Τα δεδομένα του Raspberry Pi αποθηκεύονται στο διαμέρισμα του λειτουργικού συστήματος μιας κάρτας microSD ή HDD/SSD. Κατά την εγκατάσταση του λειτουργικού συστήματος, δεν υπάρχει επιλογή ρύθμισης κρυπτογραφημένων κατατμήσεων (σε κανένα από τα δημοφιλή λειτουργικά συστήματα Pi). Εάν χαθεί ή κλαπεί το μέσο του Pi, μπορεί να συνδεθεί σε διαφορετικό υπολογιστή και να διαβαστούν όλα τα δεδομένα, ανεξάρτητα από τον ισχυρό κωδικό πρόσβασης σύνδεσης ή την κατάσταση αυτόματης σύνδεσης (απενεργοποιημένη ή ενεργοποιημένη).
Τα παραβιασμένα δεδομένα μπορεί να περιλαμβάνουν ευαίσθητες πληροφορίες, όπως "Δεδομένα προφίλ του Firefox", τα οποία περιέχουν διαπιστευτήρια σύνδεσης (αποθηκευμένα ονόματα χρήστη και κωδικούς πρόσβασης για διάφορους ιστότοπους). Αυτά τα ευαίσθητα δεδομένα που πέσουν σε λάθος χέρια μπορεί να οδηγήσουν σε κλοπή ταυτότητας. Αυτό το άρθρο είναι ένας οδηγός βήμα προς βήμα για την προστασία των δεδομένων με τη χρήση κρυπτογράφησης. Είναι μια διαμόρφωση μίας χρήσης που ολοκληρώνεται με τη χρήση εργαλείων GUI για απλότητα.
Σε σύγκριση με έναν επιτραπέζιο ή φορητό υπολογιστή, το Pi δεν έχει ούτε βίδες ούτε φυσική κλειδαριά για τα μέσα του. Αν και αυτή η ευελιξία καθιστά βολική την εναλλαγή λειτουργικών συστημάτων, ανταλλάσσοντας την κάρτα microSD, δεν είναι καλή για την ασφάλεια. Το μόνο που χρειάζεται είναι ένα δευτερόλεπτο για να αφαιρέσει τα μέσα του ένας κακός ηθοποιός. Εξάλλου, οι κάρτες microSD είναι τόσο μικροσκοπικές που θα είναι αδύνατη η ανίχνευσή τους.
Επίσης, δεν υπάρχει κλιπ για την υποδοχή κάρτας microSD στο Raspberry Pi. Όταν μεταφέρετε το Pi, αν η κάρτα ξεφεύγει κάπου, υπάρχει εξίσου καλή πιθανότητα κάποιος να την περάσει περιεχόμενα.
Διαφορετικοί τρόποι διασφάλισης προσωπικών δεδομένων στο Pi
Μερικοί χρήστες Pi κατανοούν τον κίνδυνο και κρυπτογραφούν προληπτικά μεμονωμένα αρχεία. Ο ορισμός κύριου κωδικού πρόσβασης για προγράμματα περιήγησης είναι επίσης μια κοινή πρακτική. Όμως, αυτή η πρόσθετη προσπάθεια πρέπει να καταβάλλεται κάθε φορά.
Λαμβάνοντας υπόψη αυτούς τους παράγοντες, είναι συνετό να ρυθμίστε την κρυπτογράφηση για ολόκληρο το δίσκο. Ο δίσκος θα παραμείνει αδιάβαστος από άλλους, εκτός εάν έχουν τη φράση πρόσβασης κρυπτογράφησης, την οποία φυσικά δεν γνωρίζουν και δεν μπορούν να σας ρωτήσουν. Η ωμή εξαναγκασμός με ένα λεξικό κωδικού πρόσβασης δεν θα το σπάσει επίσης, επειδή θα ορίσετε έναν κωδικό πρόσβασης που είναι αρκετά καλός για να αντισταθείτε σε τέτοιες επιθέσεις.
Χρήση του Υπάρχοντος Δίσκου vs. Ρύθμισή του σε νέο δίσκο
Η ιδέα είναι να δημιουργήσετε ένα κρυπτογραφημένο διαμέρισμα και να το ρυθμίσετε να λειτουργεί ως αρχικός κατάλογος. Δεδομένου ότι όλα τα προσωπικά δεδομένα βρίσκονται συνήθως στον αρχικό κατάλογο, η ασφάλεια των δεδομένων θα παραμείνει ανέπαφη.
Υπάρχουν δύο διαφορετικοί τρόποι για να το κάνετε:
- Δημιουργήστε χώρο για το κρυπτογραφημένο διαμέρισμα στο δίσκο που χρησιμοποιείται αυτήν τη στιγμή για το λειτουργικό σύστημα.
