Dáta Raspberry Pi sú uložené v oddiele operačného systému na microSD karte alebo HDD/SSD. Počas inštalácie OS nie je možné nastaviť šifrované oddiely (v žiadnom z populárnych operačných systémov Pi). Ak dôjde k strate alebo krádeži média Pi, možno ho pripojiť k inému počítaču a všetky údaje je možné prečítať bez ohľadu na silné prihlasovacie heslo alebo stav automatického prihlásenia (vypnuté alebo zapnuté).
Kompromitované údaje môžu zahŕňať citlivé informácie, ako napríklad „údaje profilu Firefoxu“, ktoré obsahujú prihlasovacie údaje (uložené používateľské mená a heslá pre rôzne webové stránky). Tieto citlivé údaje, ktoré sa dostanú do nesprávnych rúk, môžu viesť ku krádeži ID. Tento článok je podrobný návod na ochranu údajov pomocou šifrovania. Je to jednorazová konfigurácia vykonaná pomocou nástrojov GUI pre jednoduchosť.
V porovnaní so stolným alebo prenosným počítačom nemá Pi ani skrutky, ani žiadny fyzický zámok pre svoje médiá. Aj keď táto flexibilita uľahčuje prepínanie operačných systémov, výmena karty microSD to nie je vhodná pre bezpečnosť. Stačí sekunda, kým zlý herec odstráni svoje médiá. Okrem toho sú karty microSD také malé, že ich sledovanie nebude možné.
Na Raspberry Pi tiež nie je žiadna spona pre slot na kartu microSD. Keď nosíte Pi okolo seba, ak karta sa niekde vyšmykne, je tu rovnako dobrá možnosť, že niekto cez ňu prejde obsahu.
Rôzne spôsoby zabezpečenia osobných údajov na Pi
Niekoľko používateľov Pi chápe riziko a proaktívne šifruje jednotlivé súbory. Bežnou praxou je aj nastavenie hlavného hesla pre prehliadače. Toto dodatočné úsilie však treba vynaložiť zakaždým.
Vzhľadom na tieto faktory je rozumné nastaviť šifrovanie pre celý disk. Disk zostane nečitateľný pre ostatných, pokiaľ nemajú prístupovú frázu šifrovania, ktorú samozrejme nepoznajú a nemôžu sa vás spýtať. Neprelomí to ani hrubé vynútenie pomocou slovníka hesiel, pretože si nastavíte heslo, ktoré je dostatočne dobré na to, aby odolalo takýmto útokom.
Použitie existujúceho disku vs. Nastavenie na novom disku
Cieľom je vytvoriť šifrovaný oddiel a nastaviť ho tak, aby fungoval ako domovský adresár. Keďže všetky osobné údaje sú zvyčajne v domovskom adresári, bezpečnosť údajov zostane nedotknutá.
Existujú dva rôzne spôsoby, ako to urobiť:
- Urobte miesto pre šifrovaný oddiel na disku, ktorý sa momentálne používa pre operačný systém.
- Použite nový SSD alebo pevný disk, pripojte ho k Pi pomocou a Adaptér USB na SATA (ak je to potrebné) a použite ho ako šifrovaný oddiel.
Obe konfigurácie majú určité výhody:
- Prvá konfigurácia využíva existujúcu microSD kartu alebo SSD a nepotrebuje žiadny ďalší hardvér. Keďže ide o jeden disk, udržuje veci kompaktné a je vhodný na prenosnosť.
- Druhá konfigurácia je vhodná pre dlhšiu životnosť disku kvôli nižšiemu počtu zápisov. Je tiež o niečo rýchlejší, pretože čítanie/zápis je rozdelený medzi dva disky.
Prvá konfigurácia je diskutovaná tu, pretože má niekoľko ďalších krokov. Druhá konfigurácia je súčasťou prvej a kroky na vylúčenie sú ľahko pochopiteľné.
