De gegevens van de Raspberry Pi worden opgeslagen in de besturingssysteempartitie van een microSD-kaart of HDD/SSD. Tijdens de installatie van het besturingssysteem is er geen optie om versleutelde partities in te stellen (in een van de populaire Pi-besturingssystemen). Als de media van de Pi verloren of gestolen zijn, kan deze op een andere computer worden aangesloten en kunnen alle gegevens worden gelezen, ongeacht een sterk inlogwachtwoord of de status van automatisch inloggen (in- of uitgeschakeld).

De gecompromitteerde gegevens kunnen gevoelige informatie bevatten, zoals "Firefox-profielgegevens", die inloggegevens bevatten (opgeslagen gebruikersnamen en wachtwoorden voor verschillende websites). Deze gevoelige gegevens die in verkeerde handen vallen, kunnen leiden tot identiteitsdiefstal. Dit artikel is een stapsgewijze handleiding om de gegevens te beschermen met behulp van codering. Het is een eenmalige configuratie die wordt bereikt met behulp van GUI-tools voor eenvoud.

In vergelijking met een desktop- of laptopcomputer heeft de Pi geen schroeven of een fysiek slot voor zijn media. Hoewel deze flexibiliteit het gemakkelijk maakt om van besturingssysteem te wisselen, is het niet goed voor de veiligheid door de microSD-kaart te verwisselen. Het enige dat een slechte acteur nodig heeft, is een seconde om zijn media te verwijderen. Bovendien zijn microSD-kaarten zo klein dat het onmogelijk is ze te traceren.

instagram viewer

Ook is er geen clip voor de microSD-kaartsleuf op de Raspberry Pi. Als je de Pi ronddraagt, als de kaart glijdt ergens af, er is net zo goed een mogelijkheid dat iemand er doorheen gaat inhoud.

Verschillende manieren om persoonlijke gegevens op de Pi. te beveiligen

Een paar Pi-gebruikers begrijpen het risico en versleutelen proactief individuele bestanden. Het instellen van een hoofdwachtwoord voor browsers is ook een gangbare praktijk. Maar deze extra inspanning moet elke keer worden geleverd.

Gezien deze factoren is het verstandig om: encryptie instellen voor de hele schijf. De schijf blijft onleesbaar voor anderen, tenzij ze de coderingswachtzin hebben, die ze natuurlijk niet kennen en u niet kunnen vragen. Brute forceren met een wachtwoordwoordenboek zal het ook niet breken, omdat je een wachtwoord instelt dat goed genoeg is om dergelijke aanvallen te weerstaan.

De bestaande schijf gebruiken vs. Het instellen op een nieuwe schijf

Het idee is om een ​​gecodeerde partitie te maken en deze in te stellen als de thuismap. Aangezien alle persoonlijke gegevens zich meestal in de homedirectory bevinden, blijft de gegevensbeveiliging intact.

Er zijn twee verschillende manieren om dit te doen:

  1. Maak ruimte vrij voor de versleutelde partitie op de schijf die momenteel wordt gebruikt voor het besturingssysteem.
  2. Gebruik een nieuwe SSD of harde schijf, sluit deze aan op de Pi met een USB naar SATA-adapter (indien nodig) en gebruik het als de versleutelde partitie.

Beide configuraties hebben bepaalde voordelen:

  • De eerste configuratie maakt gebruik van de bestaande microSD-kaart of SSD en heeft geen extra hardware nodig. Omdat het een enkele schijf is, houdt het de zaken compact en is het goed voor draagbaarheid.
  • De tweede configuratie is goed voor een langere levensduur van de schijf vanwege het lagere aantal schrijfbewerkingen. Het is ook iets sneller omdat het lezen/schrijven wordt verdeeld over twee schijven.

De eerste configuratie wordt hier besproken omdat deze nog een paar stappen heeft. De tweede configuratie maakt deel uit van de eerste en de stappen om uit te sluiten zijn gemakkelijk te begrijpen.

