Подаци Распберри Пи-ја се чувају на партицији оперативног система мицроСД картице или ХДД/ССД-а. Током инсталације ОС-а, не постоји опција за подешавање шифрованих партиција (у било ком од популарних Пи оперативних система). Ако се медиј Пи изгуби или украде, може се повезати са другим рачунаром и сви подаци се могу прочитати, без обзира на јаку лозинку за пријаву или стање аутоматске пријаве (искључено или укључено).
Компромитовани подаци могу укључивати осетљиве информације као што су „Подаци о Фирефок профилу“, који садрже акредитиве за пријаву (сачувана корисничка имена и лозинке за различите веб локације). Ови осетљиви подаци који доспеју у погрешне руке могу довести до крађе личне карте. Овај чланак је водич корак по корак за заштиту података коришћењем шифровања. То је једнократна конфигурација која се постиже коришћењем ГУИ алата ради једноставности.
У поређењу са десктоп или лаптоп рачунаром, Пи нема ни шрафове ни било какву физичку браву за своје медије. Иако ова флексибилност чини згодним пребацивање оперативних система, заменом мицроСД картице то није добро за безбедност. Све што је потребно је секунда да лош глумац уклони своје медије. Осим тога, мицроСД картице су толико мале да ће њихово праћење бити немогуће.
Такође, на Распберри Пи-у не постоји клип за слот за мицроСД картицу. Када носите Пи около, ако картица негде исклизне, исто тако постоји могућност да неко прође кроз њу садржаја.
Различити начини обезбеђења личних података на Пи
Неколико корисника Пи разуме ризик и проактивно шифрује појединачне датотеке. Постављање главне лозинке за претраживаче је такође уобичајена пракса. Али, сваки пут треба уложити овај додатни напор.
Узимајући у обзир ове факторе, паметно је да подесите енкрипцију за цео диск. Диск ће остати нечитљив за друге осим ако немају шифру за шифровање, коју, наравно, не знају и не могу да вас питају. Ни грубо присиљавање помоћу речника лозинки га неће разбити, јер ћете поставити лозинку која је довољно добра да одоли таквим нападима.
Коришћење постојећег диска вс. Подешавање на новом диску
Идеја је да направите шифровану партицију и поставите је да ради као кућни директоријум. Пошто се сви лични подаци обично налазе у кућном именику, безбедност података ће остати нетакнута.
Постоје два различита начина да се то уради:
- Направите простор за шифровану партицију на диску који се тренутно користи за ОС.
- Користите нови ССД или хард диск, повежите га са Пи помоћу а УСБ на САТА адаптер (ако је потребно) и користите је као шифровану партицију.
Постоје одређене предности са обе конфигурације:
- Прва конфигурација користи постојећу мицроСД картицу или ССД и не треба јој додатни хардвер. Будући да је један диск, он држи ствари компактним и добар је за преносивост.
- Друга конфигурација је добра за дужи век трајања диска због мањег броја уписивања. Такође је мало бржи јер се читање/уписивање дистрибуира између два диска.
Овде се говори о првој конфигурацији јер има још неколико корака. Друга конфигурација је део прве и кораци за искључивање су лаки за разумевање.
Инсталација овде приказује процес на Распберри Пи ОС; исти процес се може реплицирати за Убунту Десктоп ОС и његове укусе као што је МАТЕ.
Припремите диск за шифровање
Од шифровану партицију ће бити на самом ОС диску, потребан простор мора бити изрезан из роот партиције. Ово се не може урадити на покренутом Пи пошто је роот партиција већ монтирана. Дакле, користите други рачунар који може да покрене гноме-диск-утилити, као што је Линук рачунар.
Алтернативно, такође можете два пута да покренете Распберри Пи или покрените привремени ОС са медијима повезаним преко УСБ-а.
Повежите свој Пи ОС диск са другим рачунаром и инсталирајте алатку за управљање диском:
судо апт ажурирање
судо апт инсталирај гноме-диск-утилити
Отвори Дискови из менија или командом:
гноме-дискови
Опциони корак у овом тренутку је прављење резервне копије диска, посебно ако се на њему налазе важни подаци. Алат Дискови има уграђену функцију за чување целог диска као слике. Ако је потребно, ова слика се може вратити на медиј.
Одвојите простор потребан за шифровани диск. Изаберите роот партиција, кликните Геар контролишите и изаберите Промените величину
Ако користите мицроСД картицу или диск са 32 ГБ или већим капацитетом, доделите 15ГБ за роот партицију, а остатак оставите да се партиција шифрује.
Кликните Промените величину анд тхе Слободан простор биће створена.
Када завршите, избаците медијум са овог рачунара. Повежите га са својим Распберри Пи и покрените га.
Отворите терминал и инсталирајте алатку Дискс на Пи:
судо апт инсталирај гноме-диск-утилити -и
Пошто је шифровање потребно, инсталирајте следећи крипто додатак:
судо апт инсталирај либблоцкдев-црипто2 -и
Поново покрените Дискс услугу:
судосистемцтлпоново покренутиудискс2.сервис
Подесите шифровање користећи ГУИ: једноставан начин
Отворите алатку Дискови из менија или командом:
гноме-дискови
Изаберите Слободан простор и кликните на + симбол за креирање партиције.
