Данните на Raspberry Pi се съхраняват в дяла на операционната система на microSD карта или HDD/SSD. По време на инсталирането на операционната система няма опция за настройка на криптирани дялове (в която и да е от популярните операционни системи Pi). Ако медията на Pi бъде изгубена или открадната, тя може да бъде свързана към друг компютър и всички данни могат да бъдат прочетени, независимо от силна парола за влизане или състоянието на автоматично влизане (изключено или включено).
Компрометираните данни могат да включват чувствителна информация като „Данни за профили на Firefox“, които съдържат идентификационни данни за вход (запазени потребителски имена и пароли за различни уебсайтове). Тези чувствителни данни, попадащи в неподходящи ръце, могат да доведат до кражба на ID. Тази статия е ръководство стъпка по стъпка за защита на данните с помощта на криптиране. Това е еднократна конфигурация, осъществена с помощта на GUI инструменти за опростяване.
В сравнение с настолен или преносим компютър, Pi няма нито винтове, нито някаква физическа ключалка за своята медия. Въпреки че тази гъвкавост улеснява превключването на операционни системи, смяната на microSD картата не е добра за сигурността. Необходима е само секунда, за да премахне лошият актьор своята медия. Освен това microSD картите са толкова малки, че проследяването им ще бъде невъзможно.
Освен това няма клипс за слота за microSD карта на Raspberry Pi. Когато носите Pi наоколо, ако картата се изплъзва някъде, има също толкова добра възможност някой да премине през нея съдържание.
Различни начини за защита на лични данни на Pi
Няколко потребители на Pi разбират риска и проактивно криптират отделни файлове. Задаването на главна парола за браузъри също е обичайна практика. Но това допълнително усилие трябва да се полага всеки път.
Имайки предвид тези фактори, е разумно да настройте криптиране за целия диск. Дискът ще остане нечетим от други, освен ако не разполагат с паролата за криптиране, която разбира се не знаят и не могат да ви попитат. Грубото налагане с речник на паролата също няма да го счупи, защото ще зададете парола, която е достатъчно добра, за да устои на подобни атаки.
Използване на съществуващ диск срещу. Настройване на нов диск
Идеята е да се направи криптиран дял и да се настрои да работи като домашна директория. Тъй като всички лични данни обикновено са в домашната директория, сигурността на данните ще остане непокътната.
Има два различни начина да го направите:
- Направете място за шифрования дял на диска, който в момента се използва за операционната система.
- Използвайте нов SSD или твърд диск, свържете го към Pi с a USB към SATA адаптер (ако е необходимо) и го използвайте като шифрован дял.
И при двете конфигурации има определени предимства:
- Първата конфигурация използва съществуващата microSD карта или SSD и не се нуждае от допълнителен хардуер. Тъй като е единичен диск, той поддържа нещата компактни и е добър за преносимост.
- Втората конфигурация е добра за по-дълъг живот на диска поради по-малкия брой записи. Освен това е малко по-бърз, тъй като четенето/записът се разпределя между два диска.
Тук се обсъжда първата конфигурация, тъй като има още няколко стъпки. Втората конфигурация е част от първата и стъпките за изключване са лесни за разбиране.
Инсталацията тук показва процеса на Raspberry Pi OS; същият процес може да бъде репликиран за Ubuntu Desktop OS и нейните разновидности като MATE.
Подгответе диска за криптиране
От криптирания дял ще бъде на самия диск на ОС, необходимото пространство трябва да бъде издълбано от основния дял. Това не може да се направи на стартиран Pi, тъй като основният дял вече е монтиран. Така че, използвайте друг компютър, който може да изпълнява gnome-disk-utility, като например компютър с Linux.
Алтернативно, можете също така да стартирате двойно Raspberry Pi или стартирайте временна операционна система с медия, свързана чрез USB.
Свържете диска с OS на вашия Pi към другия компютър и инсталирайте инструмента за управление на диска:
sudo apt актуализация
sudo apt Инсталирай gnome-disk-utilityОтворете Дискове от менюто или с командата:
gnome-дисковеНезадължителна стъпка в този момент е да архивирате диска, особено ако има важни данни на него. Инструментът Disks има вградена функция за запазване на целия диск като изображение. Ако е необходимо, това изображение може да бъде възстановено обратно на носителя.
Отделете място, необходимо за криптирания диск. Изберете корен дял, щракнете върху Gear контрол и изберете Преоразмеряване
Ако използвате microSD карта или устройство с 32 GB или по-голям капацитет, разпределете 15GB за основния дял и оставете останалото за дяла, който да бъде криптиран.
Кликнете Преоразмеряване и на Свободно пространство ще бъдат създадени.
Когато сте готови, извадете носителя от този компютър. Свържете го към вашия Raspberry Pi и го стартирайте.
