Jak chránit data Raspberry Pi před ztrátou nebo krádeží

Data Raspberry Pi jsou uložena v oddílu operačního systému na kartě microSD nebo HDD/SSD. Během instalace OS není možné nastavit šifrované oddíly (v žádném z oblíbených operačních systémů Pi). Pokud dojde ke ztrátě nebo odcizení média Pi, lze jej připojit k jinému počítači a všechna data lze číst, bez ohledu na silné přihlašovací heslo nebo stav automatického přihlášení (vypnuto nebo zapnuto).

Kompromitovaná data mohou zahrnovat citlivé informace, jako jsou „Firefox Profile Data“, která obsahují přihlašovací údaje (uložená uživatelská jména a hesla pro různé webové stránky). Tato citlivá data, která se dostanou do nesprávných rukou, mohou vést ke krádeži ID. Tento článek je podrobným průvodcem pro ochranu dat pomocí šifrování. Jedná se o jednorázovou konfiguraci provedenou pomocí nástrojů GUI pro jednoduchost.

Ve srovnání se stolním nebo přenosným počítačem nemá Pi ani šrouby, ani žádný fyzický zámek pro svá média. I když tato flexibilita usnadňuje přepínání operačních systémů, výměna microSD karty to není dobré pro zabezpečení. Špatnému herci stačí vteřina, aby odstranil svá média. Kromě toho jsou karty microSD tak malé, že je nebude možné sledovat.

Na Raspberry Pi také není žádný klip pro slot pro microSD kartu. Když nosíte Pi kolem sebe, pokud karta někde vyklouzne, stejně tak je velká šance, že ji někdo projde obsah.

Různé způsoby zabezpečení osobních údajů na Pi

Několik uživatelů Pi chápe riziko a proaktivně šifruje jednotlivé soubory. Běžnou praxí je také nastavení hlavního hesla pro prohlížeče. Toto dodatečné úsilí je však třeba vynaložit pokaždé.

Vzhledem k těmto faktorům je rozumné nastavit šifrování pro celý disk. Disk zůstane pro ostatní nečitelný, pokud nebudou mít heslo pro šifrování, které samozřejmě neznají a nemohou se vás zeptat. Neprolomí to ani hrubé vynucování pomocí slovníku hesel, protože si nastavíte heslo, které je dostatečně dobré, aby takovým útokům odolalo.

Použití existujícího disku vs. Nastavení na nový disk

Cílem je vytvořit šifrovaný oddíl a nastavit jej tak, aby fungoval jako domovský adresář. Protože všechny osobní údaje jsou obvykle v domovském adresáři, zabezpečení dat zůstane nedotčeno.

Existují dva různé způsoby, jak to udělat:

1. Udělejte místo pro šifrovaný oddíl na disku, který se aktuálně používá pro operační systém.
2. Použijte nový SSD nebo pevný disk, připojte jej k Pi pomocí a Adaptér USB na SATA (v případě potřeby) a použijte jej jako šifrovaný oddíl.

Obě konfigurace mají určité výhody:

• První konfigurace využívá stávající microSD kartu nebo SSD a nepotřebuje žádný další hardware. Vzhledem k tomu, že jde o jeden disk, udržuje věci kompaktní a je vhodný pro přenositelnost.
• Druhá konfigurace je dobrá pro delší životnost disku kvůli nižšímu počtu zápisů. Je také o něco rychlejší, protože čtení/zápis je rozdělen mezi dva disky.

Zde je diskutována první konfigurace, protože obsahuje několik dalších kroků. Druhá konfigurace je součástí první a kroky k vyloučení jsou snadno srozumitelné.

Instalace zde ukazuje proces na Raspberry Pi OS; stejný proces lze replikovat pro Ubuntu Desktop OS a jeho varianty, jako je MATE.

Připravte disk pro šifrování

Od té doby šifrovaný oddíl bude na samotném disku OS, požadované místo musí být vyříznuto z kořenového oddílu. To nelze provést na spouštěném Pi, protože kořenový oddíl je již připojen. Použijte tedy jiný počítač, na kterém lze spustit nástroj gnome-disk-utility, například počítač se systémem Linux.

Alternativně, Raspberry Pi můžete také spustit duálně nebo spusťte dočasný OS s médiem připojeným pomocí USB.

Připojte disk s operačním systémem Pi k jinému počítači a nainstalujte nástroj pro správu disku:

sudo apt Aktualizace
sudo apt Nainstalujte gnome-disk-utilita

OTEVŘENO Disky z nabídky nebo příkazem:

gnome-disky

Volitelným krokem v tomto okamžiku je zálohování disku, zejména pokud jsou na něm důležitá data. Nástroj Disky má vestavěnou funkci pro uložení celého disku jako obrazu. V případě potřeby lze tento obraz obnovit zpět na médium.

Vyhraďte si místo potřebné pro šifrovaný disk. Vybrat kořenový oddíl, klikněte na Ozubené kolo ovládat a vybírat Změnit velikost

Pokud používáte kartu microSD nebo jednotku s kapacitou 32 GB nebo větší, přidělte 15 GB pro kořenový oddíl a zbytek ponechte na zašifrování oddílu.

Klikněte Změnit velikost a Volný prostor bude vytvořen.

Po dokončení vyjměte médium z tohoto počítače. Připojte jej k Raspberry Pi a spusťte jej.