Inštalácia tu ukazuje proces v systéme Raspberry Pi OS; rovnaký proces je možné replikovať pre Ubuntu Desktop OS a jeho varianty, ako je MATE.
Pripravte disk na šifrovanie
Od r šifrovaný oddiel bude na samotnom disku OS, potrebné miesto musí byť vyrezané z koreňového oddielu. Toto sa nedá urobiť na spustenom Pi, pretože koreňový oddiel je už pripojený. Použite teda iný počítač, na ktorom je možné spustiť nástroj gnome-disk-utility, napríklad počítač so systémom Linux.
prípadne Raspberry Pi môžete spustiť aj duálne alebo spustite dočasný OS s médiom pripojeným pomocou USB.
Pripojte disk operačného systému Pi k inému počítaču a nainštalujte nástroj na správu disku:
sudo apt aktualizovať
sudo apt Inštalácia gnome-disk-utilitaOTVORENÉ Disky z ponuky alebo príkazom:
gnome-diskyVoliteľným krokom v tomto bode je zálohovanie disku, najmä ak sú na ňom dôležité údaje. Nástroj Disky má vstavanú funkciu na uloženie celého disku ako obrazu. V prípade potreby je možné tento obrázok obnoviť späť na médium.
Vyhraďte si miesto potrebné pre šifrovaný disk. Vyberte koreňový oddiel, kliknite na Výbava ovládajte a vyberte Zmeniť veľkosť
Ak používate kartu microSD alebo jednotku s kapacitou 32 GB alebo vyššou, prideľte 15 GB pre koreňový oddiel a zvyšok ponechajte na šifrovanie oddielu.
Kliknite Zmeniť veľkosť a Voľné miesto sa vytvorí.
Po dokončení vyberte médium z tohto počítača. Pripojte ho k Raspberry Pi a spustite ho.
Otvorte terminál a nainštalujte nástroj Disky na Pi:
sudo apt Inštalácia gnome-disk-utility -yKeďže je potrebné šifrovanie, nainštalujte si nasledujúci kryptografický doplnok:
sudo apt Inštalácia libblockdev-crypto2 -yReštartujte službu Disky:
sudosystemctlreštartudisky2.servisNastavenie šifrovania pomocou GUI: Jednoduchý spôsob
Otvorte nástroj Disky z ponuky alebo príkazom:
gnome-diskyVyberte Voľné miesto a kliknite na + symbol na vytvorenie oddielu.
Ponechajte veľkosť oddielu na predvolenú maximálnu hodnotu a kliknite Ďalšie.
Daj Názov zväzku; napríklad, Zašifrované. Vyberte EXT4 a skontrolujte Hlasitosť chránená heslom (LUKS).
Zadajte prístupovú frázu, silnú. Aj keď sa odporúča používať kombináciu čísel a špeciálnych znakov, už len samotná dĺžka hesla znemožní hackovanie pomocou hrubého vynútenia. Napríklad 17-znakovému heslu bude trvať niekoľko miliónov rokov, kým sa brutálne vynúti používanie dnešných najrýchlejších počítačov. Takže po skrátení medzier môžete použiť naozaj dlhú vetu.
Kliknite Vytvortea šifrovaný oddiel by mal byť pripravený.
Ak narazíte na chyba s /etc/crypttab záznam, vytvorte prázdny súbor pomocou:
sudo touch /etc/crypttabA potom zopakujte proces vytvárania oddielu pomocou + symbol.
Oddiel je teraz zašifrovaný LUKS, ale pri zavádzaní musí byť odomknutý. Je potrebné vytvoriť záznam v /etc/crypttab súbor. Vyberte oddiel, kliknite na výbava ovládať a vyberať Upraviť možnosti šifrovania.
Prepnúť Predvolené nastavenia relácie používateľa, skontrolujte Odomknite pri štarte systému, poskytnúť Prístupová frázaa kliknite na tlačidlo OK.
Teraz vyberte Zašifrované oddiel a pripojte ho pomocou hrať ikonu. Skopírujte montážny bod.
