Podatki Raspberry Pi so shranjeni v particiji operacijskega sistema kartice microSD ali HDD/SSD. Med namestitvijo operacijskega sistema ni možnosti za nastavitev šifriranih particij (v katerem koli od priljubljenih operacijskih sistemov Pi). Če je medij Pi izgubljen ali ukraden, ga je mogoče povezati z drugim računalnikom in prebrati vse podatke, ne glede na močno geslo za prijavo ali stanje samodejne prijave (izklopljeno ali vklopljeno).
Ogroženi podatki lahko vključujejo občutljive informacije, kot so »Firefox Profile Data«, ki vsebujejo poverilnice za prijavo (shranjena uporabniška imena in gesla za različna spletna mesta). Ti občutljivi podatki, ki padejo v napačne roke, lahko povzročijo krajo ID-ja. Ta članek je vodnik po korakih za zaščito podatkov z uporabo šifriranja. To je enkratna konfiguracija, ki je zaradi preprostosti izvedena z orodji GUI.
V primerjavi z namiznim ali prenosnim računalnikom Pi nima ne vijakov ne fizične ključavnice za svoj medij. Čeprav ta prilagodljivost olajša preklapljanje med operacijskimi sistemi, z zamenjavo kartice microSD to ni dobro za varnost. Potrebuje samo sekundo, da slab igralec odstrani svoj medij. Poleg tega so kartice microSD tako majhne, da jim bo nemogoče slediti.
Prav tako na Raspberry Pi ni sponke za režo za kartico microSD. Ko nosite Pi naokoli, če kartica nekje zdrsne, obstaja prav tako velika možnost, da gre nekdo skozi njo vsebine.
Različni načini varovanja osebnih podatkov na Pi
Nekaj uporabnikov Pi razume tveganje in proaktivno šifrira posamezne datoteke. Pogosta praksa je tudi nastavitev glavnega gesla za brskalnike. Toda ta dodaten trud je treba vložiti vsakič.
Ob upoštevanju teh dejavnikov je pametno, da nastavite šifriranje za celoten disk. Disk bo ostal neberljiv za druge, razen če imajo šifrirno geslo, ki ga seveda ne poznajo in vas ne morejo vprašati. Tudi vsiljevanje s slovarjem gesel ga ne bo zlomilo, saj boste nastavili geslo, ki je dovolj dobro, da se upre takim napadom.
Uporaba obstoječega diska v primerjavi z Namestitev na nov disk
Ideja je narediti šifrirano particijo in jo nastaviti tako, da deluje kot domači imenik. Ker so vsi osebni podatki običajno v domačem imeniku, bo varnost podatkov ostala nedotaknjena.
To lahko storite na dva različna načina:
- Na disku, ki se trenutno uporablja za OS, naredite prostor za šifrirano particijo.
- Uporabite nov SSD ali trdi disk, povežite ga s Pi z a USB na SATA adapter (če je potrebno) in jo uporabite kot šifrirano particijo.
Obe konfiguraciji imata določene prednosti:
- Prva konfiguracija uporablja obstoječo kartico microSD ali SSD in ne potrebuje dodatne strojne opreme. Ker gre za en sam disk, ohranja stvari kompaktne in je dobra za prenosljivost.
- Druga konfiguracija je dobra za daljšo življenjsko dobo diska zaradi manjšega števila zapisov. Je tudi nekoliko hitrejši, saj je branje/pisanje porazdeljeno med dva diska.
Tukaj je obravnavana prva konfiguracija, saj ima še nekaj korakov. Druga konfiguracija je del prve in korake za izključitev je enostavno razumeti.
Namestitev tukaj prikazuje postopek v OS Raspberry Pi; isti postopek je mogoče ponoviti za namizni OS Ubuntu in njegove različice, kot je MATE.
Pripravite disk za šifriranje
Od šifrirano particijo bo na samem disku OS, mora biti zahtevani prostor izrezan iz korenske particije. Tega ni mogoče storiti na zagnanem Piju, ker je korenska particija že nameščena. Uporabite torej drug računalnik, ki lahko izvaja pripomoček gnome-disk-utility, na primer osebni računalnik z operacijskim sistemom Linux.
Druga možnost je, lahko tudi dvojno zaženete Raspberry Pi ali zaženite začasni OS z medijem, povezanim prek USB-ja.
Povežite svoj Pijev OS disk z drugim računalnikom in namestite orodje za upravljanje diska:
sudo apt nadgradnja
sudo apt namestite gnome-disk-utilityOdprto Diski iz menija ali z ukazom:
gnome-diskiIzbirni korak na tej točki je varnostno kopiranje diska, zlasti če so na njem pomembni podatki. Orodje Disks ima vgrajeno funkcijo za shranjevanje celotnega diska kot slike. Po potrebi lahko to sliko obnovite nazaj na medij.
Izločite prostor, potreben za šifrirani disk. Izberite korensko particijo, kliknite na Gear nadzor in izberite Spremeni velikost
Če uporabljate kartico microSD ali pogon s kapaciteto 32 GB ali več, dodelite 15 GB za korensko particijo, ostalo pa pustite za particijo, ki bo šifrirana.
Kliknite Spremeni velikost in Prosti prostor bo ustvarjen.
Ko končate, izvrzite medij iz tega računalnika. Povežite ga z vašim Raspberry Pi in ga zaženite.