Otevřete terminál a nainstalujte nástroj Disky na Pi:

sudo apt Nainstalujte gnome-disk-utility -y

Protože je vyžadováno šifrování, nainstalujte následující kryptografický plugin:

sudo apt Nainstalujte libblockdev-crypto2 -y

Restartujte službu Disky:

sudosystemctlrestartovatudisky2.servis

Nastavení šifrování pomocí GUI: Snadný způsob

Otevřete nástroj Disky z nabídky nebo příkazem:

gnome-disky

Vybrat Volný prostor a klikněte na + symbol pro vytvoření oddílu.

Ponechte velikost oddílu na výchozí maximální hodnotě a klikněte další.

Dát Název svazku; například, Zašifrováno. Vybrat EXT4 a zkontrolovat Svazek chráněný heslem (LUKS).

Zadejte přístupovou frázi, silnou. I když se doporučuje používat kombinaci čísel a speciálních znaků, pouhá délka hesla znemožní hackování pomocí hrubého vynucení. Například heslo o 17 znacích bude trvat několik milionů let, než se hrubou silou přinutí používat dnešní nejrychlejší počítače. Po zkrácení mezer tedy můžete použít opravdu dlouhou větu.

Klikněte Vytvořita šifrovaný oddíl by měl být připraven.

Pokud narazíte na chyba s /etc/crypttab záznam, vytvořte prázdný soubor pomocí:

sudo touch /etc/crypttab

A pak opakujte proces vytváření oddílu pomocí + symbol.

Oddíl je nyní zašifrován LUKS, ale musí být odemčen při bootování. Je třeba vytvořit záznam v /etc/crypttab soubor. Vyberte oddíl, klepněte na Ozubené kolo ovládat a vybírat Upravit možnosti šifrování.

Přepnout Výchozí nastavení uživatelské relace, šek Odemknout při startu systému, poskytnout Přístupová frázea klikněte OK.

Nyní vyberte Zašifrováno oddíl a připojte jej pomocí hrát si ikona. Zkopírujte montážní bod.

Přesuňte domovský adresář na šifrovaný disk

Pro jistotu nyní naklonujte domovský adresář a po úspěšném procesu smažte zdrojový adresář později (nahraďte „arjunandvishnu“ svým uživatelským jménem).

sudo rsync -av /home/* /media/arjunandvishnu/Encrypted/

Předejte vlastnictví zkopírovaných souborů správnému uživateli:

sudo chown -Rv arjunandvishnu: arjunandvishnu /media/arjunandvishnu/Encrypted/arjunandvishnu

Pokud je více než jeden uživatel, opakujte:

sudo chown -Rv pi: pi /media/arjunandvishnu/Encrypted/pi

Připojte disk automaticky

Tento šifrovaný oddíl musí být automaticky připojen při bootování. Vybrat Zašifrováno disk, klepněte na Ozubené kolo ovládat a vybírat Upravit možnosti připojení.

Přepnout Výchozí nastavení uživatelské relace a nastavte Mount Point na /home. Tím přidáte záznam do /etc/fstab soubor.

Restartujte Pi a přihlaste se. Za prvé, domovský adresář musí mít 755 oprávnění:

sudo chmod 755 /home

Chcete-li zkontrolovat, zda je šifrovaný oddíl používán pro /home, vytvořte na ploše prázdnou složku a ověřte ji tak, že do ní přejdete přes Zašifrováno adresář.

Všimněte si, že než na Raspberry Pi OS, výchozí správce souborů (pcmanfm) umožňuje mazání do koše na vyměnitelných jednotkách. Chcete-li povolit mazání do koše, zrušte zaškrtnutí nastavení v Předvolbách.

Odeberte uložené heslo šifrování

Dříve, při konfiguraci šifrování, byla přístupová fráze uložena. Tato konfigurace byla vytvořena v /etc/crypttab soubor.

Váš soubor luks-key je uložen nešifrovaný a jeho otevřením se odhalí heslo. Toto je bezpečnostní riziko a je třeba ho řešit. Není dobré nechávat zámek a klíč pohromadě.

Smažte svůj soubor luks-key a odstraňte z něj odkaz /etc/crypttab.

sudo rm /etc/luks-keys/VÁŠ-KLÍČ

Při každém spuštění se Pi na začátku zeptá na heslo pro šifrování. Toto je očekávané chování.

Pokud se zobrazí prázdná obrazovka, použijte Šipka nahoru/dolů tlačítko pro zobrazení přihlašovací obrazovky. Použití Backspace vymazat všechny znaky a klíč ve vaší šifrovací přístupové frázi. Odemkne šifrovaný oddíl.

Odstraňte starý domovský adresář

Dříve jste místo přesunutí zkopírovali domovský adresář. Obsah starého adresáře je stále nezašifrovaný a musí být odstraněn, pokud jsou informace citlivé. Chcete-li to snadno provést, připojte médium na jiný počítač. Přejděte do STARÉHO domovského adresáře v kořenovém oddílu připojeného externího disku a odstraňte jej (pozor).

Šifrování je na Raspberry Pi snadné

Zabezpečení vašich dat je téma, které vás na začátku často donutí ujít kilometr navíc, ale později se vám to vyplatí. Zde je pokryto mnoho if a buts o šifrování. Ale v jádru je návod jednoduchý a implementace snadná. Není důvod se šifrování zastrašovat; obnovení dat je také snadné, pokud nezapomenete heslo pro šifrování.

Pokud je toto šifrování nastaveno spolu se zrcadlením dat RAID-1, nabídne zabezpečení i ochranu vašich dat před selháním fyzického disku a dokončí dokonalé nastavení.