Raspberry Pis data lagras i operativsystempartitionen på ett microSD-kort eller HDD/SSD. Under installationen av operativsystemet finns det inget alternativ att ställa in krypterade partitioner (i något av de populära Pi-operativsystemen). Om Pi: ns media försvinner eller blir stulen kan den anslutas till en annan dator och all data kan läsas, oavsett ett starkt inloggningslösenord eller status för automatisk inloggning (av eller på).
Den komprometterade informationen kan innehålla känslig information som "Firefox Profile Data", som innehåller inloggningsuppgifter (sparade användarnamn och lösenord för olika webbplatser). Denna känsliga information som hamnar i fel händer kan leda till ID-stöld. Den här artikeln är en steg-för-steg-guide för att skydda data med hjälp av kryptering. Det är en engångskonfiguration som utförs med GUI-verktyg för enkelhetens skull.
Jämfört med en stationär eller bärbar dator har Pi varken skruvar eller något fysiskt lås för sina media. Även om denna flexibilitet gör det bekvämt att byta operativsystem, är det inte bra för säkerheten genom att byta ut microSD-kortet. Allt som krävs är en sekund för en dålig skådespelare att ta bort sina media. Dessutom är microSD-kort så små att det är omöjligt att spåra dem.
Dessutom finns det inget klämma för microSD-kortplatsen på Raspberry Pi. När du bär runt Pi: n, om kortet glider av någonstans, det är lika bra att någon går igenom det innehåll.
Olika sätt att säkra personuppgifter på Pi
Ett fåtal Pi-användare förstår risken och krypterar proaktivt enskilda filer. Att ställa in ett huvudlösenord för webbläsare är också vanligt. Men denna extra ansträngning måste göras varje gång.
Med tanke på dessa faktorer är det klokt att ställ in kryptering för hela disken. Disken kommer att förbli oläsbar för andra om de inte har krypteringslösenordet, vilket de naturligtvis inte känner till och inte kan fråga dig om. Brute-forcering med en lösenordsordbok kommer inte att bryta den heller, eftersom du kommer att ställa in ett lösenord som är tillräckligt bra för att motstå sådana attacker.
Använda den befintliga disken vs. Konfigurera den på en ny skiva
Tanken är att skapa en krypterad partition och ställa in den att fungera som hemkatalog. Eftersom alla personuppgifter vanligtvis finns i hemkatalogen kommer datasäkerheten att förbli intakt.
Det finns två olika sätt att göra det:
- Gör utrymme för den krypterade partitionen på disken som för närvarande används för operativsystemet.
- Använd en ny SSD eller hårddisk, anslut den till Pi med en USB till SATA-adapter (om det behövs) och använd den som den krypterade partitionen.
Det finns vissa fördelar med båda konfigurationerna:
- Den första konfigurationen använder det befintliga microSD-kortet eller SSD-kortet och behöver ingen extra hårdvara. Eftersom den är en enda disk håller den saker kompakt och är bra för portabilitet.
- Den andra konfigurationen är bra för längre disklivslängd på grund av det lägre antalet skrivningar. Det är också något snabbare eftersom läsningen/skrivningen är fördelad mellan två diskar.
Den första konfigurationen diskuteras här eftersom den har några fler steg. Den andra konfigurationen är en del av den första och stegen för att utesluta är lätta att förstå.
Installationen här visar processen på Raspberry Pi OS; samma process kan replikeras för Ubuntu Desktop OS och dess smaker som MATE.
Förbered disken för kryptering
Eftersom den krypterade partitionen kommer att finnas på själva OS-disken, måste det nödvändiga utrymmet skäras ut från rotpartitionen. Detta kan inte göras på en uppstartad Pi eftersom rotpartitionen redan är monterad. Så använd en annan dator som kan köra gnome-disk-utility, till exempel en Linux-dator.
Alternativt du kan också dubbelstarta en Raspberry Pi eller kör ett tillfälligt operativsystem med media anslutna med USB.
Anslut din Pis OS-disk till den andra datorn och installera verktyget för att hantera disken:
sudo apt uppdatering
sudo apt Installera gnome-disk-verktygÖppna Diskar från menyn eller med kommandot:
gnome-skivorEtt valfritt steg vid denna tidpunkt är att säkerhetskopiera disken, särskilt om det finns viktiga data på den. Diskverktyget har en inbyggd funktion för att spara hela disken som en bild. Om det behövs kan den här bilden återställas till media.
Ta ut utrymme som behövs för den krypterade disken. Välj rotpartition, Klicka på Redskap kontrollera och välj Ändra storlek
Om du använder ett microSD-kort eller en enhet med 32 GB eller mer kapacitet, tilldela 15 GB för rotpartitionen och lämna resten för att partitionen ska krypteras.
Klick Ändra storlek och den Ledigt utrymme kommer att skapas.
När du är klar, mata ut mediet från den här datorn. Anslut den till din Raspberry Pi och starta upp den.
