Datele lui Raspberry Pi sunt stocate în partiția sistemului de operare a unui card microSD sau HDD/SSD. În timpul instalării sistemului de operare, nu există nicio opțiune de a configura partiții criptate (în oricare dintre sistemele de operare Pi populare). Dacă media lui Pi este pierdută sau furată, acesta poate fi conectat la un alt computer și toate datele pot fi citite, indiferent de o parolă puternică de conectare sau de starea de conectare automată (dezactivată sau activată).
Datele compromise pot include informații sensibile, cum ar fi „Firefox Profile Data”, care conține acreditări de conectare (nume de utilizator și parole salvate pentru diferite site-uri web). Aceste date sensibile care cad în mâini greșite pot duce la furtul de identitate. Acest articol este un ghid pas cu pas pentru protejarea datelor cu ajutorul criptării. Este o configurație unică realizată folosind instrumente GUI pentru simplitate.
În comparație cu un computer desktop sau laptop, Pi nu are nici șuruburi, nici blocare fizică pentru mediul său. În timp ce această flexibilitate face convenabilă schimbarea sistemelor de operare, schimbând cardul microSD, nu este bună pentru securitate. Este nevoie doar de o secundă pentru ca un actor rău să-și elimine media. În plus, cardurile microSD sunt atât de mici încât urmărirea lor va fi imposibilă.
De asemenea, nu există nicio clemă pentru slotul cardului microSD de pe Raspberry Pi. Când purtați Pi-ul în jur, dacă cardul scapă undeva, există o posibilitate la fel de bună ca cineva să treacă prin ea continuturi.
Diferite moduri de a securiza datele personale pe Pi
Câțiva utilizatori Pi înțeleg riscul și criptează în mod proactiv fișierele individuale. Setarea unei parole principale pentru browsere este, de asemenea, o practică obișnuită. Dar, acest efort suplimentar trebuie depus de fiecare dată.
Având în vedere acești factori, este înțelept configurați criptarea pentru întregul disc. Discul va rămâne ilizibil de către alții, cu excepția cazului în care au expresia de acces de criptare, pe care, desigur, nu o știu și nu ți-o pot cere. Nici forțarea brută cu un dicționar de parole nu o va rupe, deoarece veți seta o parolă suficient de bună pentru a rezista unor asemenea atacuri.
Utilizarea discului existent vs. Configurarea acestuia pe un disc nou
Ideea este să creați o partiție criptată și să o setați să funcționeze ca director principal. Deoarece toate datele personale se află de obicei în directorul principal, securitatea datelor va rămâne intactă.
Există două moduri diferite de a face acest lucru:
- Faceți spațiu pentru partiția criptată pe discul care este utilizat în prezent pentru sistemul de operare.
- Utilizați un nou SSD sau hard disk, conectați-l la Pi cu a Adaptor USB la SATA (dacă este necesar) și utilizați-l ca partiție criptată.
Există anumite avantaje cu ambele configurații:
- Prima configurație folosește cardul microSD sau SSD existent și nu are nevoie de niciun hardware suplimentar. Fiind un singur disc, păstrează lucrurile compacte și este bun pentru portabilitate.
- A doua configurație este bună pentru o durată mai lungă de viață a discului din cauza numărului mai mic de scrieri. Este, de asemenea, puțin mai rapid, deoarece citirile/scrierile sunt distribuite între două discuri.
Prima configurație este discutată aici deoarece mai are câțiva pași. A doua configurație face parte din prima și pașii de excludere sunt ușor de înțeles.
Instalarea aici arată procesul pe sistemul de operare Raspberry Pi; același proces poate fi replicat pentru Ubuntu Desktop OS și aromele sale, cum ar fi MATE.
Pregătiți discul pentru criptare
De cand partiția criptată va fi pe discul OS în sine, spațiul necesar trebuie să fie tăiat din partiția rădăcină. Acest lucru nu se poate face pe un Pi pornit, deoarece partiția rădăcină este deja montată. Deci, utilizați un alt computer care poate rula gnome-disk-utility, cum ar fi un PC Linux.
Alternativ, De asemenea, puteți porni dual un Raspberry Pi sau rulați un sistem de operare temporar cu media conectat prin USB.
Conectați discul OS al lui Pi la celălalt computer și instalați instrumentul pentru a gestiona discul:
sudo apt Actualizați
sudo apt instalare gnome-disk-utilityDeschis Discuri din meniu sau cu comanda:
gnome-discuriUn pas opțional în acest moment este să faceți o copie de rezervă a discului, mai ales dacă există date importante pe acesta. Instrumentul Discuri are o funcție încorporată pentru a salva întregul disc ca imagine. Dacă este necesar, această imagine poate fi restaurată înapoi pe media.
Scoateți spațiul necesar pentru discul criptat. Selectează partiția rădăcină, apasă pe Angrenaj controlați și selectați Redimensionați
Dacă utilizați un card microSD sau o unitate cu o capacitate de 32 GB sau mai mare, alocați 15 GB pentru partiția rădăcină și lăsați restul pentru ca partiția să fie criptată.
Clic Redimensionați si Spatiu liber va fi creat.
Când ați terminat, scoateți media de pe acest computer. Conectați-l la Raspberry Pi și porniți-l.
