Raspberry Pis data gemmes i operativsystempartitionen på et microSD-kort eller HDD/SSD. Under installationen af operativsystemet er der ingen mulighed for at opsætte krypterede partitioner (i nogen af de populære Pi-operativsystemer). Hvis Pi-mediet går tabt eller bliver stjålet, kan det tilsluttes en anden computer, og alle data kan læses, uanset en stærk login-adgangskode eller tilstanden af auto-login (slået fra eller til).
De kompromitterede data kan omfatte følsomme oplysninger såsom "Firefox Profile Data", som indeholder login-legitimationsoplysninger (gemte brugernavne og adgangskoder til forskellige websteder). Disse følsomme data, der falder i forkerte hænder, kan føre til ID-tyveri. Denne artikel er en trin-for-trin guide til at beskytte data med brug af kryptering. Det er en engangskonfiguration, der udføres ved hjælp af GUI-værktøjer for enkelhedens skyld.
Sammenlignet med en stationær eller bærbar computer har Pi hverken skruer eller nogen fysisk lås til sine medier. Selvom denne fleksibilitet gør det praktisk at skifte operativsystem, er det ikke godt for sikkerheden ved at udskifte microSD-kortet. Alt det kræver er et sekund for en dårlig skuespiller at fjerne sine medier. Desuden er microSD-kort så små, at det vil være umuligt at spore dem.
Der er heller ingen clips til microSD-kortpladsen på Raspberry Pi. Når du bærer Pi'en rundt, hvis kortet glider af et sted, er der lige så god mulighed for, at nogen går igennem det indhold.
Forskellige måder at sikre personlige data på Pi
Nogle få Pi-brugere forstår risikoen og krypterer proaktivt individuelle filer. Indstilling af en hovedadgangskode til browsere er også en almindelig praksis. Men denne ekstra indsats skal sættes ind hver gang.
I betragtning af disse faktorer er det klogt at opsætte kryptering for hele disken. Disken vil forblive ulæselig af andre, medmindre de har krypteringsadgangssætningen, som de selvfølgelig ikke kender og ikke kan spørge dig om. Brute-forcering med en adgangskodeordbog vil heller ikke bryde den, fordi du vil indstille en adgangskode, der er god nok til at modstå sådanne angreb.
Brug af den eksisterende disk vs. Opsætning af det på en ny disk
Ideen er at lave en krypteret partition og sætte den til at fungere som hjemmebiblioteket. Da alle personlige data normalt er i hjemmekataloget, vil datasikkerheden forblive intakt.
Der er to forskellige måder at gøre det på:
- Giv plads til den krypterede partition på den disk, der i øjeblikket bruges til operativsystemet.
- Brug en ny SSD eller harddisk, tilslut den til Pi med en USB til SATA adapter (hvis nødvendigt), og brug det som den krypterede partition.
Der er visse fordele ved begge konfigurationer:
- Den første konfiguration bruger det eksisterende microSD-kort eller SSD og behøver ikke yderligere hardware. Da den er en enkelt disk, holder den tingene kompakte og er god til bærbarhed.
- Den anden konfiguration er god til længere disklevetid på grund af det lavere antal skrivninger. Det er også lidt hurtigere, da læsning/skrivning er fordelt mellem to diske.
Den første konfiguration diskuteres her, da den har et par flere trin. Den anden konfiguration er en del af den første, og trinene til at ekskludere er lette at forstå.
Installation her viser processen på Raspberry Pi OS; den samme proces kan replikeres til Ubuntu Desktop OS og dets varianter såsom MATE.
Forbered disken til kryptering
Siden den krypterede partition vil være på selve OS-disken, skal den nødvendige plads skæres ud af rodpartitionen. Dette kan ikke gøres på en opstartet Pi, da rodpartitionen allerede er monteret. Så brug en anden computer, der kan køre gnome-disk-utility, såsom en Linux-pc.
Alternativt du kan også dual-boote en Raspberry Pi eller kør et midlertidigt operativsystem med medier tilsluttet via USB.
Tilslut din Pi's OS-disk til den anden computer og installer værktøjet til at administrere disken:
sudo apt opdatering
sudo apt installere gnome-disk-værktøjÅben Diske fra menuen eller med kommandoen:
gnome-diskeEt valgfrit trin på dette tidspunkt er at sikkerhedskopiere disken, især hvis der er vigtige data på den. Diskværktøjet har en indbygget funktion til at gemme hele disken som et billede. Hvis det er nødvendigt, kan dette billede gendannes tilbage til mediet.
Udskær den nødvendige plads til den krypterede disk. Vælg rodpartition, klik på Gear styre, og vælg Ændr størrelse
Hvis du bruger et microSD-kort eller et drev med 32 GB eller større kapacitet, tildel 15 GB for rodpartitionen og lad resten lade partitionen blive krypteret.
Klik Ændr størrelse og Fri plads vil blive oprettet.
Når du er færdig, skal du skubbe mediet ud fra denne computer. Tilslut den til din Raspberry Pi og start den op.