Öppna terminalen och installera verktyget Disks på Pi: n:
sudo apt Installera gnome-disk-verktyg -yEftersom kryptering behövs installerar du följande kryptoplugin:
sudo apt Installera libblockdev-crypto2 -yStarta om Disks-tjänsten:
sudosystemctlomstartudisks2.serviceStäll in kryptering med GUI: Det enkla sättet
Öppna verktyget Disks från menyn eller med kommandot:
gnome-skivorVälj Ledigt utrymme och klicka på + symbol för att skapa partitionen.
Lämna partitionsstorleken på standardvärdet på max och klicka Nästa.
Ge en Volymnamn; till exempel, Krypterad. Välj EXT4 och kolla Lösenordsskyddad volym (LUKS).
Ge en lösenfras, en stark sådan. Även om det rekommenderas att använda en blandning av siffror och specialtecken, kommer bara längden på lösenordet att göra det omöjligt att hacka via brute-forcing. Till exempel kommer ett 17-teckens lösenord att ta några miljoner år att brutalt använda dagens snabbaste datorer. Så du kan använda en riktigt lång mening efter att ha trunkerat mellanslagen.
Klick Skapa, och den krypterade partitionen bör vara klar.
Om du stöter på en fel med /etc/crypttab skapa en tom fil med:
sudo touch /etc/crypttabOch upprepa sedan processen att skapa partitionen med hjälp av + symbol.
Partitionen är nu LUKS-krypterad, men den måste låsas upp vid uppstart. En post måste skapas i /etc/crypttab fil. Välj partitionen, klicka på redskap kontrollera och välj Redigera krypteringsalternativ.
Växla Standardinställningar för användarsession, kolla upp Lås upp vid systemstart, tillhandahålla Lösenfras, och klicka OK.
Välj nu Krypterad partition och montera den med hjälp av spela ikon. Kopiera monteringspunkt.
Flytta hemkatalogen till den krypterade enheten
För säkerhets skull, klona hemkatalogen nu och ta bort källkatalogen senare, efter att processen har lyckats (ersätt "arjunandvishnu" med ditt användarnamn).
sudo rsync -av /home/* /media/arjunandvishnu/Encrypted/Ge äganderätten till de kopierade filerna till rätt användare:
sudo chown -Rv arjunandvishnu: arjunandvishnu /media/arjunandvishnu/Encrypted/arjunandvishnuOm det finns mer än en användare, upprepa:
sudo chown -Rv pi: pi /media/arjunandvishnu/Encrypted/piMontera disken automatiskt
Denna krypterade partition måste monteras automatiskt vid uppstart. Välj Krypterad disk, klicka på redskap kontrollera och välj Redigera monteringsalternativ.
Växla Standardinställningar för användarsession och ställ in Monteringspunkt till /home. Detta kommer att lägga till en post till /etc/fstab fil.
Starta om Pi och logga in. För det första måste hemkatalogen ha 755 behörigheter:
sudo chmod 755 /hemFör att kontrollera att den krypterade partitionen används för /home, skapa en tom mapp på skrivbordet och verifiera genom att navigera till den genom Krypterad katalog.
Observera än på Raspberry Pi OS, standardfilhanteraren (pcmanfm) tillåter raderingar till papperskorgen på flyttbara enheter. För att aktivera radering till papperskorgen, avmarkera inställningen i Inställningar.
Ta bort den sparade krypteringslösenordsfrasen
Tidigare, när du konfigurerade kryptering, sparades lösenfrasen. Denna konfiguration skapades i /etc/crypttab fil.
Din luks-key-fil lagras okrypterad och när du öppnar den kommer lösenordet att avslöjas. Detta är en säkerhetsrisk och måste åtgärdas. Det är inte bra att lämna låset och nyckeln tillsammans.
Ta bort din luks-key-fil och ta bort dess referens från /etc/crypttab.
sudo rm /etc/luks-keys/YOUR-KEYNu, varje gång du startar, kommer Pi att fråga efter krypteringslösenordet i början. Detta är det förväntade beteendet.
Om en tom skärm visas, använd Upp/Ner-pil för att inloggningsskärmen ska visas. Använda sig av Backsteg för att rensa alla tecken och knappa in din krypteringslösenfras. Det kommer att låsa upp den krypterade partitionen.
Ta bort den gamla hemkatalogen
Tidigare, istället för att flytta, kopierade du hemkatalogen. Innehållet i den gamla katalogen är fortfarande okrypterat och måste raderas om informationen är känslig. För att göra detta enkelt, montera media på en annan dator. Navigera till den GAMLA hemkatalogen i rotpartitionen på den monterade externa enheten och ta bort den (var försiktig).
Kryptering är lätt på Raspberry Pi
Att säkra dina data är ett ämne som ofta får dig att gå den extra milen i början, men som kommer att löna sig mycket senare. Många om och men om kryptering tas upp här. Men i grunden är instruktionerna enkla och implementeringen är enkel. Det finns ingen anledning att skrämmas om kryptering; att återställa data är också lätt, så länge du inte glömmer krypteringslösenordet.
Om denna kryptering ställs in tillsammans med RAID-1-dataspegling kommer den att erbjuda säkerhet såväl som säkerhet för dina data från fysiska diskfel och kommer att slutföra den perfekta installationen.