Installatie hier toont het proces op Raspberry Pi OS; hetzelfde proces kan worden gerepliceerd voor Ubuntu Desktop OS en zijn smaken zoals MATE.

Bereid de schijf voor op versleuteling

Sinds de versleutelde partitie op de OS-schijf zelf staat, moet de vereiste ruimte uit de rootpartitie worden gehaald. Dit kan niet worden gedaan op een opgestarte Pi, omdat de rootpartitie al is aangekoppeld. Gebruik dus een andere computer waarop gnome-disk-utility kan worden uitgevoerd, zoals een Linux-pc.

Alternatief, je kunt een Raspberry Pi ook dual-booten of voer een tijdelijk besturingssysteem uit met media aangesloten via USB.

Verbind de OS-schijf van je Pi met de andere computer en installeer de tool om de schijf te beheren:

sudo apt update
sudo apt installeren gnome-disk-utility

Open Schijven vanuit het menu of met het commando:

gnome-schijven

Een optionele stap op dit punt is het maken van een back-up van de schijf, vooral als er belangrijke gegevens op staan. Het hulpprogramma Schijven heeft een ingebouwde functie om de hele schijf als een afbeelding op te slaan. Indien nodig kan deze afbeelding weer op de media worden hersteld.

Maak ruimte vrij die nodig is voor de versleutelde schijf. Selecteer de root partitie, Klik op de Versnelling controle, en selecteer Formaat wijzigen

Als u een microSD-kaart of schijf met een capaciteit van 32 GB of meer gebruikt, wijst u 15GB voor de rootpartitie en laat de rest om de partitie te versleutelen.

Klik Formaat wijzigen en de Vrije ruimte zal gemaakt worden.

Als u klaar bent, verwijdert u de media uit deze computer. Sluit hem aan op je Raspberry Pi en start hem op.

Open de terminal en installeer het hulpprogramma Schijven op de Pi:

sudo apt installeren gnome-disk-utility -y

Aangezien codering nodig is, installeert u de volgende crypto-plug-in:

sudo apt installeren libblockdev-crypto2 -y

Start de Disks-service opnieuw:

sudosystemctlherstartenudisks2.onderhoud

Versleuteling instellen met behulp van GUI: de gemakkelijke manier

Open het hulpprogramma Schijven vanuit het menu of met de opdracht:

gnome-schijven

Selecteer Vrije ruimte en klik op de + symbool om de partitie te maken.

Laat de partitiegrootte op de standaardwaarde van maximum staan ​​en klik op Volgende.

Geef een Volumenaam; bijvoorbeeld, versleuteld. Selecteer EXT4 en check Wachtwoordbeveiligd volume (LUKS).

Geef een wachtwoordzin, een sterke. Hoewel het wordt aangeraden om een ​​combinatie van cijfers en speciale tekens te gebruiken, maakt alleen de enorme lengte van het wachtwoord het onmogelijk om via brute-forcing te hacken. Het kost bijvoorbeeld een paar miljoen jaar om een ​​wachtwoord van 17 tekens met brute kracht te gebruiken om de snelste computers van vandaag te gebruiken. U kunt dus een hele lange zin gebruiken na het afkappen van de spaties.

Klik Creëren, en de versleutelde partitie zou klaar moeten zijn.

Als je een tegenkomt fout met de /etc/crypttab invoer, maak dan een leeg bestand aan met:

sudo touch /etc/crypttab

En herhaal dan het proces van het maken van de partitie met behulp van de + symbool.

De partitie is nu versleuteld met LUKS, maar moet bij het opstarten worden ontgrendeld. Er moet een invoer worden gemaakt in de /etc/crypttab het dossier. Selecteer de partitie, klik op de versnelling controle, en kies Versleutelingsopties bewerken.

Schakelaar Standaardinstellingen gebruikerssessie, controleren Ontgrendelen bij het opstarten van het systeem, lever de Wachtwoordzinen klik op Oké.

Selecteer nu de versleuteld partitie en mount deze met behulp van de Speel icoon. Kopieer de koppelpunt.