Presuňte domovský adresár na šifrovaný disk
Pre bezpečnosť teraz naklonujte domovský adresár a po úspešnom procese vymažte zdrojový adresár neskôr (nahraďte "arjunandvishnu" svojím užívateľským menom).
sudo rsync -av /home/* /media/arjunandvishnu/Encrypted/Poskytnite vlastníctvo skopírovaných súborov správnemu používateľovi:
sudo chown -Rv arjunandvishnu: arjunandvishnu /media/arjunandvishnu/Encrypted/arjunandvishnuAk existuje viac používateľov, zopakujte:
sudo chown -Rv pi: pi /media/arjunandvishnu/Encrypted/piPripojte disk automaticky
Tento šifrovaný oddiel musí byť automaticky pripojený pri zavádzaní systému. Vyberte Zašifrované disk, kliknite na výbava ovládajte a vyberte Upraviť možnosti pripojenia.
Prepnúť Predvolené nastavenia relácie používateľa a nastavte Mount Point do /home. Tým sa pridá záznam do /etc/fstab súbor.
Reštartujte Pi a prihláste sa. Po prvé, domovský adresár musí mať 755 povolení:
sudo chmod 755 /homeAk chcete skontrolovať, či sa šifrovaná oblasť používa pre /home, vytvorte na pracovnej ploche prázdny priečinok a overte ho tak, že doň prejdete cez Zašifrované adresár.
Všimnite si, že ako v systéme Raspberry Pi OS, predvolený správca súborov (pcmanfm) umožňuje vymazanie do koša na vymeniteľných jednotkách. Ak chcete povoliť odstraňovanie do koša, zrušte začiarknutie tohto nastavenia v časti Predvoľby.
Odstráňte uloženú prístupovú frázu šifrovania
Predtým, pri konfigurácii šifrovania, bola prístupová fráza uložená. Táto konfigurácia bola vytvorená v /etc/crypttab súbor.
Váš súbor luks-key je uložený nezašifrovaný a jeho otvorením sa odhalí heslo. Ide o bezpečnostné riziko a treba ho riešiť. Nie je dobré nechať zámok a kľúč spolu.
Vymažte svoj súbor luks-key a odstráňte jeho referenciu z /etc/crypttab.
sudo rm /etc/luks-keys/VÁŠ-KĽÚČTeraz pri každom spustení Pi požiada na začiatku o prístupovú frázu šifrovania. Toto je očakávané správanie.
Ak sa zobrazí prázdna obrazovka, použite Šípka hore/dole tlačidlo pre zobrazenie prihlasovacej obrazovky. Použite Backspace na vymazanie všetkých znakov a kľúča vo vašej prístupovej fráze šifrovania. Odomkne šifrovaný oddiel.
Odstráňte starý domovský adresár
Predtým ste namiesto presunu skopírovali domovský adresár. Obsah starého adresára je stále nezašifrovaný a musí byť vymazaný, ak sú informácie citlivé. Ak to chcete urobiť jednoducho, pripojte médium na iný počítač. Prejdite do STARÉHO domovského adresára v koreňovom oddiele pripojeného externého disku a odstráňte ho (pozor).
Šifrovanie je na Raspberry Pi jednoduché
Zabezpečenie vašich údajov je téma, ktorá vás na začiatku často prinúti prejsť míľu navyše, no neskôr sa vám to vyplatí. Je tu popísaných veľa otázok a zbytočností o šifrovaní. Ale v jadre sú pokyny jednoduché a implementácia jednoduchá. Nie je dôvod sa šifrovania báť; obnovenie údajov je tiež jednoduché, pokiaľ nezabudnete na prístupovú frázu šifrovania.
Ak je toto šifrovanie nastavené spolu so zrkadlením dát RAID-1, ponúkne bezpečnosť, ako aj bezpečnosť vašich údajov pred zlyhaním fyzického disku a dokončí dokonalé nastavenie.