- Χρησιμοποιήστε ένα νέο SSD ή σκληρό δίσκο, συνδέστε το στο Pi με ένα Προσαρμογέας USB σε SATA (αν χρειάζεται) και χρησιμοποιήστε το ως κρυπτογραφημένο διαμέρισμα.
Υπάρχουν ορισμένα πλεονεκτήματα και με τις δύο διαμορφώσεις:
- Η πρώτη διαμόρφωση χρησιμοποιεί την υπάρχουσα κάρτα microSD ή SSD και δεν χρειάζεται επιπλέον υλικό. Όντας ένας ενιαίος δίσκος, διατηρεί τα πράγματα συμπαγή και είναι καλό για φορητότητα.
- Η δεύτερη διαμόρφωση είναι καλή για μεγαλύτερη διάρκεια ζωής του δίσκου λόγω του μικρότερου αριθμού εγγραφών. Είναι επίσης ελαφρώς πιο γρήγορο αφού οι αναγνώσεις/εγγραφές κατανέμονται μεταξύ δύο δίσκων.
Η πρώτη διαμόρφωση συζητείται εδώ, καθώς έχει μερικά ακόμη βήματα. Η δεύτερη διαμόρφωση είναι μέρος της πρώτης και τα βήματα προς εξαίρεση είναι εύκολα κατανοητά.
Η εγκατάσταση εδώ δείχνει τη διαδικασία στο Raspberry Pi OS. Η ίδια διαδικασία μπορεί να επαναληφθεί για το Ubuntu Desktop OS και τις γεύσεις του όπως το MATE.
Προετοιμάστε το δίσκο για κρυπτογράφηση
Από το κρυπτογραφημένο διαμέρισμα θα βρίσκεται στον ίδιο τον δίσκο του λειτουργικού συστήματος, ο απαιτούμενος χώρος πρέπει να χαραχτεί από το ριζικό διαμέρισμα. Αυτό δεν μπορεί να γίνει σε ένα εκκινημένο Pi, καθώς το διαμέρισμα ρίζας είναι ήδη προσαρτημένο. Επομένως, χρησιμοποιήστε έναν άλλο υπολογιστή που μπορεί να εκτελέσει το βοηθητικό πρόγραμμα gnome-disk, όπως έναν υπολογιστή Linux.
Εναλλακτικά, μπορείτε επίσης να κάνετε διπλή εκκίνηση ενός Raspberry Pi ή εκτελέστε ένα προσωρινό λειτουργικό σύστημα με μέσα συνδεδεμένα μέσω USB.
Συνδέστε το δίσκο του λειτουργικού συστήματος Pi στον άλλο υπολογιστή και εγκαταστήστε το εργαλείο για τη διαχείριση του δίσκου:
sudo apt εκσυγχρονίζω
sudo apt εγκαθιστώ gnome-disk-utilityΑνοιξε Δίσκοι από το μενού ή με την εντολή:
gnome-disksΈνα προαιρετικό βήμα σε αυτό το σημείο είναι η δημιουργία αντιγράφων ασφαλείας του δίσκου, ιδιαίτερα εάν υπάρχουν σημαντικά δεδομένα σε αυτόν. Το εργαλείο Δίσκοι έχει μια ενσωματωμένη δυνατότητα αποθήκευσης ολόκληρου του δίσκου ως εικόνα. Εάν χρειάζεται, αυτή η εικόνα μπορεί να αποκατασταθεί ξανά στα μέσα.
Δημιουργήστε χώρο που απαιτείται για τον κρυπτογραφημένο δίσκο. Επίλεξε το κατάτμηση ρίζας, κάντε κλικ στο Μηχανισμός έλεγχος και επιλογή Αλλαγή μεγέθους
Εάν χρησιμοποιείτε κάρτα microSD ή μονάδα δίσκου με χωρητικότητα 32 GB ή μεγαλύτερη, κατανείμετε 15 GB για το ριζικό διαμέρισμα και αφήστε το υπόλοιπο για το διαμέρισμα να κρυπτογραφηθεί.
Κάντε κλικ Αλλαγή μεγέθους και το Ελεύθερος χώρος θα δημιουργηθεί.
Όταν τελειώσετε, αφαιρέστε τα μέσα από αυτόν τον υπολογιστή. Συνδέστε το στο Raspberry Pi και εκκινήστε το.
