Die Daten des Raspberry Pi werden in der Betriebssystempartition einer microSD-Karte oder HDD/SSD gespeichert. Während der Installation des Betriebssystems gibt es keine Möglichkeit, verschlüsselte Partitionen einzurichten (in keinem der gängigen Pi-Betriebssysteme). Wenn das Medium des Pi verloren geht oder gestohlen wird, kann es mit einem anderen Computer verbunden werden und alle Daten können gelesen werden, unabhängig von einem starken Anmeldepasswort oder dem Zustand der automatischen Anmeldung (aus- oder eingeschaltet).
Die kompromittierten Daten können vertrauliche Informationen wie „Firefox-Profildaten“ enthalten, die Anmeldeinformationen (gespeicherte Benutzernamen und Passwörter für verschiedene Websites) enthalten. Diese sensiblen Daten, die in falsche Hände geraten, können zu ID-Diebstahl führen. Dieser Artikel ist eine Schritt-für-Schritt-Anleitung zum Schutz der Daten durch Verschlüsselung. Es handelt sich um eine einmalige Konfiguration, die der Einfachheit halber mit GUI-Tools durchgeführt wird.
Im Vergleich zu einem Desktop- oder Laptop-Computer hat der Pi weder Schrauben noch ein physisches Schloss für seine Medien. Diese Flexibilität macht es zwar bequem, das Betriebssystem zu wechseln, aber das Austauschen der microSD-Karte ist nicht gut für die Sicherheit. Ein schlechter Schauspieler braucht nur eine Sekunde, um seine Medien zu entfernen. Außerdem sind microSD-Karten so winzig, dass eine Rückverfolgung unmöglich ist.
Außerdem gibt es beim Raspberry Pi keinen Clip für den microSD-Kartensteckplatz. Wenn Sie den Pi herumtragen, wenn Die Karte rutscht irgendwo ab, es kann genauso gut jemand durchgehen Inhalt.
Verschiedene Möglichkeiten, persönliche Daten auf dem Pi zu sichern
Einige wenige Pi-Benutzer verstehen das Risiko und verschlüsseln proaktiv einzelne Dateien. Das Festlegen eines Master-Passworts für Browser ist ebenfalls gängige Praxis. Aber dieser zusätzliche Aufwand muss jedes Mal investiert werden.
In Anbetracht dieser Faktoren ist es ratsam Richten Sie die Verschlüsselung für die gesamte Festplatte ein. Die Festplatte bleibt für andere unlesbar, es sei denn, sie haben die Verschlüsselungs-Passphrase, die sie natürlich nicht kennen und Sie nicht fragen können. Brute-Forcing mit einem Passwortwörterbuch wird es auch nicht brechen, weil Sie ein Passwort setzen, das gut genug ist, um solchen Angriffen zu widerstehen.
Verwenden der vorhandenen Festplatte vs. Einrichten auf einer neuen Festplatte
Die Idee ist, eine verschlüsselte Partition zu erstellen und sie als Home-Verzeichnis einzurichten. Da sich in der Regel alle persönlichen Daten im Home-Verzeichnis befinden, bleibt die Datensicherheit gewahrt.
Es gibt zwei verschiedene Möglichkeiten, dies zu tun:
- Schaffen Sie Platz für die verschlüsselte Partition auf der Festplatte, die derzeit für das Betriebssystem verwendet wird.
- Verwenden Sie eine neue SSD oder Festplatte, verbinden Sie diese mit dem Pi mit a USB-zu-SATA-Adapter (falls erforderlich) und als verschlüsselte Partition verwenden.
Bei beiden Konfigurationen gibt es gewisse Vorteile:
- Die erste Konfiguration verwendet die vorhandene microSD-Karte oder SSD und benötigt keine zusätzliche Hardware. Da es sich um eine einzelne Festplatte handelt, hält es die Dinge kompakt und ist gut für die Portabilität.
- Die zweite Konfiguration ist aufgrund der geringeren Anzahl von Schreibvorgängen gut für eine längere Lebensdauer der Festplatte. Es ist auch etwas schneller, da die Lese-/Schreibvorgänge auf zwei Festplatten verteilt werden.
Die erste Konfiguration wird hier besprochen, da sie einige Schritte mehr umfasst. Die zweite Konfiguration ist ein Teil der ersten und die auszuschließenden Schritte sind leicht verständlich.
Die Installation hier zeigt den Prozess auf Raspberry Pi OS; Der gleiche Prozess kann für Ubuntu Desktop OS und seine Varianten wie MATE repliziert werden.