Odprite terminal in namestite orodje Disks na Pi:
sudo apt namestite gnome-disk-utility -yKer je potrebno šifriranje, namestite naslednji kripto vtičnik:
sudo apt namestite libblockdev-crypto2 -yZnova zaženite storitev Disks:
sudosystemctlponovni zagonudiski2.storitevNastavitev šifriranja z uporabo GUI: Enostaven način
Odprite orodje Disks iz menija ali z ukazom:
gnome-diskiIzberite Prosti prostor in kliknite + simbol za ustvarjanje particije.
Pustite privzeto največjo velikost particije in kliknite Naslednji.
Daj a Ime nosilca; na primer, Šifrirano. Izberite EXT4 in preverite Glasnost, zaščitena z geslom (LUKS).
Daj geslo, močno. Čeprav je priporočljiva uporaba mešanice številk in posebnih znakov, bo že sama dolžina gesla onemogočila vdor s surovim vsiljevanjem. Na primer, 17-mestno geslo bo trajalo nekaj milijonov let, da se na silo uporabijo današnji najhitrejši računalniki. Tako lahko po skrajšanju presledkov uporabite zelo dolg stavek.
Kliknite Ustvari, in šifrirana particija bi morala biti pripravljena.
Če naletite na napaka z /etc/crypttab vnos, ustvarite prazno datoteko z:
sudo touch /etc/crypttabNato ponovite postopek ustvarjanja particije z uporabo + simbol.
Particija je zdaj šifrirana LUKS, vendar mora biti ob zagonu odklenjena. Ustvariti je treba vnos v /etc/crypttab mapa. Izberite particijo, kliknite orodje nadzor in izbira Uredi možnosti šifriranja.
Preklopi Privzete nastavitve uporabniške seje, preveri Odkleni ob zagonu sistema, zagotoviti Gesloin kliknite v redu.
Zdaj izberite Šifrirano particijo in jo namestite s pomočjo igrati ikona. Kopiraj točka namestitve.
Premaknite domači imenik v šifrirani pogon
Zaradi varnosti klonirajte domači imenik zdaj in izbrišite izvorni imenik pozneje, ko je postopek uspešen (zamenjajte "arjunandvishnu" s svojim uporabniškim imenom).
sudo rsync -av /home/* /media/arjunandvishnu/Encrypted/Dodelite lastništvo nad kopiranimi datotekami pravilnemu uporabniku:
sudo chown -Rv arjunandvishnu: arjunandvishnu /media/arjunandvishnu/Encrypted/arjunandvishnuČe je uporabnikov več, ponovite:
sudo chown -Rv pi: pi /media/arjunandvishnu/Encrypted/piSamodejno namestite disk
Ta šifrirana particija mora biti samodejno nameščena ob zagonu. Izberite Šifrirano disk, kliknite na orodje nadzor in izberite Uredi možnosti namestitve.
Preklopi Privzete nastavitve uporabniške seje in nastavite Mount Point do /home. To bo dodalo vnos v /etc/fstab mapa.
Znova zaženite Pi in se prijavite. Prvič, domači imenik mora imeti 755 dovoljenj:
sudo chmod 755 /homeČe želite preveriti, ali se šifrirana particija uporablja za /home, ustvarite prazno mapo na namizju in jo preverite tako, da se pomaknete do nje prek Šifrirano imenik.
Upoštevajte, da v OS Raspberry Pi privzeti upravitelj datotek (pcmanfm) dovoljuje brisanje v koš na izmenljivih pogonih. Če želite omogočiti brisanje v koš, počistite to nastavitev v nastavitvah.
Odstranite shranjeno geslo za šifriranje
Prej, med konfiguracijo šifriranja, je bilo geslo shranjeno. Ta konfiguracija je bila ustvarjena v /etc/crypttab mapa.
Vaša datoteka luks-key je shranjena nešifrirana in če jo odprete, boste razkrili geslo. To je varnostno tveganje in ga je treba obravnavati. Ni dobro pustiti ključavnice in ključa skupaj.
Izbrišite datoteko luks-key in odstranite njeno referenco iz /etc/crypttab.
sudo rm /etc/luks-keys/VAŠ-KLJUČZdaj bo Pi ob vsakem zagonu na začetku zahteval geslo za šifriranje. To je pričakovano vedenje.
Če je prikazan prazen zaslon, uporabite Puščica gor/dol tipko za prikaz prijavnega zaslona. Uporaba vračalka da izbrišete morebitne znake in vnesete šifrirno geslo. Odklenil bo šifrirano particijo.
Izbrišite stari domači imenik
Prej ste namesto premikanja kopirali domači imenik. Vsebina starega imenika je še vedno nešifrirana in jo je treba izbrisati, če so informacije občutljive. Če želite to narediti enostavno, namestite medij na drug računalnik. Pomaknite se do STAREGA domačega imenika v korenski particiji nameščenega zunanjega pogona in ga izbrišite (bodite previdni).
Šifriranje je enostavno na Raspberry Pi
Zaščita vaših podatkov je tema, zaradi katere boste na začetku pogosto prehodili dodaten kilometer, vendar se vam bo pozneje dobro obrestovalo. Tukaj je zajetih veliko če in ampak o šifriranju. Toda v bistvu so navodila preprosta in izvedba enostavna. Nobenega razloga ni, da bi se bali šifriranja; obnovitev podatkov je tudi enostavna, če ne pozabite gesla za šifriranje.
Če je to šifriranje nastavljeno skupaj z zrcaljenjem podatkov RAID-1, bo nudilo varnost in zaščito vaših podatkov pred okvarami fizičnega pogona in bo dokončalo popolno nastavitev.
