הנתונים של Raspberry Pi מאוחסנים במחיצת מערכת ההפעלה של כרטיס microSD או HDD/SSD. במהלך התקנת מערכת ההפעלה, אין אפשרות להגדיר מחיצות מוצפנות (באף אחת ממערכות ההפעלה הפופולריות של Pi). אם המדיה של ה-Pi אובדת או נגנבת, ניתן לחבר אותה למחשב אחר וניתן לקרוא את כל הנתונים, ללא קשר לסיסמת כניסה חזקה או למצב ההתחברות האוטומטית (כבויה או מופעלת).

הנתונים שנפגעו יכולים לכלול מידע רגיש כגון "נתוני פרופיל Firefox", המכיל אישורי כניסה (שמות משתמש וסיסמאות שמורים עבור אתרי אינטרנט שונים). מידע רגיש זה שנפל לידיים הלא נכונות עלול להוביל לגניבת תעודות זהות. מאמר זה הוא מדריך שלב אחר שלב להגנה על הנתונים באמצעות הצפנה. זוהי תצורה חד פעמית המושגת באמצעות כלי GUI לפשטות.

בהשוואה למחשב שולחני או נייד, ל-Pi אין ברגים או מנעול פיזי למדיה שלו. הגמישות הזו אמנם עושה את זה נוח להחליף מערכות הפעלה, אבל על ידי החלפת כרטיס ה-microSD, זה לא טוב לאבטחה. כל מה שצריך זה שנייה לשחקן גרוע להסיר את המדיה שלו. חוץ מזה, כרטיסי microSD הם כל כך זעירים עד שאי אפשר להתחקות אחריהם.

כמו כן, אין קליפ עבור חריץ כרטיס ה-microSD ב-Raspberry Pi. כאשר אתה נושא את ה-Pi מסביב, אם הכרטיס מחליק איפשהו, יש סיכוי טוב באותה מידה שמישהו יעבור את זה תוכן.

instagram viewer

דרכים שונות לאבטחת נתונים אישיים ב-Pi

כמה משתמשי Pi מבינים את הסיכון ומצפינים באופן יזום קבצים בודדים. הגדרת סיסמת אב לדפדפנים היא גם מנהג נפוץ. אבל, צריך להשקיע את המאמץ הנוסף הזה בכל פעם.

בהתחשב בגורמים אלה, זה חכם לעשות הגדר הצפנה עבור כל הדיסק. הדיסק יישאר בלתי קריא על ידי אחרים אלא אם כן יש להם את משפט הסיסמה ההצפנה, שכמובן הם לא יודעים ולא יכולים לשאול אותך. כפייה אכזרית עם מילון סיסמאות לא תשבור גם אותו, כי תגדיר סיסמה טובה מספיק כדי להתנגד להתקפות כאלה.

שימוש בדיסק הקיים לעומת הגדרתו בדיסק חדש

הרעיון הוא ליצור מחיצה מוצפנת ולהגדיר אותה לעבוד בתור ספריית הבית. מכיוון שכל הנתונים האישיים נמצאים בדרך כלל בספרייה הביתית, אבטחת הנתונים תישאר ללא פגע.

ישנן שתי דרכים שונות לעשות זאת:

  1. פנה מקום למחיצה המוצפנת בדיסק המשמש כעת עבור מערכת ההפעלה.
  2. השתמש ב-SSD חדש או בדיסק קשיח, חבר אותו ל-Pi באמצעות א מתאם USB ל-SATA (במידת הצורך), והשתמש בו כמחיצה המוצפנת.

ישנם יתרונות מסוימים בשתי התצורות:

  • התצורה הראשונה משתמשת בכרטיס microSD או SSD הקיים ואינה זקוקה לחומרה נוספת. בהיותו דיסק יחיד, הוא שומר על דברים קומפקטיים וטוב לניידות.
  • התצורה השנייה טובה לחיי דיסק ארוכים יותר בגלל המספר הנמוך יותר של כתיבה. זה גם מעט יותר מהיר מכיוון שהקריאה/הכתיבה מופצת בין שני דיסקים.

התצורה הראשונה נידונה כאן מכיוון שיש לה עוד כמה שלבים. התצורה השנייה היא חלק מהראשונה והשלבים להחרגה קלים להבנה.

ההתקנה כאן מציגה את התהליך ב-Raspberry Pi OS; ניתן לשכפל את אותו תהליך עבור מערכת ההפעלה Ubuntu Desktop והטעמים שלה כגון MATE.

הכן את הדיסק להצפנה

מאז המחיצה המוצפנת יהיה בדיסק מערכת ההפעלה עצמה, יש לחצוב את השטח הנדרש ממחיצת השורש. לא ניתן לעשות זאת ב-Pi מאתחול מכיוון שמחיצת השורש כבר מותקנת. אז, השתמש במחשב אחר שיכול להריץ את GNOME-Disk-utility, כגון מחשב לינוקס.

לחלופין, אתה יכול גם לאתחל כפול של Raspberry Pi או הפעל מערכת הפעלה זמנית עם מדיה מחוברת באמצעות USB.

