I dati di Raspberry Pi sono archiviati nella partizione del sistema operativo di una scheda microSD o HDD/SSD. Durante l'installazione del sistema operativo, non è possibile configurare partizioni crittografate (in nessuno dei più diffusi sistemi operativi Pi). Se il supporto del Pi viene perso o rubato, può essere collegato a un altro computer e tutti i dati possono essere letti, indipendentemente da una password di accesso complessa o dallo stato di accesso automatico (spento o attivato).
I dati compromessi possono includere informazioni sensibili come "Firefox Profile Data", che contiene le credenziali di accesso (nomi utente e password salvati per vari siti Web). Questi dati sensibili che cadono in mani sbagliate possono portare al furto di identità. Questo articolo è una guida passo passo per proteggere i dati con l'uso della crittografia. È una configurazione una tantum realizzata utilizzando strumenti GUI per semplicità.
Rispetto a un computer desktop o laptop, il Pi non ha né viti né alcun blocco fisico per i suoi supporti. Sebbene questa flessibilità renda conveniente cambiare sistema operativo, sostituendo la scheda microSD, non va bene per la sicurezza. Tutto ciò che serve è un secondo perché un cattivo attore rimuova i suoi media. Inoltre, le schede microSD sono così piccole che rintracciarle sarà impossibile.
Inoltre, non è presente alcuna clip per lo slot per schede microSD sul Raspberry Pi. Quando porti in giro il Pi, se la carta scivola via da qualche parte, c'è altrettanta possibilità che qualcuno la passi Contenuti.
Diversi modi per proteggere i dati personali sul Pi
Alcuni utenti di Pi comprendono il rischio e crittografano in modo proattivo i singoli file. Anche l'impostazione di una password principale per i browser è una pratica comune. Ma questo ulteriore sforzo deve essere fatto ogni volta.
Considerando questi fattori, è saggio impostare la crittografia per l'intero disco. Il disco rimarrà illeggibile da altri a meno che non abbiano la passphrase di crittografia, che ovviamente non conoscono e non possono chiederti. Anche la forzatura bruta con un dizionario di password non lo interromperà, perché imposterai una password abbastanza buona da resistere a tali attacchi.
Utilizzo del disco esistente vs. Configurazione su un nuovo disco
L'idea è di creare una partizione crittografata e impostarla in modo che funzioni come directory home. Poiché tutti i dati personali sono generalmente nella directory home, la sicurezza dei dati rimarrà intatta.
Ci sono due modi diversi per farlo:
- Fai spazio per la partizione crittografata sul disco attualmente utilizzato per il sistema operativo.
- Usa un nuovo SSD o disco rigido, collegalo al Pi con a Adattatore da USB a SATA (se necessario) e utilizzarlo come partizione crittografata.
Ci sono alcuni vantaggi con entrambe le configurazioni:
- La prima configurazione utilizza la scheda microSD o SSD esistente e non necessita di hardware aggiuntivo. Essendo un disco singolo, mantiene le cose compatte ed è ottimo per la portabilità.
- La seconda configurazione è utile per una maggiore durata del disco a causa del minor numero di scritture. È anche leggermente più veloce poiché le letture/scritture sono distribuite tra due dischi.
La prima configurazione è discussa qui poiché ha alcuni passaggi in più. La seconda configurazione fa parte della prima e i passaggi da escludere sono di facile comprensione.
L'installazione qui mostra il processo su Raspberry Pi OS; lo stesso processo può essere replicato per il sistema operativo desktop Ubuntu e le sue versioni come MATE.
Preparare il disco per la crittografia
Da la partizione crittografata sarà sul disco del sistema operativo stesso, lo spazio richiesto deve essere ricavato dalla partizione di root. Questo non può essere fatto su un Pi avviato poiché la partizione di root è già montata. Quindi, usa un altro computer in grado di eseguire gnome-disk-utility, come un PC Linux.
In alternativa, puoi anche eseguire il dual-boot di un Raspberry Pi o eseguire un sistema operativo temporaneo con un supporto collegato tramite USB.
Collega il disco del tuo sistema operativo Pi all'altro computer e installa lo strumento per gestire il disco:
sudo apt aggiornare
sudo apt installare utilità-disco-gnomeAprire Dischi dal menu o con il comando:
gnomi-dischiUn passaggio facoltativo a questo punto è eseguire il backup del disco, in particolare se sono presenti dati importanti su di esso. Lo strumento Dischi ha una funzione incorporata per salvare l'intero disco come immagine. Se necessario, questa immagine può essere ripristinata sul supporto.
Ritaglia lo spazio necessario per il disco crittografato. Seleziona il partizione di root, clicca il Ingranaggio controllare e selezionare Ridimensiona
Se si utilizza una scheda microSD o un'unità con capacità pari o superiore a 32 GB, assegnare 15 GB per la partizione di root e lasciare il resto per la partizione da crittografare.
Clic Ridimensiona e il Spazio libero verrà creato.
Al termine, espellere il supporto da questo computer. Collegalo al tuo Raspberry Pi e avvialo.