Åbn terminalen og installer Disks-værktøjet på Pi:
sudo apt installere gnome-disk-værktøj -yDa kryptering er nødvendig, skal du installere følgende krypto-plugin:
sudo apt installere libblockdev-crypto2 -yGenstart Disks-tjenesten:
sudosystemctlgenstartudisks2.serviceKonfigurer kryptering ved hjælp af GUI: Den nemme måde
Åbn værktøjet Diske fra menuen eller med kommandoen:
gnome-diskeVælg Fri plads og klik på + symbol for at oprette partitionen.
Lad partitionsstørrelsen være som standard på maksimum, og klik Næste.
Give en Bind navn; for eksempel, Krypteret. Vælg EXT4 og tjek Password protect volume (LUKS).
Giv en adgangssætning, en stærk en. Selvom det tilrådes at bruge en blanding af tal og specialtegn, vil bare længden af adgangskoden gøre det umuligt at hacke via brute-forcing. For eksempel vil det tage et par millioner år at bruge en adgangskode på 17 tegn brutalt til at bruge nutidens hurtigste computere. Så du kan bruge en rigtig lang sætning efter at have afkortet mellemrummene.
Klik skab, og den krypterede partition skulle være klar.
Hvis du støder på en fejl med /etc/crypttab indtastning, opret en tom fil ved hjælp af:
sudo touch /etc/crypttabOg gentag derefter processen med at oprette partitionen ved hjælp af + symbol.
Partitionen er nu LUKS-krypteret, men den skal låses op ved opstart. Der skal oprettes en post i /etc/crypttab fil. Vælg partitionen, klik på gear styre og vælge Rediger krypteringsindstillinger.
Skift Standardindstillinger for brugersession, kontrollere Lås op ved systemstart, give Adgangssætning, og klik Okay.
Vælg nu Krypteret partition og monter den ved hjælp af Spil ikon. Kopier monteringspunkt.
Flyt hjemmekataloget til det krypterede drev
For en sikkerheds skyld, klon hjemmemappen nu og slet kildemappen senere, efter at processen er vellykket (erstat "arjunandvishnu" med dit brugernavn).
sudo rsync -av /home/* /media/arjunandvishnu/Encrypted/Giv ejerskab af de kopierede filer til den korrekte bruger:
sudo chown -Rv arjunandvishnu: arjunandvishnu /media/arjunandvishnu/Encrypted/arjunandvishnuHvis der er mere end én bruger, gentag:
sudo chown -Rv pi: pi /media/arjunandvishnu/Encrypted/piMonter disken automatisk
Denne krypterede partition skal automatisk monteres ved opstart. Vælg Krypteret disk, skal du klikke på gear styre, og vælg Rediger monteringsindstillinger.
Skift Standardindstillinger for brugersession og indstil Mount Point til /home. Dette vil tilføje en post til /etc/fstab fil.
Genstart Pi og log ind. For det første skal hjemmebiblioteket have 755 tilladelser:
sudo chmod 755 /homeFor at kontrollere, at den krypterede partition bliver brugt til /home, skal du oprette en tom mappe på skrivebordet og kontrollere ved at navigere til den via Krypteret vejviser.
Bemærk end på Raspberry Pi OS, tillader standardfilhåndteringen (pcmanfm) sletninger til papirkurven på flytbare drev. For at aktivere sletning til papirkurven skal du fjerne markeringen af indstillingen i Præferencer.
Fjern den gemte krypteringsadgangssætning
Tidligere, mens du konfigurerede kryptering, blev adgangssætningen gemt. Denne konfiguration blev oprettet i /etc/crypttab fil.
Din luks-key-fil gemmes ukrypteret, og åbning af den vil afsløre adgangskoden. Dette er en sikkerhedsrisiko og skal løses. Det nytter ikke at lade låsen og nøglen stå sammen.
Slet din luks-key-fil og fjern dens reference fra /etc/crypttab.
sudo rm /etc/luks-keys/YOUR-KEYNu, hver gang du starter, vil Pi'en bede om krypteringsadgangssætningen i starten. Dette er den forventede adfærd.
Hvis en tom skærm vises, skal du bruge Pil op/ned tasten for at login-skærmen vises. Brug Backspace for at slette eventuelle tegn og indtaste din krypteringsadgangssætning. Det låser den krypterede partition op.
Slet den gamle hjemmemappe
Tidligere, i stedet for at flytte, kopierede du hjemmebiblioteket. Indholdet af den gamle mappe er stadig ukrypteret og skal slettes, hvis oplysningerne er følsomme. For at gøre dette nemt skal du montere mediet på en anden computer. Naviger til den GAMLE hjemmemappe i rodpartitionen på det monterede eksterne drev, og slet det (vær forsigtig).
Kryptering er let på Raspberry Pi
Sikring af dine data er et emne, der ofte vil få dig til at gå den ekstra mil i starten, men som vil betale sig godt senere. En masse hvis og men om kryptering er dækket her. Men i bund og grund er instruktionerne enkle, og implementeringen er nem. Der er ingen grund til at blive skræmt over kryptering; gendannelse af data er også let, så længe du ikke glemmer krypteringsadgangssætningen.
Hvis denne kryptering er sat op sammen med RAID-1-dataspejling, vil den tilbyde sikkerhed såvel som sikkerhed for dine data mod fysiske drevfejl og fuldføre den perfekte opsætning.