Отворете терминала и инсталирайте инструмента Disks на Pi:
sudo apt Инсталирай gnome-disk-utility -yТъй като е необходимо криптиране, инсталирайте следния крипто плъгин:
sudo apt Инсталирай libblockdev-crypto2 -yРестартирайте услугата Disks:
sudosystemctlрестартирамudisks2.обслужванеНастройте криптиране с помощта на GUI: Лесният начин
Отворете инструмента Дискове от менюто или с командата:
gnome-дисковеИзберете Свободно пространство и щракнете върху + символ за създаване на дяла.
Оставете размера на дяла максимален по подразбиране и щракнете Следващия.
Дай Име на тома; например, Криптиран. Изберете EXT4 и проверете Том със защита с парола (LUKS).
Дайте парола, силна. Въпреки че е препоръчително да използвате комбинация от цифри и специални знаци, самата дължина на паролата ще направи невъзможно хакването чрез грубо форсиране. Например парола от 17 знака ще отнеме няколко милиона години, за да бъде въведена груба сила в използването на най-бързите днешни компютри. Така че можете да използвате наистина дълго изречение след съкращаване на интервалите.
Кликнете Създавайте, и криптираният дял трябва да е готов.
Ако срещнете грешка с /etc/crypttab запис, създайте празен файл, като използвате:
sudo touch /etc/crypttabСлед това повторете процеса на създаване на дяла с помощта на + символ.
Сега дялът е LUKS криптиран, но трябва да бъде отключен при зареждане. Трябва да се създаде запис в /etc/crypttab файл. Изберете дяла, щракнете върху съоръжения контролирайте и избирайте Редактиране на опциите за шифроване.
Превключване Потребителски сесии по подразбиране, проверете Отключване при стартиране на системата, осигурете Паролаи щракнете Добре.
Сега изберете Криптиран дял и го монтирайте с помощта на играя икона. Копирайте точка на монтиране.
Преместете началната директория в шифрованото устройство
За безопасност клонирайте домашната директория сега и изтрийте изходната директория по-късно, след като процесът е успешен (заменете „arjunandvishnu“ с вашето потребителско име).
sudo rsync -av /home/* /media/arjunandvishnu/Encrypted/Дайте собственост върху копираните файлове на правилния потребител:
sudo chown -Rv arjunandvishnu: arjunandvishnu /media/arjunandvishnu/Encrypted/arjunandvishnuАко има повече от един потребител, повторете:
sudo chown -Rv pi: pi /media/arjunandvishnu/Encrypted/piМонтирайте диска автоматично
Този шифрован дял трябва да се монтира автоматично при зареждане. Изберете Криптиран диск, щракнете върху съоръжения контрол и изберете Редактиране на опциите за монтиране.
Превключване Потребителски сесии по подразбиране и задайте Точка на монтиране да се /home. Това ще добави запис към /etc/fstab файл.
Рестартирайте Pi и влезте. Първо, началната директория трябва да има 755 разрешения:
sudo chmod 755 /началоЗа да проверите дали шифрованият дял се използва за /home, създайте празна папка на работния плот и проверете, като отидете до нея през Криптиран указател.
Имайте предвид, че при Raspberry Pi OS файловият мениджър по подразбиране (pcmanfm) позволява изтривания в кошчето на сменяеми устройства. За да активирате изтриването в кошчето, премахнете отметката от настройката в Предпочитания.
Премахнете запазената парола за шифроване
По-рано, докато конфигурирате криптирането, паролата беше запазена. Тази конфигурация е създадена в /etc/crypttab файл.
Вашият файл luks-key се съхранява некриптиран и отварянето му ще разкрие паролата. Това е риск за сигурността и трябва да се обърне внимание. Не е добре да оставяте ключалката и ключа заедно.
Изтрийте файла си luks-key и премахнете препратката му от /etc/crypttab.
sudo rm /etc/luks-keys/ВАШИЯТ-КЛЮЧСега, всеки път, когато стартирате, Pi ще поиска паролата за криптиране в началото. Това е очакваното поведение.
Ако се покаже празен екран, използвайте Стрелка нагоре/надолу ключ за показване на екрана за вход. Използвайте Backspace за да изчистите всички знаци и да въведете вашата парола за шифроване. Това ще отключи шифрования дял.
Изтрийте старата домашна директория
По-рано, вместо да се местите, копирахте началната директория. Съдържанието на старата директория все още не е криптирано и трябва да бъде изтрито, ако информацията е чувствителна. За да направите това лесно, монтирайте носителя на друг компютър. Отидете до СТАРАТА начална директория в основния дял на монтираното външно устройство и го изтрийте (бъдете внимателни).
Шифроването е лесно на Raspberry Pi
Защитата на вашите данни е тема, която често ще ви накара да изминете допълнителната миля в началото, но ще ви се изплати добре по-късно. Тук са обхванати много „ако“ и „но“ относно криптирането. Но в основата си инструкциите са прости и изпълнението е лесно. Няма причина да се страхувате от криптирането; възстановяването на данни също е лесно, стига да не забравите паролата за криптиране.
Ако това криптиране е настроено заедно с RAID-1 дублиране на данни, то ще предложи сигурност, както и безопасност за вашите данни от повреди на физическо устройство и ще завърши перфектната настройка.