Raspberry Pi andmed salvestatakse microSD kaardi või HDD/SSD operatsioonisüsteemi partitsiooni. OS-i installimise ajal pole krüptitud partitsioonide seadistamise võimalust (üheski populaarses Pi operatsioonisüsteemis). Kui Pi meedium kaob või varastatakse, saab selle ühendada teise arvutiga ja lugeda saab kõiki andmeid, sõltumata tugevast sisselogimisparoolist või automaatse sisselogimise olekust (välja või sisse lülitatud).
Ohustatud andmed võivad sisaldada tundlikku teavet, nagu "Firefoxi profiiliandmed", mis sisaldavad sisselogimismandaate (erinevate veebisaitide jaoks salvestatud kasutajanimed ja paroolid). Need tundlikud andmed valedesse kätesse sattudes võivad viia ID-varguseni. See artikkel on samm-sammuline juhend andmete kaitsmiseks krüptimise abil. See on ühekordne konfiguratsioon, mis saavutatakse lihtsuse huvides GUI-tööriistade abil.
Võrreldes laua- või sülearvutiga pole Pi-l meediumi jaoks kruvisid ega füüsilist lukku. Kuigi see paindlikkus muudab operatsioonisüsteemide vahetamise mugavaks, pole microSD-kaardi väljavahetamine turvalisusele hea. Halval näitlejal kulub vaid sekund oma meedia eemaldamiseks. Pealegi on microSD-kaardid nii väikesed, et nende jälgimine on võimatu.
Samuti pole Raspberry Pi-l microSD-kaardi pesa jaoks klambrit. Kui kannate Pi ringi, kui kaart libiseb kuskilt ära, sama hea võimalus on, et keegi sellest läbi läheb sisu.
Erinevad viisid isikuandmete kaitsmiseks Pi-s
Mõned Pi kasutajad mõistavad riski ja krüpteerivad ennetavalt üksikuid faile. Levinud praktika on ka brauserite peaparooli määramine. Kuid see lisapingutus tuleb iga kord teha.
Arvestades neid tegureid, on mõistlik seadistage kogu ketta krüpteerimine. Ketas jääb teistele loetamatuks, välja arvatud juhul, kui neil on krüptimise parool, mida nad loomulikult ei tea ega saa teilt küsida. Paroolisõnastikuga jõhker sundimine ei riku seda ka, sest määrate parooli, mis on piisavalt hea sellistele rünnakutele vastu seista.
Olemasoleva ketta kasutamine vs. Selle seadistamine uuele kettale
Idee on teha krüptitud partitsioon ja seada see kodukataloogina tööle. Kuna kõik isikuandmed on tavaliselt kodukataloogis, jääb andmete turvalisus puutumatuks.
Seda saab teha kahel erineval viisil.
- Tehke ruumi krüptitud partitsioonile kettal, mida praegu operatsioonisüsteemi jaoks kasutatakse.
- Kasutage uut SSD-d või kõvaketast, ühendage see a-ga Pi-ga USB-SATA-adapter (vajadusel) ja kasutage seda krüptitud partitsioonina.
Mõlemal konfiguratsioonil on teatud eelised:
- Esimene konfiguratsioon kasutab olemasolevat microSD-kaarti või SSD-d ega vaja täiendavat riistvara. Kuna tegemist on ühe kettaga, hoiab see asjad kompaktsena ja on kaasaskantav.
- Teine konfiguratsioon on ketta pikema eluea jaoks hea, kuna kirjutamiste arv on väiksem. See on ka veidi kiirem, kuna lugemised/kirjutus on jaotatud kahe ketta vahel.
Siin arutatakse esimest konfiguratsiooni, kuna sellel on veel mõned sammud. Teine konfiguratsioon on osa esimesest ja välistatavad sammud on kergesti mõistetavad.
Siin installimine näitab protsessi Raspberry Pi OS-is; sama protsessi saab korrata Ubuntu Desktop OS-i ja selle maitsete (nt MATE) jaoks.
Valmistage ketas krüptimiseks ette
Alates krüptitud partitsioon on OS-i kettal endal, tuleb juurpartitsioonist vajalik ruum välja lõigata. Seda ei saa teha käivitatud Pi puhul, kuna juurpartitsioon on juba ühendatud. Seega kasutage mõnda muud arvutit, mis suudab käivitada utiliiti gnome-disk-utiliit, näiteks Linuxi arvutit.
Teise võimalusena Raspberry Pi saate ka kahekordse alglaadimisega või käivitage USB kaudu ühendatud meediumiga ajutine OS.
Ühendage oma Pi OS-i ketas teise arvutiga ja installige tööriist ketta haldamiseks:
sudo apt värskendada
sudo apt installida gnome-disk-utiliitAvatud kettad menüüst või käsuga:
gnome-kettadValikuline samm on ketta varundamine, eriti kui sellel on olulisi andmeid. Tööriistal Disks on sisseehitatud funktsioon kogu ketta pildina salvestamiseks. Vajadusel saab selle pildi meediumisse tagasi taastada.
Vabastage krüptitud ketta jaoks vajalikku ruumi. Valige juurpartitsioon, klõpsake nuppu Käik juhtimine ja valige Muuda suurust
Kui kasutate 32 GB või suurema mahuga microSD-kaarti või draivi, eraldage 15 GB juurpartitsiooni jaoks ja ülejäänud jätke partitsiooni krüpteerimiseks.
Klõpsake Muuda suurust ja Vaba ruum luuakse.
Kui olete lõpetanud, väljutage meedium sellest arvutist. Ühendage see oma Raspberry Pi-ga ja käivitage see.