Verplaats de basismap naar de versleutelde schijf

Kloon voor de veiligheid nu de homedirectory en verwijder de brondirectory later, nadat het proces succesvol is verlopen (vervang "arjunandvishnu" door uw gebruikersnaam).

sudo rsync -av /home/* /media/arjunandvishnu/Encrypted/

Geef het eigendom van de gekopieerde bestanden aan de juiste gebruiker:

sudo chown -Rv arjunandvishnu: arjunandvishnu /media/arjunandvishnu/Encrypted/arjunandvishnu

Als er meer dan één gebruiker is, herhaal dan:

sudo chown -Rv pi: pi /media/arjunandvishnu/Encrypted/pi

Koppel de schijf automatisch

Deze versleutelde partitie moet automatisch worden gemount bij het opstarten. Selecteer de versleuteld schijf, klik op de versnelling controle, en selecteer Koppelingsopties bewerken.

Schakelaar Standaardinstellingen gebruikerssessie en stel de Koppelpunt tot /home. Dit zal een item toevoegen aan de /etc/fstab het dossier.

Start de Pi opnieuw op en log in. Ten eerste moet de homedirectory 755 machtigingen hebben:

sudo chmod 755 /home

Om te controleren of de gecodeerde partitie wordt gebruikt voor /home, maakt u een lege map op het bureaublad en controleert u door ernaar te navigeren via de versleuteld map.

Merk op dat op Raspberry Pi OS de standaard bestandsbeheerder (pcmanfm) verwijderingen naar de Prullenbak op verwisselbare schijven toestaat. Schakel de instelling in Voorkeuren uit om verwijdering naar de Prullenbak in te schakelen.

De opgeslagen wachtwoordzin voor codering verwijderen

Eerder, tijdens het configureren van codering, werd de wachtwoordzin opgeslagen. Deze configuratie is gemaakt in de /etc/crypttab het dossier.

Uw luks-key-bestand wordt onversleuteld opgeslagen en als u het opent, wordt het wachtwoord onthuld. Dit is een veiligheidsrisico en moet worden aangepakt. Het heeft geen zin om het slot en de sleutel bij elkaar te laten.

Verwijder uw luks-key-bestand en verwijder de verwijzing uit /etc/crypttab.

sudo rm /etc/luks-keys/YOUR-KEY

Nu, elke keer dat je opstart, zal de Pi aan het begin om de coderingswachtwoordzin vragen. Dit is het verwachte gedrag.

Als er een leeg scherm wordt weergegeven, gebruikt u de Pijl omhoog/omlaag toets om het inlogscherm te laten verschijnen. Gebruiken Backspace om alle tekens en sleutels in uw coderingswachtwoord te wissen. Het zal de gecodeerde partitie ontgrendelen.

De oude thuismap verwijderen

Eerder, in plaats van te verplaatsen, kopieerde u de homedirectory. De inhoud van de oude directory is nog steeds niet versleuteld en moet worden verwijderd als de informatie gevoelig is. Om dit gemakkelijk te doen, koppelt u de media op een andere computer. Navigeer naar de OUDE thuismap in de rootpartitie van de aangekoppelde externe schijf en verwijder deze (wees voorzichtig).

Encryptie is eenvoudig op Raspberry Pi

Het beveiligen van uw gegevens is een onderwerp dat u in het begin vaak een stapje extra zal doen lopen, maar dat later goed zal renderen. Veel mitsen en maren over encryptie komen hier aan bod. Maar in de kern zijn de instructies eenvoudig en is de implementatie eenvoudig. Er is geen reden om je te laten intimideren over encryptie; het herstellen van gegevens is ook eenvoudig, zolang u de coderingswachtzin niet vergeet.

Als deze codering samen met RAID-1-gegevensmirroring wordt ingesteld, biedt het zowel beveiliging als beveiliging voor uw gegevens tegen fysieke schijfstoringen en voltooit het de perfecte installatie.