Данные Raspberry Pi хранятся в разделе операционной системы карты microSD или жесткого диска/твердотельного накопителя. Во время установки ОС нет возможности настроить зашифрованные разделы (ни в одной из популярных операционных систем Pi). Если носитель Pi потерян или украден, его можно подключить к другому компьютеру, и все данные могут быть прочитаны, независимо от надежного пароля для входа или состояния автоматического входа (отключено или включено).

Скомпрометированные данные могут включать конфиденциальную информацию, такую ​​как «данные профиля Firefox», которая содержит учетные данные для входа (сохраненные имена пользователей и пароли для различных веб-сайтов). Эти конфиденциальные данные, попадающие в чужие руки, могут привести к краже идентификационных данных. Эта статья представляет собой пошаговое руководство по защите данных с помощью шифрования. Это одноразовая конфигурация, выполненная с использованием инструментов графического интерфейса для простоты.

По сравнению с настольным или портативным компьютером, у Pi нет ни винтов, ни физического замка для носителя. Хотя такая гибкость позволяет легко переключаться между операционными системами, замена карты microSD не способствует безопасности. Плохому актеру требуется всего одна секунда, чтобы удалить свои носители. Кроме того, карты microSD настолько малы, что отследить их будет невозможно.

instagram viewer

Кроме того, на Raspberry Pi нет зажима для слота для карты microSD. Когда вы носите с собой Пи, если карта где-то соскальзывает, так же велика вероятность того, что кто-то содержание.

Различные способы защиты личных данных на Pi

Несколько пользователей Pi понимают риск и активно шифруют отдельные файлы. Установка мастер-пароля для браузеров также является обычной практикой. Но это дополнительное усилие нужно прикладывать каждый раз.

С учетом этих факторов целесообразно настроить шифрование всего диска. Диск останется нечитаемым для других, если у них нет парольной фразы для шифрования, которую они, конечно же, не знают и не могут спросить у вас. Перебор со словарем паролей также не сломает его, потому что вы установите пароль, который достаточно хорош, чтобы противостоять таким атакам.

Использование существующего диска по сравнению с Установка на новый диск

Идея состоит в том, чтобы создать зашифрованный раздел и настроить его на работу в качестве домашнего каталога. Поскольку все личные данные обычно находятся в домашнем каталоге, безопасность данных остается неизменной.

Есть два разных способа сделать это:

  1. Освободите место для зашифрованного раздела на диске, который в данный момент используется для ОС.
  2. Используйте новый SSD или жесткий диск, подключите его к Pi с помощью переходник с USB на SATA (при необходимости) и используйте его как зашифрованный раздел.

Обе конфигурации имеют определенные преимущества:

  • Первая конфигурация использует существующую карту microSD или SSD и не требует дополнительного оборудования. Будучи одним диском, он компактен и удобен для переноски.
  • Вторая конфигурация хороша для более длительного срока службы диска из-за меньшего количества операций записи. Это также немного быстрее, поскольку операции чтения/записи распределяются между двумя дисками.

Здесь обсуждается первая конфигурация, так как она включает еще несколько шагов. Вторая конфигурация является частью первой, и действия по ее исключению легко понять.

Здесь показан процесс установки на ОС Raspberry Pi; тот же процесс можно воспроизвести для ОС Ubuntu Desktop и ее разновидностей, таких как MATE.

Подготовьте диск к шифрованию

С зашифрованный раздел будет на самом диске ОС, нужное место нужно вырезать из корневого раздела. Это невозможно сделать на загруженном Pi, поскольку корневой раздел уже смонтирован. Итак, используйте другой компьютер, на котором можно запустить gnome-disk-utility, например ПК с Linux.

Альтернативно, вы также можете выполнить двойную загрузку Raspberry Pi или запустите временную ОС с носителем, подключенным через USB.

Подключите диск ОС вашего Pi к другому компьютеру и установите инструмент для управления диском:

Судо подходит Обновить
Судо подходит установить гном-диск-утилита

Открытым Диски из меню или командой:

гном-диски

Необязательным шагом на этом этапе является резервное копирование диска, особенно если на нем есть важные данные. Инструмент «Диски» имеет встроенную функцию сохранения всего диска в виде образа. При необходимости этот образ можно восстановить обратно на носитель.

Выделите место, необходимое для зашифрованного диска. Выберите корневой раздел, щелкните Механизм контролировать и выбирать Изменить размер

При использовании карты microSD или накопителя емкостью 32 ГБ или более выделите 15 ГБ для корневого раздела, а остальные оставьте для зашифрованного раздела.

Нажмите Изменить размер и Свободное место будет создан.

Когда закончите, извлеките носитель из этого компьютера. Подключите его к Raspberry Pi и загрузите.