Avage terminal ja installige Pi-le tööriist Disks:
sudo apt installida gnome-disk-utiliit -yKuna krüptimist on vaja, installige järgmine krüptoplugin:
sudo apt installida libblockdev-crypto2 -yTaaskäivitage teenus Disks:
sudosystemctlTaaskäivitaudisks2.teenusKrüptimise seadistamine GUI abil: lihtne viis
Avage tööriist Disks menüüst või käsuga:
gnome-kettadValige Vaba ruum ja klõpsake nuppu + sümbol partitsiooni loomiseks.
Jätke partitsiooni suurus vaikimisi maksimaalseks ja klõpsake Edasi.
Anna a Köite nimi; näiteks, Krüpteeritud. Valige EXT4 ja kontrollige Parooliga kaitstud helitugevus (LUKS).
Sisestage parool, tugev. Kuigi on soovitatav kasutada numbrite ja erimärkide kombinatsiooni, muudab parooli ainuüksi suur pikkus jõhkra sundimise kaudu häkkimise võimatuks. Näiteks 17-kohalise parooli kasutamisel kulub tänapäeva kiireimate arvutite jõhkra jõuga kasutuselevõtuks paar miljonit aastat. Nii et pärast tühikute kärpimist võite kasutada väga pikka lauset.
Klõpsake Loo, ja krüptitud partitsioon peaks olema valmis.
Kui kohtate viga koos /etc/crypttab kirje, looge tühi fail, kasutades:
sudo touch /etc/crypttabJa seejärel korrake partitsiooni loomise protsessi kasutades + sümbol.
Sektsioon on nüüd LUKS-i krüptitud, kuid see tuleb käivitamisel avada. Sisse tuleb luua kirje /etc/crypttab faili. Valige partitsioon, klõpsake nuppu käik juhtida ja valida Redigeeri krüptimise valikuid.
Lülita Kasutajaseansi vaikeseaded, Kontrollima Avage lukustus süsteemi käivitamisel, pakkuda Paroolja klõpsake Okei.
Nüüd valige Krüpteeritud partitsiooni ja ühendage see kasutades mängida ikooni. Kopeerige kinnituspunkt.
Teisaldage kodukataloog krüptitud draivi
Ohutuse huvides kloonige kodukataloog kohe ja kustutage lähtekataloog hiljem, kui protsess on edukas (asenda "arjunandvishnu" oma kasutajanimega).
sudo rsync -av /home/* /media/arjunandvishnu/krüpteeritud/Andke kopeeritud failide omandiõigus õigele kasutajale:
sudo chown -Rv arjunandvishnu: arjunandvishnu /media/arjunandvishnu/Krüpteeritud/arjunandvishnuKui kasutajaid on rohkem kui üks, korrake:
sudo chown -Rv pi: pi /media/arjunandvishnu/Krüptitud/piÜhendage ketas automaatselt
See krüptitud partitsioon tuleb alglaadimisel automaatselt ühendada. Valige Krüpteeritud kettal, klõpsake nuppu käik juhtimine ja valige Redigeeri paigaldussuvandeid.
Lülita Kasutajaseansi vaikeseaded ja määrake Mount Point juurde /home. See lisab kirje /etc/fstab faili.
Taaskäivitage Pi ja logige sisse. Esiteks peab kodukataloogil olema 755 õigust:
sudo chmod 755 / koduKontrollimaks, kas /home jaoks kasutatakse krüptitud partitsiooni, looge töölauale tühi kaust ja kontrollige seda, navigeerides selleni Krüpteeritud kataloog.
Pange tähele, et kui Raspberry Pi OS-is, võimaldab vaikefailihaldur (pcmanfm) kustutada irdketaste prügikasti. Prügikasti kustutamise lubamiseks tühjendage jaotises Eelistused sätte märge.
Eemaldage salvestatud krüptimise parool
Varem krüptimise seadistamise ajal parool salvestati. See konfiguratsioon loodi /etc/crypttab faili.
Teie luks-võtme fail salvestatakse krüptimata ja selle avamisel kuvatakse parool. See on turvarisk ja sellega tuleb tegeleda. Ei ole hea jätta lukk ja võti kokku.
Kustutage oma luks-võti fail ja eemaldage selle viide /etc/crypttab.
sudo rm /etc/luks-keys/YOUR-KEYNüüd küsib Pi iga kord, kui käivitate, alguses krüptimise parooli. See on ootuspärane käitumine.
Kui kuvatakse tühi ekraan, kasutage nuppu Üles/alla nool sisselogimisekraani kuvamiseks klahvi. Kasutage Tagasilükkeklahv märkide kustutamiseks ja krüptimise parooli sisestamiseks. See avab krüptitud partitsiooni.
Kustutage vana kodukataloog
Varem kopeerisite kolimise asemel kodukataloogi. Vana kataloogi sisu on endiselt krüpteerimata ja tundliku teabe korral tuleb see kustutada. Selle hõlpsaks tegemiseks ühendage andmekandja teise arvutisse. Liikuge ühendatud välise draivi juurpartitsioonis VANA kodukataloogi ja kustutage see (olge ettevaatlik).
Raspberry Pi krüptimine on lihtne
Andmete turvamine on teema, mis sunnib teid sageli alguses palju ületama, kuid tasub end hiljem hästi ära. Siin käsitletakse paljusid krüpteerimisega seotud tegusid. Kuid põhiolemuselt on juhised lihtsad ja rakendamine lihtne. Krüpteerimisega pole põhjust hirmutada; andmete taastamine on samuti lihtne, kui te ei unusta krüptimise parooli.
Kui see krüptimine seadistatakse koos RAID-1 andmepeegeldusega, pakub see nii turvalisust kui ka turvalisust teie andmetele füüsiliste draivi rikete eest ning viib täiusliku seadistuse lõpule.
