Raspberry Pi dati tiek glabāti microSD kartes vai HDD/SSD operētājsistēmas nodalījumā. OS instalēšanas laikā nav iespējams iestatīt šifrētus nodalījumus (nevienā no populārajām Pi operētājsistēmām). Ja Pi datu nesējs tiek pazaudēts vai nozagts, to var savienot ar citu datoru un var nolasīt visus datus neatkarīgi no spēcīgas pieteikšanās paroles vai automātiskās pieteikšanās stāvokļa (izslēgts vai ieslēgts).
Kompromitētie dati var ietvert sensitīvu informāciju, piemēram, "Firefox Profile Data", kas satur pieteikšanās akreditācijas datus (dažādu vietņu saglabātos lietotājvārdus un paroles). Šo sensitīvo datu nonākšana nepareizās rokās var izraisīt ID zādzību. Šis raksts ir soli pa solim sniegts ceļvedis, lai aizsargātu datus, izmantojot šifrēšanu. Tā ir vienreizēja konfigurācija, kas vienkāršības labad tiek veikta, izmantojot GUI rīkus.
Salīdzinot ar galddatoru vai klēpjdatoru, Pi nav ne skrūvju, ne fiziskas bloķēšanas datu nesējiem. Lai gan šī elastība ļauj ērti pārslēgt operētājsistēmas, nomainot microSD karti, tas nenāk par labu drošībai. Sliktam aktierim ir vajadzīga tikai sekunde, lai noņemtu savu mediju. Turklāt microSD kartes ir tik niecīgas, ka tām nebūs iespējams izsekot.
Tāpat Raspberry Pi nav klipa microSD kartes slotam. Kad nēsājat Pi apkārt, ja karte kaut kur noslīd, ir tikpat liela iespēja, ka kāds tai iet cauri saturu.
Dažādi veidi, kā nodrošināt personas datus Pi
Daži Pi lietotāji saprot risku un aktīvi šifrē atsevišķus failus. Arī galvenās paroles iestatīšana pārlūkprogrammām ir izplatīta prakse. Taču šīs papildu pūles ir jāpieliek katru reizi.
Ņemot vērā šos faktorus, ir prātīgi iestatiet šifrēšanu visam diskam. Disks paliks nelasāms citiem, ja vien viņiem nebūs šifrēšanas ieejas frāzes, ko viņi, protams, nezina un nevar jums jautāt. Arī brutāla piespiešana ar paroļu vārdnīcu to nesalauzīs, jo jūs iestatīsit paroli, kas ir pietiekami laba, lai pretotos šādiem uzbrukumiem.
Esošā diska izmantošana vs. Iestatīšana jaunā diskā
Ideja ir izveidot šifrētu nodalījumu un iestatīt to kā mājas direktoriju. Tā kā visi personas dati parasti atrodas mājas direktorijā, datu drošība paliks neskarta.
Ir divi dažādi veidi, kā to izdarīt:
- Atbrīvojiet vietu šifrētajam nodalījumam diskā, kas pašlaik tiek izmantots operētājsistēmā.
- Izmantojiet jaunu SSD vai cieto disku, pievienojiet to Pi ar a USB uz SATA adapteris (ja nepieciešams) un izmantojiet to kā šifrētu nodalījumu.
Abām konfigurācijām ir noteiktas priekšrocības:
- Pirmajā konfigurācijā tiek izmantota esošā microSD karte vai SSD, un tai nav nepieciešama papildu aparatūra. Tā kā tas ir viens disks, tas saglabā kompaktumu un ir piemērots pārnēsāšanai.
- Otrā konfigurācija ir piemērota ilgākam diska kalpošanas laikam, jo ir mazāks ierakstu skaits. Tas ir arī nedaudz ātrāks, jo lasīšana/rakstīšana tiek sadalīta starp diviem diskiem.
Šeit ir apskatīta pirmā konfigurācija, jo tai ir vēl dažas darbības. Otrā konfigurācija ir daļa no pirmās, un izslēdzamās darbības ir viegli saprotamas.
Instalēšana šeit parāda procesu Raspberry Pi OS; to pašu procesu var atkārtot Ubuntu Desktop OS un tās garšas, piemēram, MATE.