Apri il terminale e installa lo strumento Dischi sul Pi:
sudo apt installare utilità-disco-gnome -yPoiché è necessaria la crittografia, installare il seguente plug-in crittografico:
sudo apt installare libblockdev-crypto2 -yRiavvia il servizio Dischi:
sudosystemctlricominciaudisk2.servizioConfigura la crittografia utilizzando la GUI: il modo più semplice
Aprire lo strumento Dischi dal menu o con il comando:
gnomi-dischiSelezionare Spazio libero e fare clic su + simbolo per creare la partizione.
Lascia la dimensione della partizione al valore predefinito massimo e fai clic Prossimo.
Dai un Nome del volume; Per esempio, Crittografato. Selezionare EST4 e controlla Volume protetto con password (LUKS).
Dai una passphrase, forte. Sebbene sia consigliabile utilizzare un mix di numeri e caratteri speciali, solo la lunghezza della password renderà impossibile l'hacking tramite la forza bruta. Ad esempio, una password di 17 caratteri impiegherà alcuni milioni di anni per utilizzare la forza bruta dei computer più veloci di oggi. Quindi puoi usare una frase molto lunga dopo aver troncato gli spazi.
Clic Crearee la partizione crittografata dovrebbe essere pronta.
Se incontri un errore con il /etc/crypttab voce, creare un file vuoto utilizzando:
sudo touch /etc/crypttabE quindi ripetere il processo di creazione della partizione utilizzando il file + simbolo.
La partizione è ora crittografata LUKS, ma deve essere sbloccata all'avvio. È necessario creare una voce in /etc/crypttab file. Seleziona la partizione, fai clic su Ingranaggio controllare e scegliere Modifica opzioni di crittografia.
Attiva/disattiva Predefinito sessione utente, dai un'occhiata Sblocca all'avvio del sistema, fornire il Frase d'accessoe fare clic OK.
Ora seleziona il Crittografato partizionare e montarlo usando il giocare a icona. Copia il punto di montaggio.
Sposta la directory principale sull'unità crittografata
Per sicurezza, clona la directory home ora ed elimina la directory di origine in seguito, dopo che il processo è andato a buon fine (sostituisci "arjunandvishnu" con il tuo nome utente).
sudo rsync -av /home/* /media/arjunandvishnu/Crittografato/Assegna la proprietà dei file copiati all'utente corretto:
sudo chown -Rv arjunandvishnu: arjunandvishnu /media/arjunandvishnu/Encrypted/arjunandvishnuSe è presente più di un utente, ripetere:
sudo chown -Rv pi: pi /media/arjunandvishnu/Encrypted/piMonta il disco automaticamente
Questa partizione crittografata deve essere montata automaticamente all'avvio. Seleziona il Crittografato disco, fare clic su Ingranaggio controllare e selezionare Modifica le opzioni di montaggio.
Attiva/disattiva Predefinito sessione utente e impostare il Punto di montaggio a /home. Questo aggiungerà una voce a /etc/fstab file.
Riavvia il Pi e accedi. Innanzitutto, la directory home deve avere 755 autorizzazioni:
sudo chmod 755 /homePer verificare che la partizione crittografata venga utilizzata per /home, creare una cartella vuota sul desktop e verificare accedendovi tramite il Crittografato directory.
Nota che sul sistema operativo Raspberry Pi, il file manager predefinito (pcmanfm) consente le eliminazioni nel Cestino su unità rimovibili. Per abilitare l'eliminazione nel Cestino, deseleziona l'impostazione in Preferenze.
Rimuovere la passphrase di crittografia salvata
In precedenza, durante la configurazione della crittografia, la passphrase veniva salvata. Questa configurazione è stata creata nel /etc/crypttab file.
Il tuo file luks-key è archiviato non crittografato e aprendolo rivelerà la password. Questo è un rischio per la sicurezza e deve essere affrontato. Non va bene lasciare la serratura e la chiave insieme.
Elimina il tuo file luks-key e rimuovi il suo riferimento da /etc/crypttab.
sudo rm /etc/luks-keys/LA TUA-CHIAVEOra, ogni volta che si avvia, il Pi chiederà la passphrase di crittografia all'inizio. Questo è il comportamento previsto.
Se viene presentata una schermata vuota, utilizzare il Freccia su/giù chiave per visualizzare la schermata di accesso. Uso Backspace per cancellare tutti i caratteri e digitare la passphrase di crittografia. Sbloccherà la partizione crittografata.
Elimina la vecchia home directory
In precedenza, invece di spostarti, hai copiato la home directory. I contenuti della vecchia directory non sono ancora crittografati e devono essere eliminati se le informazioni sono sensibili. Per farlo facilmente, montare il supporto su un altro computer. Passare alla directory home VECCHIA nella partizione root dell'unità esterna montata ed eliminarla (attenzione).
La crittografia è facile su Raspberry Pi
La protezione dei tuoi dati è un argomento che spesso ti farà fare il possibile all'inizio, ma ti ripagherà bene in seguito. Molti se e ma sulla crittografia sono trattati qui. Ma in sostanza, le istruzioni sono semplici e l'implementazione è facile. Non c'è motivo di essere intimiditi dalla crittografia; anche il recupero dei dati è facile, a patto di non dimenticare la passphrase di crittografia.
Se questa crittografia è impostata insieme al mirroring dei dati RAID-1, offrirà sicurezza e protezione per i tuoi dati da guasti dell'unità fisica e completerà la configurazione perfetta.