Bereiten Sie die Festplatte für die Verschlüsselung vor
Seit die verschlüsselte Partition auf dem Betriebssystemdatenträger selbst befinden, muss der erforderliche Speicherplatz aus der Root-Partition herausgeschnitten werden. Dies ist auf einem gebooteten Pi nicht möglich, da die Root-Partition bereits gemountet ist. Verwenden Sie also einen anderen Computer, auf dem das Dienstprogramm gnome-disk-utility ausgeführt werden kann, z. B. einen Linux-PC.
Alternative, Sie können einen Raspberry Pi auch doppelt booten oder führen Sie ein temporäres Betriebssystem mit über USB angeschlossenen Medien aus.
Verbinden Sie die OS-Festplatte Ihres Pi mit dem anderen Computer und installieren Sie das Tool zur Verwaltung der Festplatte:
sudo apt aktualisieren
sudo apt Installieren gnome-disk-utilityOffen Festplatten aus dem Menü oder mit dem Befehl:
Gnome-FestplattenEin optionaler Schritt an dieser Stelle ist das Sichern der Festplatte, insbesondere wenn sich wichtige Daten darauf befinden. Das Festplatten-Tool verfügt über eine integrierte Funktion zum Speichern der gesamten Festplatte als Image. Bei Bedarf kann dieses Image auf dem Medium wiederhergestellt werden.
Schaffen Sie Platz, der für die verschlüsselte Festplatte benötigt wird. Wähle aus Root-Partition, drücke den Gang steuern und auswählen Größe ändern
Wenn Sie eine microSD-Karte oder ein Laufwerk mit 32 GB oder mehr Kapazität verwenden, ordnen Sie zu 15 GB für die Root-Partition und belassen Sie den Rest für die zu verschlüsselnde Partition.
Klicken Größe ändern und die Freiraum wird erstellt.
Wenn Sie fertig sind, werfen Sie das Medium von diesem Computer aus. Verbinden Sie es mit Ihrem Raspberry Pi und starten Sie es.
Öffnen Sie das Terminal und installieren Sie das Disks-Tool auf dem Pi:
sudo apt Installieren gnome-disk-utility -yDa eine Verschlüsselung erforderlich ist, installieren Sie das folgende Krypto-Plug-in:
sudo apt Installieren libblockdev-crypto2 -yStarten Sie den Datenträgerdienst neu:
sudosystemctlneu startenudisks2.ServiceVerschlüsselung mit GUI einrichten: Der einfache Weg
Öffnen Sie das Datenträger-Tool über das Menü oder mit dem Befehl:
Gnome-FestplattenAuswählen Freiraum und klicken Sie auf die + Symbol, um die Partition zu erstellen.
Belassen Sie die Partitionsgröße auf dem Standardwert von Maximum und klicken Sie auf Nächste.
Gib ein Volume-Name; zum Beispiel, Verschlüsselt. Auswählen EXT4 und prüfe Kennwortgeschütztes Volume (LUKS).
Geben Sie eine Passphrase ein, eine starke. Es wird zwar empfohlen, eine Mischung aus Zahlen und Sonderzeichen zu verwenden, aber allein die schiere Länge des Passworts macht es unmöglich, es per Brute-Force zu hacken. Zum Beispiel wird ein 17-stelliges Passwort ein paar Millionen Jahre brauchen, um mit Brute-Force die schnellsten Computer von heute zu benutzen. Sie können also einen wirklich langen Satz verwenden, nachdem Sie die Leerzeichen abgeschnitten haben.
Klicken Schaffen, und die verschlüsselte Partition sollte fertig sein.
Wenn Sie auf eine treffen Error mit dem /etc/crypttab Eintrag, erstellen Sie eine leere Datei mit:
sudo touch /etc/crypttabWiederholen Sie dann den Vorgang zum Erstellen der Partition mit der + Symbol.
Die Partition ist jetzt LUKS-verschlüsselt, muss aber beim Booten entsperrt werden. Dazu muss ein Eintrag erstellt werden /etc/crypttab Datei. Wählen Sie die Partition aus, klicken Sie auf die Ausrüstung kontrollieren und wählen Verschlüsselungsoptionen bearbeiten.
Umschalten Standardeinstellungen für Benutzersitzungen, überprüfen Beim Systemstart entsperren, zur Verfügung stellen Passphrase, und klicken Sie OK.
Wählen Sie nun die aus Verschlüsselt partitionieren und mit dem mounten abspielen Symbol. Kopiere das Einhängepunkt.