Ανοίξτε το τερματικό και εγκαταστήστε το εργαλείο Δίσκοι στο Pi:
sudo apt εγκαθιστώ gnome-disk-utility -yΕφόσον απαιτείται κρυπτογράφηση, εγκαταστήστε την ακόλουθη προσθήκη κρυπτογράφησης:
sudo apt εγκαθιστώ libblockdev-crypto2 -yΕπανεκκινήστε την υπηρεσία Δίσκων:
sudosystemctlεπανεκκίνησηudisks2.υπηρεσίαΡύθμιση κρυπτογράφησης με χρήση GUI: Ο εύκολος τρόπος
Ανοίξτε το εργαλείο Δίσκοι από το μενού ή με την εντολή:
gnome-disksΕπιλέγω Ελεύθερος χώρος και κάντε κλικ στο + σύμβολο για τη δημιουργία του διαμερίσματος.
Αφήστε το μέγεθος του διαμερίσματος στο προεπιλεγμένο μέγιστο και κάντε κλικ Επόμενο.
Δώσε ένα Όνομα τόμου; για παράδειγμα, Κρυπτογραφημένο. Επιλέγω EXT4 και ελέγξτε Τόμος προστασίας με κωδικό πρόσβασης (LUKS).
Δώστε μια φράση πρόσβασης, μια ισχυρή. Αν και συνιστάται η χρήση ενός συνδυασμού αριθμών και ειδικών χαρακτήρων, μόνο το μεγάλο μήκος του κωδικού πρόσβασης θα καταστήσει αδύνατη την παραβίαση μέσω brute-forcing. Για παράδειγμα, ένας κωδικός πρόσβασης 17 χαρακτήρων θα χρειαστούν μερικά εκατομμύρια χρόνια για να χρησιμοποιήσει τους πιο γρήγορους υπολογιστές του σήμερα. Έτσι, μπορείτε να χρησιμοποιήσετε μια πολύ μεγάλη πρόταση αφού περικόψετε τα κενά.
Κάντε κλικ Δημιουργώ, και το κρυπτογραφημένο διαμέρισμα θα πρέπει να είναι έτοιμο.
Εάν συναντήσετε ένα λάθος με το /etc/crypttab καταχώρηση, δημιουργήστε ένα κενό αρχείο χρησιμοποιώντας:
sudo touch /etc/crypttabΚαι στη συνέχεια επαναλάβετε τη διαδικασία δημιουργίας του διαμερίσματος χρησιμοποιώντας το + σύμβολο.
Το διαμέρισμα είναι πλέον κρυπτογραφημένο LUKS, αλλά πρέπει να ξεκλειδωθεί κατά την εκκίνηση. Πρέπει να δημιουργηθεί μια καταχώρηση στο /etc/crypttab αρχείο. Επιλέξτε το διαμέρισμα, κάντε κλικ στο μηχανισμός ελέγξτε και επιλέξτε Επεξεργασία επιλογών κρυπτογράφησης.
Μεταβάλλω Προεπιλογές συνεδρίας χρήστη, έλεγχος Ξεκλείδωμα κατά την εκκίνηση του συστήματος, παρέχετε το Φράση πρόσβασηςκαι κάντε κλικ Εντάξει.
Τώρα επιλέξτε το Κρυπτογραφημένο διαμέρισμα και τοποθετήστε το χρησιμοποιώντας το παίζω εικόνισμα. Αντιγράψτε το σημείο προσάρτησης.
Μετακινήστε τον κατάλογο Home στην Κρυπτογραφημένη μονάδα δίσκου
Για ασφάλεια, κλωνοποιήστε τον αρχικό κατάλογο τώρα και διαγράψτε τον κατάλογο προέλευσης αργότερα, αφού η διαδικασία είναι επιτυχής (αντικαταστήστε το "arjunandvishnu" με το όνομα χρήστη σας).
sudo rsync -av /home/* /media/arjunandvishnu/Encrypted/Εκχωρήστε την κυριότητα των αντιγραμμένων αρχείων στον σωστό χρήστη:
sudo chown -Rv arjunandvishnu: arjunandvishnu /media/arjunandvishnu/Encrypted/arjunandvishnuΕάν υπάρχουν περισσότεροι από ένας χρήστες, επαναλάβετε:
sudo chown -Rv pi: pi /media/arjunandvishnu/Encrypted/piΑυτόματη τοποθέτηση του δίσκου
Αυτό το κρυπτογραφημένο διαμέρισμα πρέπει να τοποθετηθεί αυτόματα κατά την εκκίνηση. Επίλεξε το Κρυπτογραφημένο δίσκος, κάντε κλικ στο μηχανισμός έλεγχος και επιλογή Επεξεργασία επιλογών τοποθέτησης.
