfiguruj szyfrowanie za pomocą GUI: łatwy sposób
Otwórz narzędzie Dyski z menu lub za pomocą polecenia:
gnome-dyskiWybierz Wolna przestrzeń i kliknij + symbol, aby utworzyć strefę.
Pozostaw domyślny maksymalny rozmiar partycji i kliknij Następny.
Dać Nazwa woluminu; na przykład, Zaszyfrowane. Wybierz EXT4 i zaznacz Ochrona hasłem woluminu (LUKS).
Podaj hasło, mocne. Chociaż zaleca się używanie kombinacji cyfr i znaków specjalnych, sama długość hasła uniemożliwi włamanie się za pomocą brutalnego wymuszania. Na przykład 17-znakowe hasło zajmie kilka milionów lat, zanim zostanie użyta brutalna siła do korzystania z najszybszych dzisiejszych komputerów. Możesz więc użyć naprawdę długiego zdania po obcięciu spacji.
Kliknij Tworzyć, a zaszyfrowana partycja powinna być gotowa.
Jeśli napotkasz błąd z /etc/crypttab wpis, utwórz pusty plik za pomocą:
sudo touch /etc/crypttabA następnie powtórz proces tworzenia partycji za pomocą + symbol.
Partycja jest teraz zaszyfrowana LUKS, ale musi zostać odblokowana podczas rozruchu. Wpis należy utworzyć w /etc/crypttab plik. Wybierz partycję, kliknij bieg kontrolować i wybierać Edytuj opcje szyfrowania.
Przełącznik Domyślne ustawienia sesji użytkownika, sprawdzać Odblokuj przy starcie systemu, zapewnić Hasłoi kliknij OK.
Teraz wybierz Zaszyfrowane partycję i zamontuj ją za pomocą bawić się Ikona. Skopiuj punkt montowania.
Przenieś katalog domowy na zaszyfrowany dysk
Ze względów bezpieczeństwa sklonuj teraz katalog domowy i usuń katalog źródłowy później, po pomyślnym zakończeniu procesu (zastąp "arjunandvishnu" swoją nazwą użytkownika).
sudo rsync -av /home/* /media/arjunandvishnu/Encrypted/Przyznaj własność skopiowanych plików właściwemu użytkownikowi:
sudo chown -Rv arjunandvishnu: arjunandvishnu /media/arjunandvishnu/Zaszyfrowane/arjunandvishnuJeśli jest więcej niż jeden użytkownik, powtórz:
sudo chown -Rv pi: pi /media/arjunandvishnu/Encrypted/piZamontuj dysk automatycznie
Ta zaszyfrowana partycja musi zostać automatycznie zamontowana podczas rozruchu. Wybierz Zaszyfrowane dysk, kliknij bieg kontroluj i wybierz Edytuj opcje montowania.
Przełącznik Domyślne ustawienia sesji użytkownika i ustaw Punkt montażu do /home. Spowoduje to dodanie wpisu do /etc/fstab plik.
Uruchom ponownie Pi i zaloguj się. Po pierwsze, katalog domowy musi mieć 755 uprawnień:
sudo chmod 755 /homeAby sprawdzić, czy zaszyfrowana partycja jest używana dla /home, utwórz pusty folder na pulpicie i zweryfikuj go, przechodząc do niego za pomocą Zaszyfrowane informator.
Zauważ, że w Raspberry Pi OS domyślny menedżer plików (pcmanfm) umożliwia usuwanie do Kosza na dyskach wymiennych. Aby umożliwić usuwanie do Kosza, usuń zaznaczenie ustawienia w Preferencjach.
Usuń zapisane hasło szyfrowania
Wcześniej, podczas konfigurowania szyfrowania, hasło zostało zapisane. Ta konfiguracja została utworzona w /etc/crypttab plik.
Twój plik luks-key jest przechowywany w postaci niezaszyfrowanej, a otwarcie go ujawni hasło. Jest to zagrożenie bezpieczeństwa i należy się nim zająć. Nie ma sensu zostawiać razem zamka i klucza.
Usuń plik luks-key i usuń jego odniesienie z /etc/crypttab.
sudo rm /etc/luks-keys/TWÓJ-KLUCZTeraz za każdym razem, gdy uruchamiasz, Pi na początku poprosi o hasło szyfrowania. To jest oczekiwane zachowanie.
Jeśli wyświetlany jest pusty ekran, użyj Strzałka w górę/w dół aby wyświetlić ekran logowania. Posługiwać się Backspace aby usunąć wszelkie znaki i wpisać hasło szyfrowania. Odblokuje zaszyfrowaną partycję.
Usuń stary katalog domowy
Wcześniej, zamiast się przenosić, skopiowałeś katalog domowy. Zawartość starego katalogu jest nadal niezaszyfrowana i należy ją usunąć, jeśli informacje są poufne. Aby to zrobić łatwo, zamontuj nośnik na innym komputerze. Przejdź do OLD katalogu domowego w partycji głównej zamontowanego dysku zewnętrznego i usuń go (uważaj).
Szyfrowanie jest łatwe na Raspberry Pi
Zabezpieczanie danych to temat, który często sprawia, że na początku idziesz o krok dalej, ale później dobrze się opłaci. Omówiono tutaj wiele „jeśli” i „ale” dotyczących szyfrowania. Ale w istocie instrukcje są proste, a implementacja jest łatwa. Nie ma powodu, aby bać się szyfrowania; odzyskiwanie danych jest również łatwe, o ile nie zapomnisz hasła szyfrowania.
Jeśli to szyfrowanie zostanie skonfigurowane wraz z dublowaniem danych RAID-1, zapewni bezpieczeństwo, a także ochronę danych przed awariami dysków fizycznych i dopełni idealną konfigurację.