Sagatavojiet disku šifrēšanai
Kopš šifrētais nodalījums būs pašā OS diskā, vajadzīgā vieta ir jāizgriež no saknes nodalījuma. To nevar izdarīt ar sāknētu Pi, jo saknes nodalījums jau ir uzstādīts. Tātad, izmantojiet citu datoru, kurā var palaist gnome-disk-utilītu, piemēram, Linux datoru.
Alternatīvi, Varat arī veikt Raspberry Pi divkāršu sāknēšanu vai palaist pagaidu OS ar multividi, kas pievienota, izmantojot USB.
Savienojiet savu Pi OS disku ar otru datoru un instalējiet rīku, lai pārvaldītu disku:
sudo apt Atjaunināt
sudo apt uzstādīt gnome-disk-utilītaAtvērt Diski no izvēlnes vai ar komandu:
rūķīšu diskiNeobligāts solis šajā brīdī ir diska dublēšana, it īpaši, ja tajā ir svarīgi dati. Rīkam Disks ir iebūvēta funkcija, lai saglabātu visu disku kā attēlu. Ja nepieciešams, šo attēlu var atjaunot atpakaļ datu nesējā.
Atbrīvojiet vietu, kas nepieciešama šifrētajam diskam. Izvēlieties saknes nodalījums, noklikšķiniet uz Gear kontrolēt un atlasīt Mainīt izmērus
Ja izmantojat microSD karti vai disku ar 32 GB vai lielāku ietilpību, piešķiriet 15 GB saknes nodalījumam un pārējo atstājiet nodalījuma šifrēšanai.
Klikšķis Mainīt izmērus un Brīva vieta tiks izveidots.
Kad tas ir izdarīts, izņemiet datu nesēju no šī datora. Pievienojiet to savam Raspberry Pi un palaidiet to.
Atveriet termināli un instalējiet disku rīku Pi:
sudo apt uzstādīt gnome-disk-utilīta -yTā kā ir nepieciešama šifrēšana, instalējiet šādu šifrēšanas spraudni:
sudo apt uzstādīt libblockdev-crypto2 -yRestartējiet pakalpojumu Disks:
sudosystemctlrestartētudisks2.apkalpošanaŠifrēšanas iestatīšana, izmantojot GUI: vienkāršs veids
Atveriet rīku Disks no izvēlnes vai ar komandu:
rūķīšu diskiIzvēlieties Brīva vieta un noklikšķiniet uz + simbols, lai izveidotu nodalījumu.
Atstājiet nodalījuma maksimālo lielumu pēc noklusējuma un noklikšķiniet Nākamais.
Dodiet a Sējuma nosaukums; piemēram, Šifrēts. Izvēlieties EXT4 un pārbaudiet Paroles aizsardzības apjoms (LUKS).
Ievadiet ieejas frāzi, spēcīgu. Lai gan ir ieteicams izmantot ciparu un speciālo rakstzīmju kombināciju, tikai paroles garums padarīs neiespējamu uzlaušanu, izmantojot brutālu piespiešanu. Piemēram, 17 rakstzīmju parolei būs nepieciešami daži miljoni gadu, līdz tā sāks izmantot mūsdienu ātrākos datorus. Tātad pēc atstarpju saīsināšanas varat izmantot patiešām garu teikumu.
Klikšķis Izveidot, un šifrētajam nodalījumam jābūt gatavam.
Ja jūs saskaraties ar kļūda Ar /etc/crypttab ierakstu, izveidojiet tukšu failu, izmantojot:
sudo touch /etc/crypttabUn pēc tam atkārtojiet nodalījuma izveides procesu, izmantojot + simbols.
Sadalījums tagad ir LUKS šifrēts, taču tas ir jāatbloķē sāknēšanas laikā. Ir jāizveido ieraksts /etc/crypttab failu. Atlasiet nodalījumu, noklikšķiniet uz rīks kontrolēt un izvēlēties Rediģēt šifrēšanas opcijas.
Pārslēgt Lietotāja sesijas noklusējuma iestatījumi, pārbaudiet Atbloķējiet sistēmas startēšanas laikā, nodrošināt Ieejas frāzeun noklikšķiniet uz labi.
Tagad atlasiet Šifrēts nodalījumu un uzstādiet to, izmantojot spēlēt ikonu. Kopējiet stiprinājuma punkts.