Μεταβάλλω Προεπιλογές συνεδρίας χρήστη και ρυθμίστε το Σημείο προσάρτησης προς την /home. Αυτό θα προσθέσει μια καταχώρηση στο /etc/fstab αρχείο.
Επανεκκινήστε το Pi και συνδεθείτε. Πρώτον, ο αρχικός κατάλογος πρέπει να έχει 755 δικαιώματα:
sudo chmod 755 /homeΓια να ελέγξετε ότι το διαμέρισμα Κρυπτογραφημένο χρησιμοποιείται για το /home, δημιουργήστε έναν κενό φάκελο στην επιφάνεια εργασίας και επαληθεύστε πλοηγώντας σε αυτόν μέσω του Κρυπτογραφημένο Ευρετήριο.
Σημειώστε ότι στο Raspberry Pi OS, η προεπιλεγμένη διαχείριση αρχείων (pcmanfm) επιτρέπει διαγραφές στον Κάδο Ανακύκλωσης σε αφαιρούμενες μονάδες δίσκου. Για να ενεργοποιήσετε τη διαγραφή στον Κάδο Ανακύκλωσης, καταργήστε την επιλογή της ρύθμισης στις Προτιμήσεις.
Καταργήστε τη φράση πρόσβασης Αποθηκευμένη κρυπτογράφηση
Νωρίτερα, κατά τη διαμόρφωση της κρυπτογράφησης, η φράση πρόσβασης αποθηκεύτηκε. Αυτή η διαμόρφωση δημιουργήθηκε στο /etc/crypttab αρχείο.
Το αρχείο luks-key αποθηκεύεται χωρίς κρυπτογράφηση και ανοίγοντάς το θα αποκαλύψει τον κωδικό πρόσβασης. Αυτό αποτελεί κίνδυνο για την ασφάλεια και πρέπει να αντιμετωπιστεί. Δεν είναι καλό να αφήνουμε την κλειδαριά και το κλειδί μαζί.
Διαγράψτε το αρχείο luks-key και αφαιρέστε την αναφορά του από /etc/crypttab.
sudo rm /etc/luks-keys/YOUR-KEYΤώρα, κάθε φορά που εκκινείτε, το Pi θα ζητά τη φράση πρόσβασης κρυπτογράφησης στην αρχή. Αυτή είναι η αναμενόμενη συμπεριφορά.
Εάν εμφανίζεται μια κενή οθόνη, χρησιμοποιήστε το Πάνω/Κάτω βέλος πλήκτρο για να εμφανιστεί η οθόνη σύνδεσης. Χρήση Backspace για να διαγράψετε τυχόν χαρακτήρες και να πληκτρολογήσετε τη φράση πρόσβασης κρυπτογράφησης. Θα ξεκλειδώσει το κρυπτογραφημένο διαμέρισμα.
Διαγράψτε τον παλιό κατάλογο αρχικής σελίδας
Νωρίτερα, αντί να μετακινηθείτε, αντιγράψατε τον αρχικό κατάλογο. Τα περιεχόμενα του παλιού καταλόγου είναι ακόμη μη κρυπτογραφημένα και πρέπει να διαγραφούν εάν οι πληροφορίες είναι ευαίσθητες. Για να το κάνετε αυτό εύκολα, τοποθετήστε τα μέσα σε άλλον υπολογιστή. Μεταβείτε στον αρχικό κατάλογο OLD στο ριζικό διαμέρισμα της προσαρτημένης εξωτερικής μονάδας δίσκου και διαγράψτε τον (προσοχή).
Η κρυπτογράφηση είναι εύκολη στο Raspberry Pi
Η διασφάλιση των δεδομένων σας είναι ένα θέμα που συχνά θα σας κάνει να περπατήσετε το παραπάνω μίλι στην αρχή, αλλά θα αποδώσει πολύ αργότερα. Πολλά αν και αλλά σχετικά με την κρυπτογράφηση καλύπτονται εδώ. Αλλά στον πυρήνα, οι οδηγίες είναι απλές και η εφαρμογή εύκολη. Δεν υπάρχει κανένας λόγος να φοβόμαστε για την κρυπτογράφηση. Η ανάκτηση δεδομένων είναι επίσης εύκολη, αρκεί να μην ξεχάσετε τη φράση πρόσβασης κρυπτογράφησης.
Εάν αυτή η κρυπτογράφηση έχει ρυθμιστεί μαζί με τον κατοπτρισμό δεδομένων RAID-1, θα προσφέρει ασφάλεια καθώς και ασφάλεια για τα δεδομένα σας από αστοχίες φυσικής μονάδας δίσκου και θα ολοκληρώσει την τέλεια ρύθμιση.
