Slik beskytter du Raspberry Pi-dataene dine mot tap eller tyveri

Raspberry Pis data lagres i operativsystempartisjonen til et microSD-kort eller HDD/SSD. Under installasjonen av operativsystemet er det ingen mulighet for å sette opp krypterte partisjoner (i noen av de populære Pi-operativsystemene). Hvis Pi-mediet blir tapt eller stjålet, kan det kobles til en annen datamaskin og alle data kan leses, uavhengig av et sterkt påloggingspassord eller tilstanden for automatisk pålogging (slått av eller på).

De kompromitterte dataene kan inkludere sensitiv informasjon som "Firefox-profildata", som inneholder påloggingsinformasjon (lagrede brukernavn og passord for ulike nettsteder). Disse sensitive dataene som faller i feil hender kan føre til ID-tyveri. Denne artikkelen er en trinn-for-trinn-veiledning for å beskytte dataene med bruk av kryptering. Det er en engangskonfigurasjon utført ved å bruke GUI-verktøy for enkelhets skyld.

Sammenlignet med en stasjonær eller bærbar datamaskin, har Pi verken skruer eller noen fysisk lås for media. Selv om denne fleksibiliteten gjør det praktisk å bytte operativsystem, er det ikke bra for sikkerheten ved å bytte ut microSD-kortet. Alt som trengs er et sekund for en dårlig skuespiller å fjerne media. Dessuten er microSD-kort så små at det vil være umulig å spore dem.

Det er heller ikke noe klips for microSD-kortsporet på Raspberry Pi. Når du bærer Pi-en rundt, hvis kortet glir av et sted, det er like god mulighet for at noen går gjennom det innhold.

Ulike måter å sikre personlige data på Pi

Noen få Pi-brukere forstår risikoen og krypterer proaktivt individuelle filer. Å angi et hovedpassord for nettlesere er også en vanlig praksis. Men denne ekstra innsatsen må legges ned hver gang.

Med tanke på disse faktorene er det lurt å sette opp kryptering for hele disken. Disken vil forbli uleselig av andre med mindre de har krypteringspassordet, som de selvfølgelig ikke vet og ikke kan spørre deg om. Brute-forcing med en passordordbok vil heller ikke bryte den, fordi du vil angi et passord som er godt nok til å motstå slike angrep.

Bruke den eksisterende disken vs. Sette den opp på en ny disk

Tanken er å lage en kryptert partisjon og sette den til å fungere som hjemmekatalog. Siden alle personopplysninger vanligvis ligger i hjemmekatalogen, vil datasikkerheten forbli intakt.

Det er to forskjellige måter å gjøre det på:

1. Gjør plass til den krypterte partisjonen på disken som brukes for operativsystemet.
2. Bruk en ny SSD eller harddisk, koble den til Pi med en USB til SATA adapter (om nødvendig), og bruk den som den krypterte partisjonen.

Det er visse fordeler med begge konfigurasjoner:

• Den første konfigurasjonen bruker det eksisterende microSD-kortet eller SSD-en og trenger ingen ekstra maskinvare. Ved å være en enkelt disk holder den ting kompakt og er bra for portabilitet.
• Den andre konfigurasjonen er bra for lengre disklevetid på grunn av det lavere antallet skrivinger. Det er også litt raskere siden lesingen/skrivingen er fordelt mellom to disker.

Den første konfigurasjonen diskuteres her siden den har noen flere trinn. Den andre konfigurasjonen er en del av den første, og trinnene for å ekskludere er enkle å forstå.

Installasjon her viser prosessen på Raspberry Pi OS; den samme prosessen kan replikeres for Ubuntu Desktop OS og dets smaker som MATE.

Klargjør disken for kryptering

Siden den krypterte partisjonen vil være på selve OS-disken, må den nødvendige plassen kuttes ut av rotpartisjonen. Dette kan ikke gjøres på en oppstartet Pi siden rotpartisjonen allerede er montert. Så bruk en annen datamaskin som kan kjøre gnome-disk-verktøy, for eksempel en Linux-PC.

Alternativt du kan også dobbeltstarte en Raspberry Pi eller kjør et midlertidig OS med media tilkoblet via USB.

Koble Pis OS-disk til den andre datamaskinen og installer verktøyet for å administrere disken:

sudo apt Oppdater
sudo apt installere gnome-disk-verktøy

Åpen Disker fra menyen eller med kommandoen:

gnome-disker

Et valgfritt trinn på dette punktet er å sikkerhetskopiere disken, spesielt hvis det er viktige data på den. Diskverktøyet har en innebygd funksjon for å lagre hele disken som et bilde. Om nødvendig kan dette bildet gjenopprettes til mediet.

Lag ut plass som trengs for den krypterte disken. Velg rotpartisjon, Klikk på Utstyr kontroll, og velg Endre størrelse

Hvis du bruker et microSD-kort eller en stasjon med 32 GB eller mer kapasitet, tilsett 15 GB for rotpartisjonen og la resten stå for at partisjonen skal krypteres.

Klikk Endre størrelse og Ledig plass vil bli opprettet.

Når du er ferdig, løsner du mediet fra denne datamaskinen. Koble den til din Raspberry Pi og start den opp.