Verschieben Sie das Basisverzeichnis auf das verschlüsselte Laufwerk
Klonen Sie zur Sicherheit jetzt das Home-Verzeichnis und löschen Sie das Quellverzeichnis später, nachdem der Vorgang erfolgreich war (ersetzen Sie "arjunandvishnu" durch Ihren Benutzernamen).
sudo rsync -av /home/* /media/arjunandvishnu/Encrypted/Weisen Sie dem richtigen Benutzer das Eigentum an den kopierten Dateien zu:
sudo chown -Rv arjunandvishnu: arjunandvishnu /media/arjunandvishnu/Encrypted/arjunandvishnuWenn es mehr als einen Benutzer gibt, wiederholen Sie:
sudo chown -Rv pi: pi /media/arjunandvishnu/Encrypted/piMounten Sie die Festplatte automatisch
Diese verschlüsselte Partition muss beim Booten automatisch gemountet werden. Wähle aus Verschlüsselt Festplatte, klicken Sie auf die Ausrüstung steuern und auswählen Mount-Optionen bearbeiten.
Umschalten Standardeinstellungen für Benutzersitzungen und setze die Einhängepunkt zu /home. Dadurch wird ein Eintrag hinzugefügt /etc/fstab Datei.
Starten Sie den Pi neu und melden Sie sich an. Erstens muss das Home-Verzeichnis 755-Berechtigungen haben:
sudo chmod 755 /homeUm zu überprüfen, ob die verschlüsselte Partition für /home verwendet wird, erstellen Sie einen leeren Ordner auf dem Desktop und überprüfen Sie ihn, indem Sie durch die Verschlüsselt Verzeichnis.
Beachten Sie, dass der standardmäßige Dateimanager (pcmanfm) im Fall von Raspberry Pi OS das Löschen im Papierkorb auf Wechseldatenträgern zulässt. Um das Löschen in den Papierkorb zu aktivieren, deaktivieren Sie die Einstellung in den Einstellungen.
Entfernen Sie die gespeicherte Verschlüsselungspassphrase
Zuvor wurde beim Konfigurieren der Verschlüsselung die Passphrase gespeichert. Diese Konfiguration wurde im erstellt /etc/crypttab Datei.
Ihre Luks-Key-Datei wird unverschlüsselt gespeichert und beim Öffnen wird das Passwort preisgegeben. Dies ist ein Sicherheitsrisiko und muss behoben werden. Es bringt nichts, Schloss und Schlüssel zusammen zu lassen.
Löschen Sie Ihre luks-key-Datei und entfernen Sie ihre Referenz aus /etc/crypttab.
sudo rm /etc/luks-keys/YOUR-KEYJetzt fragt der Pi bei jedem Start nach der Verschlüsselungs-Passphrase beim Start. Dies ist das erwartete Verhalten.
Wenn ein leerer Bildschirm angezeigt wird, verwenden Sie die Pfeil nach oben/unten drücken, damit der Anmeldebildschirm angezeigt wird. Verwenden Rücktaste, um alle Zeichen zu löschen und Ihre Passphrase für die Verschlüsselung einzugeben. Es wird die verschlüsselte Partition entsperren.
Löschen Sie das alte Home-Verzeichnis
Früher haben Sie das Home-Verzeichnis kopiert, anstatt es zu verschieben. Der Inhalt des alten Verzeichnisses ist noch unverschlüsselt und muss gelöscht werden, wenn es sich um sensible Informationen handelt. Hängen Sie dazu das Medium einfach auf einem anderen Computer ein. Navigieren Sie zum OLD-Home-Verzeichnis in der Root-Partition des gemounteten externen Laufwerks und löschen Sie es (seien Sie vorsichtig).
Verschlüsselung ist auf Raspberry Pi einfach
Die Sicherung Ihrer Daten ist ein Thema, das Sie am Anfang oft die Extrameile gehen lässt, sich aber später auszahlt. Hier werden viele Wenn und Aber zum Thema Verschlüsselung behandelt. Aber im Kern sind die Anweisungen einfach und die Implementierung ist einfach. Es gibt keinen Grund, sich vor Verschlüsselung einzuschüchtern; Das Wiederherstellen von Daten ist ebenfalls einfach, solange Sie die Passphrase für die Verschlüsselung nicht vergessen.
Wenn diese Verschlüsselung zusammen mit der RAID-1-Datenspiegelung eingerichtet wird, bietet sie Sicherheit sowie Schutz für Ihre Daten vor physischen Laufwerksausfällen und vervollständigt das perfekte Setup.