Deschideți terminalul și instalați instrumentul Disks pe Pi:
sudo apt instalare gnome-disk-utility -yDeoarece este necesară criptarea, instalați următorul plug-in criptografic:
sudo apt instalare libblockdev-crypto2 -yReporniți serviciul Disks:
sudosystemctlrepornireudisks2.serviciuConfigurați criptarea utilizând GUI: calea ușoară
Deschideți instrumentul Discuri din meniu sau cu comanda:
gnome-discuriSelectați Spatiu liber și faceți clic pe + simbol pentru a crea partiția.
Lăsați dimensiunea partiției la valoarea implicită maximă și faceți clic Următorul.
Da un Nume volum; de exemplu, Criptat. Selectați EXT4 si verifica Volum protejat prin parolă (LUKS).
Dați o expresie de acces, una puternică. Deși se recomandă utilizarea unui amestec de numere și caractere speciale, doar lungimea mare a parolei va face imposibilă piratarea prin forțare brută. De exemplu, o parolă de 17 caractere va dura câteva milioane de ani pentru ca forța brută să fie folosită de cele mai rapide computere de astăzi. Deci, puteți folosi o propoziție foarte lungă după trunchierea spațiilor.
Clic Crea, iar partiția criptată ar trebui să fie gata.
Dacă întâlniți un eroare cu /etc/crypttab intrare, creați un fișier gol folosind:
sudo touch /etc/crypttabȘi apoi repetați procesul de creare a partiției folosind + simbol.
Partiția este acum criptată LUKS, dar trebuie deblocată la pornire. Trebuie creată o intrare în /etc/crypttab fişier. Selectați partiția, faceți clic pe Angrenaj controlează și alege Editați opțiunile de criptare.
Comutare Sesiuni implicite ale utilizatorului, Verifica Deblocați la pornirea sistemului, furnizați Fraza de acces, și faceți clic O.K.
Acum selectați Criptat partiționați și montați-l folosind Joaca pictograma. Copiați punctul de montare.
Mutați directorul principal pe unitatea criptată
Pentru siguranță, clonează directorul de acasă acum și șterge directorul sursă mai târziu, după ce procesul are succes (înlocuiește „arjunandvishnu” cu numele tău de utilizator).
sudo rsync -av /home/* /media/arjunandvishnu/Encrypted/Acordați dreptul de proprietate asupra fișierelor copiate utilizatorului corect:
sudo chown -Rv arjunandvishnu: arjunandvishnu /media/arjunandvishnu/Encrypted/arjunandvishnuDacă există mai mulți utilizatori, repetați:
sudo chown -Rv pi: pi /media/arjunandvishnu/Encrypted/piMontați automat discul
Această partiție criptată trebuie montată automat la pornire. Selectează Criptat disc, faceți clic pe Angrenaj controlați și selectați Editați opțiunile de montare.
Comutare Sesiuni implicite ale utilizatorului și setați Punctul de montare la /home. Aceasta va adăuga o intrare la /etc/fstab fişier.
Reporniți Pi și conectați-vă. În primul rând, directorul principal trebuie să aibă 755 de permisiuni:
sudo chmod 755 /homePentru a verifica dacă partiția criptată este utilizată pentru /home, creați un folder gol pe desktop și verificați navigând la el prin Criptat director.
Rețineți decât pe sistemul de operare Raspberry Pi, managerul de fișiere implicit (pcmanfm) permite ștergerile din Coșul de reciclare pe unitățile amovibile. Pentru a activa ștergerea în Coșul de reciclare, debifați setarea din Preferințe.
Eliminați fraza de acces de criptare salvată
Anterior, în timpul configurării criptării, expresia de acces a fost salvată. Această configurație a fost creată în /etc/crypttab fişier.
Fișierul dumneavoastră luks-key este stocat necriptat, iar deschiderea acestuia va dezvălui parola. Acesta este un risc de securitate și trebuie abordat. Nu e bine să lași încuietoarea și cheia împreună.
Ștergeți fișierul luks-key și eliminați referința din /etc/crypttab.
sudo rm /etc/luks-keys/YOUR-KEYAcum, de fiecare dată când porniți, Pi vă va cere expresia de acces de criptare la început. Acesta este comportamentul așteptat.
Dacă este prezentat un ecran gol, utilizați Săgeată sus/jos tasta pentru ca ecranul de conectare să apară. Utilizare Backspace pentru a șterge orice caracter și cheie în fraza de acces de criptare. Acesta va debloca partiția criptată.
Ștergeți vechiul director principal
Mai devreme, în loc să vă mutați, ați copiat directorul principal. Conținutul vechiului director este încă necriptat și trebuie șters dacă informațiile sunt sensibile. Pentru a face acest lucru cu ușurință, montați media pe alt computer. Navigați la directorul de pornire VECHI din partiția rădăcină a unității externe montate și ștergeți-l (ai grijă).
Criptarea este ușoară pe Raspberry Pi
Securizarea datelor dvs. este un subiect care de multe ori vă va face să faceți o milă suplimentară la început, dar va plăti bine mai târziu. O mulțime de dacă și dar despre criptare sunt acoperite aici. Dar, în esență, instrucțiunile sunt simple și implementarea este ușoară. Nu există niciun motiv să fii intimidat cu privire la criptare; recuperarea datelor este de asemenea ușoară, atâta timp cât nu uitați fraza de acces de criptare.
Dacă această criptare este configurată împreună cu oglindirea datelor RAID-1, va oferi securitate, precum și siguranță pentru datele dvs. împotriva defecțiunilor unității fizice și va finaliza configurarea perfectă.