Åpne terminalen og installer Disks-verktøyet på Pi:

sudo apt installere gnome-disk-verktøy -y

Siden kryptering er nødvendig, installer følgende kryptoplugin:

sudo apt installere libblockdev-crypto2 -y

Start Disks-tjenesten på nytt:

sudosystemctlomstartudisks2.service

Sett opp kryptering ved å bruke GUI: Den enkle måten

Åpne Disk-verktøyet fra menyen eller med kommandoen:

gnome-disker

Å velge Ledig plass og klikk på + symbol for å lage partisjonen.

La partisjonsstørrelsen stå som standard på maksimum og klikk Neste.

Gi en Volumnavn; for eksempel, Kryptert. Å velge EXT4 og sjekk Passordbeskyttelsesvolum (LUKS).

Gi en passordfrase, en sterk en. Selv om det anbefales å bruke en blanding av tall og spesialtegn, vil bare lengden på passordet gjøre det umulig å hacke via brute-forcing. For eksempel vil det ta noen millioner år å bruke et passord på 17 tegn brutalt til å bruke dagens raskeste datamaskiner. Så du kan bruke en veldig lang setning etter å ha avkortet mellomrommene.

Klikk Skape, og den krypterte partisjonen skal være klar.

Hvis du møter en feil med /etc/crypttab oppføring, lag en tom fil ved å bruke:

sudo touch /etc/crypttab

Og gjenta deretter prosessen med å lage partisjonen ved å bruke + symbol.

Partisjonen er nå LUKS-kryptert, men den må låses opp ved oppstart. En oppføring må opprettes i /etc/crypttab fil. Velg partisjonen, klikk på utstyr kontrollere, og velg Rediger krypteringsalternativer.

Veksle Standarder for brukerøkt, kryss av Lås opp ved systemstart, gi Passord, og klikk OK.

Velg nå Kryptert partisjon og monter den ved hjelp av spille ikon. Kopier monteringspunkt.

Flytt hjemmekatalogen til den krypterte stasjonen

For sikkerhets skyld, klone hjemmekatalogen nå og slett kildekatalogen senere, etter at prosessen er vellykket (erstatt "arjunandvishnu" med brukernavnet ditt).

sudo rsync -av /home/* /media/arjunandvishnu/Encrypted/

Gi eierskap til de kopierte filene til riktig bruker:

sudo chown -Rv arjunandvishnu: arjunandvishnu /media/arjunandvishnu/Encrypted/arjunandvishnu

Hvis det er mer enn én bruker, gjenta:

sudo chown -Rv pi: pi /media/arjunandvishnu/Encrypted/pi

Monter disken automatisk

Denne krypterte partisjonen må monteres automatisk ved oppstart. Velg Kryptert disk, klikk på utstyr kontroll, og velg Rediger monteringsalternativer.

Veksle Standarder for brukerøkt og still inn Mount Point til /home. Dette vil legge til en oppføring i /etc/fstab fil.

Start Pi-en på nytt og logg på. For det første må hjemmekatalogen ha 755 tillatelser:

sudo chmod 755 /hjem

For å kontrollere at den krypterte partisjonen brukes for /home, opprett en tom mappe på skrivebordet og kontroller ved å navigere til den gjennom Kryptert katalog.

Merk at enn på Raspberry Pi OS, tillater standard filbehandling (pcmanfm) slettinger til papirkurven på flyttbare stasjoner. For å aktivere sletting til papirkurven, fjern merket for innstillingen i Innstillinger.

Fjern passordfrasen for lagret kryptering

Tidligere, mens du konfigurerte kryptering, ble passordfrasen lagret. Denne konfigurasjonen ble opprettet i /etc/crypttab fil.

Luks-key-filen din lagres ukryptert, og åpning av den vil avsløre passordet. Dette er en sikkerhetsrisiko og må håndteres. Det nytter ikke å la låsen og nøkkelen stå sammen.

Slett luks-key-filen og fjern referansen fra /etc/crypttab.

sudo rm /etc/luks-keys/YOUR-KEY

Nå, hver gang du starter opp, vil Pi be om krypteringspassordet ved starten. Dette er forventet oppførsel.

Hvis en tom skjerm vises, bruk Pil opp/ned tasten for at påloggingsskjermen skal vises. Bruk Tilbake for å slette eventuelle tegn og taste inn krypteringspassordet ditt. Det vil låse opp den krypterte partisjonen.

Slett den gamle hjemmekatalogen

Tidligere, i stedet for å flytte, kopierte du hjemmekatalogen. Innholdet i den gamle katalogen er fortsatt ukryptert og må slettes hvis informasjonen er sensitiv. For å gjøre dette enkelt, monter mediet på en annen datamaskin. Naviger til den GAMLE hjemmekatalogen i rotpartisjonen til den monterte eksterne stasjonen og slett den (vær forsiktig).

Kryptering er enkelt på Raspberry Pi

Sikring av dataene dine er et tema som ofte vil få deg til å gå den ekstra milen i starten, men som vil lønne seg godt senere. Mange hvis og men om kryptering er dekket her. Men i kjernen er instruksjonene enkle og implementeringen er enkel. Det er ingen grunn til å bli skremt om kryptering; å gjenopprette data er også enkelt, så lenge du ikke glemmer krypteringspassordet.

Hvis denne krypteringen er satt opp sammen med RAID-1-dataspeiling, vil den tilby sikkerhet så vel som sikkerhet for dataene dine fra fysiske stasjonsfeil og vil fullføre det perfekte oppsettet.