Оставите величину партиције на подразумевану максимум и кликните Следећи.
Дај Назив свеске; на пример, Шифровано. Изаберите ЕКСТ4 и провери Волумен заштите лозинком (ЛУКС).
Дајте приступну фразу, јаку. Иако се саветује да се користи мешавина бројева и специјалних знакова, сама дужина лозинке ће онемогућити хаковање путем грубог присиљавања. На пример, лозинки од 17 знакова биће потребно неколико милиона година да се грубом силом уведе у коришћење данашњих најбржих рачунара. Дакле, можете користити заиста дугу реченицу након што скраћите размаке.
Кликните Креирај, а шифрована партиција би требало да буде спремна.
Ако наиђете на грешка са /etc/crypttab унос, креирајте празну датотеку користећи:
судо додирните /етц/црипттаб
А затим поновите процес креирања партиције користећи + симбол.
Партиција је сада ЛУКС шифрована, али мора бити откључана при покретању. Потребно је креирати унос у /etc/crypttab фајл. Изаберите партицију, кликните на зупчаник контролишите и бирајте Уредите опције шифровања.
Искључи Подразумеване вредности корисничке сесије, проверавати Откључајте при покретању система, обезбедити Пасспхрасе, и кликните У реду.
Сада изаберите Шифровано преградите и монтирајте помоћу игра икона. Копирај тачка монтирања.
Преместите почетни директоријум на шифровани диск
Ради сигурности, клонирајте почетни директоријум сада и избришите изворни директоријум касније, након што је процес успешан (замените „арјунандвисхну“ својим корисничким именом).
судо рсинц -ав /хоме/* /медиа/арјунандвисхну/Енцриптед/
Дајте власништво над копираним датотекама исправном кориснику:
судо цховн -Рв арјунандвисхну: арјунандвисхну /медиа/арјунандвисхну/Енцриптед/арјунандвисхну
Ако постоји више корисника, поновите:
судо цховн -Рв пи: пи /медиа/арјунандвисхну/Енцриптед/пи
Аутоматски монтирајте диск
Ова шифрована партиција мора бити аутоматски монтирана при покретању. Изаберите Шифровано диск, кликните на зупчаник контролишите и изаберите Уредите опције монтирања.
Искључи Подразумеване вредности корисничке сесије и поставите Моунт Поинт до /home. Ово ће додати унос у /etc/fstab фајл.
Поново покрените Пи и пријавите се. Прво, кућни директоријум мора имати 755 дозвола:
судо цхмод 755 /хоме
Да бисте проверили да ли се шифрована партиција користи за /хоме, направите празну фасциклу на радној површини и проверите тако што ћете отићи до ње кроз Шифровано именик.
Имајте на уму да на Распберри Пи ОС-у подразумевани менаџер датотека (пцманфм) дозвољава брисање корпе за отпатке на преносивим дисковима. Да бисте омогућили брисање у корпу за отпатке, поништите ознаку подешавања у Преференцес.
Уклоните сачувану шифру за шифровање
Раније, приликом конфигурисања шифровања, приступна фраза је била сачувана. Ова конфигурација је креирана у /etc/crypttab фајл.
Ваша лукс-кеи датотека се чува нешифрована и отварањем ће се открити лозинка. Ово је безбедносни ризик и мора се решити. Није добро оставити браву и кључ заједно.
Избришите своју лукс-кеи датотеку и уклоните њену референцу из /etc/crypttab.
судо рм /етц/лукс-кеис/ИОУР-КЕИ
Сада, сваки пут када покренете, Пи ће тражити шифру за шифровање на почетку. Ово је очекивано понашање.
Ако је приказан празан екран, користите Стрелица горе/доле тастер да би се приказао екран за пријаву. Користите Бацкспаце да обришете све знакове и кључ у шифри за шифровање. То ће откључати шифровану партицију.
Избришите стари кућни именик
Раније, уместо премештања, копирали сте почетни директоријум. Садржај старог директоријума је још увек нешифрован и мора се избрисати ако су информације осетљиве. Да бисте то лако урадили, монтирајте медијум на други рачунар. Идите до СТАРИ кућни директоријум у основној партицији монтираног екстерног диска и избришите га (будите опрезни).
Шифровање је једноставно на Распберри Пи
Обезбеђивање ваших података је тема која ће вас често натерати да пређете додатну миљу на почетку, али ће вам се касније добро исплатити. Овде је покривено много „ако и али“ о шифровању. Али у суштини, упутства су једноставна и имплементација је лака. Нема разлога да се плашите шифровања; опоравити податке је такође лако, све док не заборавите приступну фразу за шифровање.
Ако је ова енкрипција подешена заједно са РАИД-1 пресликавањем података, она ће понудити сигурност као и сигурност ваших података од кварова на физичком диску и завршиће савршено подешавање.