Откройте терминал и установите инструмент «Диски» на Pi:

Судо подходит установить гном-диск-утилита -y

Поскольку необходимо шифрование, установите следующий крипто-плагин:

Судо подходит установить libblockdev-crypto2 -y

Перезапустите службу Диски:

судоsystemctlзапустить сноваudisks2.оказание услуг

Настройка шифрования с помощью графического интерфейса: простой способ

Откройте инструмент Диски из меню или с помощью команды:

гном-диски

Выбирать Свободное место и нажмите на + символ для создания раздела.

Оставьте максимальный размер раздела по умолчанию и нажмите Следующий.

Дать Имя тома; Например, Зашифровано. Выбирать EXT4 и проверить Объем защиты паролем (LUKS).

Дайте парольную фразу, надежную. Хотя рекомендуется использовать сочетание цифр и специальных символов, сама длина пароля сделает невозможным взлом с помощью грубой силы. Например, 17-символьный пароль потребуется несколько миллионов лет, чтобы использовать самые быстрые современные компьютеры. Таким образом, вы можете использовать очень длинное предложение после усечения пробелов.

Нажмите Создавать, и зашифрованный раздел должен быть готов.

Если вы столкнулись с ошибка с /etc/crypttab запись, создайте пустой файл, используя:

sudo touch /etc/crypttab

А затем повторите процесс создания раздела, используя + символ.

Раздел теперь зашифрован LUKS, но его необходимо разблокировать при загрузке. Необходимо создать запись в /etc/crypttab файл. Выберите раздел, нажмите кнопку механизм контролировать и выбирать Изменить параметры шифрования.

Переключать Настройки сеанса пользователя по умолчанию, Проверьте Разблокировать при запуске системы, предоставить Парольная фразаи нажмите ХОРОШО.

Теперь выберите Зашифровано раздел и смонтировать его с помощью играть в значок. Скопируйте Точка монтирования.

Переместите домашний каталог на зашифрованный диск

В целях безопасности клонируйте домашний каталог сейчас и удалите исходный каталог позже, после успешного завершения процесса (замените «arjunandvishnu» своим именем пользователя).

sudo rsync -av /home/* /media/arjunandvishnu/Encrypted/

Передайте право собственности на скопированные файлы правильному пользователю:

sudo chown -Rv arjunandvishnu: arjunandvishnu /media/arjunandvishnu/Encrypted/arjunandvishnu

Если пользователей несколько, повторите:

sudo chown -Rv pi: pi /media/arjunandvishnu/Encrypted/pi

Смонтировать диск автоматически

Этот зашифрованный раздел должен автоматически монтироваться при загрузке. Выберите Зашифровано диск, нажмите кнопку механизм контролировать и выбирать Изменить параметры монтирования.

Переключать Настройки сеанса пользователя по умолчанию и установите Точка монтирования к /home. Это добавит запись в /etc/fstab файл.

Перезапустите Pi и войдите в систему. Во-первых, домашний каталог должен иметь права 755:

судо чмод 755 / домой

Чтобы убедиться, что зашифрованный раздел используется для /home, создайте пустую папку на рабочем столе и проверьте, перейдя к ней через Зашифровано каталог.

Обратите внимание, что в ОС Raspberry Pi файловый менеджер по умолчанию (pcmanfm) разрешает удаление в корзину на съемных дисках. Чтобы включить удаление в корзину, снимите флажок в настройках.

Удалить сохраненную парольную фразу шифрования

Раньше при настройке шифрования сохранялась парольная фраза. Эта конфигурация была создана в /etc/crypttab файл.

Ваш файл luks-key хранится в незашифрованном виде, и его открытие покажет пароль. Это угроза безопасности, и ее необходимо устранить. Нехорошо оставлять замок и ключ вместе.

Удалите файл luks-key и ссылку на него из /etc/crypttab.

sudo rm /etc/luks-keys/ВАШ-КЛЮЧ

Теперь каждый раз, когда вы загружаетесь, Pi будет запрашивать парольную фразу шифрования в начале. Это ожидаемое поведение.

Если отображается пустой экран, используйте Стрелка вверх/вниз чтобы появился экран входа в систему. Использовать Backspace для очистки любых символов и ключей в вашей кодовой фразе шифрования. Это разблокирует зашифрованный раздел.

Удалить старый домашний каталог

Ранее вместо перемещения вы копировали домашний каталог. Содержимое старого каталога все еще не зашифровано и должно быть удалено, если информация является конфиденциальной. Чтобы сделать это легко, смонтируйте носитель на другом компьютере. Перейдите в СТАРЫЙ домашний каталог в корневом разделе подключенного внешнего диска и удалите его (будьте осторожны).

Шифрование легко на Raspberry Pi

Защита ваших данных — это тема, которая часто заставит вас пройти лишнюю милю в начале, но окупится позже. Здесь рассмотрено множество «если» и «но» о шифровании. Но в основе инструкции просты, а реализация проста. Нет причин бояться шифрования; восстановить данные тоже легко, если вы не забудете кодовую фразу шифрования.

Если это шифрование настроено вместе с зеркалированием данных RAID-1, оно обеспечит безопасность, а также защиту ваших данных от сбоев физических дисков и завершит идеальную настройку.