Pārvietojiet sākuma direktoriju uz šifrēto disku
Drošības nolūkos klonējiet mājas direktoriju tūlīt un izdzēsiet avota direktoriju vēlāk, kad process būs veiksmīgs (aizstāt "arjunandvishnu" ar savu lietotājvārdu).
sudo rsync -av /home/* /media/arjunandvishnu/Encrypted/Piešķiriet kopēto failu īpašumtiesības pareizajam lietotājam:
sudo chown -Rv arjunandvishnu: arjunandvishnu /media/arjunandvishnu/šifrēts/arjunandvishnuJa ir vairāki lietotāji, atkārtojiet:
sudo chown -Rv pi: pi /media/arjunandvishnu/Šifrēts/piUzstādiet disku automātiski
Šis šifrētais nodalījums ir automātiski jāpievieno sāknēšanas laikā. Izvēlieties Šifrēts disks, noklikšķiniet uz rīks kontrolēt un atlasīt Rediģēt montāžas opcijas.
Pārslēgt Lietotāja sesijas noklusējuma iestatījumi un iestatiet Mount Point uz /home. Tādējādi tiks pievienots ieraksts /etc/fstab failu.
Restartējiet Pi un piesakieties. Pirmkārt, mājas direktorijam ir jābūt 755 atļaujām:
sudo chmod 755 /mājasLai pārbaudītu, vai šifrētais nodalījums tiek izmantots /home, izveidojiet tukšu mapi darbvirsmā un pārbaudiet, pārejot uz to, izmantojot Šifrēts direktoriju.
Ņemiet vērā, ka nekā operētājsistēmā Raspberry Pi OS noklusējuma failu pārvaldnieks (pcmanfm) ļauj dzēst noņemamo disku atkritni. Lai iespējotu dzēšanu atkritnē, noņemiet atzīmi no iestatījuma sadaļā Preferences.
Noņemiet saglabāto šifrēšanas ieejas frāzi
Iepriekš, konfigurējot šifrēšanu, ieejas frāze tika saglabāta. Šī konfigurācija tika izveidota /etc/crypttab failu.
Jūsu luks atslēgas fails tiek glabāts nešifrēts, un, to atverot, tiks atklāta parole. Tas ir drošības risks, un tas ir jānovērš. Nav labi atstāt slēdzeni un atslēgu kopā.
Izdzēsiet savu luks-key failu un noņemiet tā atsauci no /etc/crypttab.
sudo rm /etc/luks-keys/YOUR-KEYTagad katru reizi, kad sāksit, Pi sākumā pieprasīs šifrēšanas ieejas frāzi. Tā ir gaidāmā uzvedība.
Ja tiek parādīts tukšs ekrāns, izmantojiet Bultiņa uz augšu/lejup taustiņu, lai tiktu parādīts pieteikšanās ekrāns. Izmantot Backspace lai notīrītu visas rakstzīmes un ievadītu šifrēšanas ieejas frāzi. Tas atbloķēs šifrēto nodalījumu.
Dzēsiet veco mājas direktoriju
Agrāk tā vietā, lai pārvietotos, jūs nokopējāt mājas direktoriju. Vecā direktorija saturs joprojām ir nešifrēts un ir jāizdzēš, ja informācija ir sensitīva. Lai to izdarītu viegli, ievietojiet datu nesēju citā datorā. Uzmontētā ārējā diska saknes nodalījumā pārejiet uz VECĀ mājas direktoriju un izdzēsiet to (esiet uzmanīgs).
Raspberry Pi šifrēšana ir vienkārša
Datu aizsardzība ir tēma, kas bieži liks jums noiet papildu jūdzi sākumā, bet vēlāk atmaksāsies. Šeit ir apskatīti daudzi šifrēšanas gadījumi. Bet būtībā instrukcijas ir vienkāršas, un to īstenošana ir vienkārša. Nav iemesla baidīties par šifrēšanu; arī datu atkopšana ir vienkārša, ja vien neaizmirstiet šifrēšanas ieejas frāzi.
Ja šī šifrēšana ir iestatīta kopā ar RAID-1 datu spoguļošanu, tā nodrošinās jūsu datu drošību, kā arī drošību no fiziska diska kļūmēm un pabeigs perfektu iestatīšanu.