חבר את דיסק מערכת ההפעלה של Pi שלך למחשב השני והתקן את הכלי לניהול הדיסק:

sudo apt עדכון
sudo apt להתקין gnome-disk-utility

לִפְתוֹחַ דיסקים מהתפריט או עם הפקודה:

דיסקים של gnome

שלב אופציונלי בשלב זה הוא לגבות את הדיסק, במיוחד אם יש בו נתונים חשובים. לכלי הדיסקים יש תכונה מובנית לשמירת הדיסק כולו כתמונה. במידת הצורך, ניתן לשחזר תמונה זו חזרה למדיה.

פנה מקום הדרוש לדיסק המוצפן. בחר את מחיצת שורש, לחץ על גלגל שיניים לשלוט, ולבחור שנה גודל

אם אתה משתמש בכרטיס microSD או בכונן עם קיבולת של 32GB או יותר, הקצו 15GB עבור מחיצת השורש והשאירו את השאר כדי שהמחיצה תוצפן.

נְקִישָׁה שנה גודל וה מקום פנוי יווצר.

בסיום, הוצא את המדיה מהמחשב הזה. חבר אותו ל-Raspberry Pi שלך ואתחל אותו.

פתח את הטרמינל והתקן את כלי הדיסקים ב-Pi:

sudo apt להתקין gnome-disk-utility -y

מכיוון שיש צורך בהצפנה, התקן את תוסף ההצפנה הבא:

sudo apt להתקין libblockdev-crypto2 -y

הפעל מחדש את שירות הדיסקים:

סודוsystemctlאתחולudisks2.שֵׁרוּת

הגדר הצפנה באמצעות GUI: הדרך הקלה

פתח את הכלי דיסקים מהתפריט או עם הפקודה:

דיסקים של gnome

בחר מקום פנוי ולחץ על + סמל ליצירת המחיצה.

השאר את גודל המחיצה כברירת מחדל של מקסימום ולחץ הַבָּא.

לתת שם כרך; לדוגמה, מוצפן. בחר EXT4 ולבדוק נפח הגנת סיסמה (LUKS).

תן משפט סיסמה, חזק. למרות שמומלץ להשתמש בשילוב של מספרים ותווים מיוחדים, רק האורך העצום של הסיסמה יגרום לכך שלא ניתן יהיה לפרוץ באמצעות דחיפות גסות. לדוגמה, לסיסמה של 17 תווים ייקח כמה מיליוני שנים כדי להפעיל את המחשבים המהירים ביותר של ימינו. אז אתה יכול להשתמש במשפט ארוך באמת לאחר חיתוך הרווחים.

נְקִישָׁה לִיצוֹר, והמחיצה המוצפנת אמורה להיות מוכנה.

אם אתה נתקל ב- שְׁגִיאָה עם ה /etc/crypttab ערך, צור קובץ ריק באמצעות:

sudo touch /etc/crypttab

ולאחר מכן חזור על תהליך יצירת המחיצה באמצעות ה + סֵמֶל.

המחיצה מוצפנת כעת LUKS, אך יש לבטל את הנעילה שלה בעת האתחול. יש ליצור ערך ב- /etc/crypttab קוֹבֶץ. בחר את המחיצה, לחץ על גלגל שיניים לשלוט, ולבחור ערוך אפשרויות הצפנה.

לְמַתֵג ברירות מחדל של הפעלת משתמש, חשבון בטל את הנעילה בעת הפעלת המערכת, לספק את ביטוי סיסמה, ולחץ בסדר.

כעת בחר את מוצפן מחיצה והרכיבו אותה באמצעות לְשַׂחֵק סמל. העתק את נקודת הרכבה.

העבר את ספריית הבית לכונן המוצפן

למען הבטיחות, שכפל את ספריית הבית כעת ומחק את ספריית המקור מאוחר יותר, לאחר שהתהליך הצליח (החלף את "arjunandvishnu" בשם המשתמש שלך).

sudo rsync -av /home/* /media/arjunandvishnu/Encrypted/

תן בעלות על הקבצים שהועתקו למשתמש הנכון:

sudo chown -Rv arjunandvishnu: arjunandvishnu /media/arjunandvishnu/Encrypted/arjunandvishnu

אם יש יותר ממשתמש אחד, חזור על:

sudo chown -Rv pi: pi /media/arjunandvishnu/Encrypted/pi

התקן את הדיסק באופן אוטומטי

מחיצה מוצפנת זו חייבת להיות מורכבת אוטומטית בעת האתחול. בחר את מוצפן דיסק, לחץ על גלגל שיניים לשלוט, ולבחור ערוך אפשרויות הר.

לְמַתֵג ברירות מחדל של הפעלת משתמש ולהגדיר את הר פוינט ל /home. זה יוסיף ערך ל- /etc/fstab קוֹבֶץ.

הפעל מחדש את ה-Pi והיכנס. ראשית, ספריית הבית חייבת להיות בעלת 755 הרשאות:

sudo chmod 755 /home

כדי לבדוק שהמחיצה המוצפנת נמצאת בשימוש עבור /home, צור תיקיה ריקה בשולחן העבודה ואמת על ידי ניווט אליה דרך מוצפן מַדרִיך.

שימו לב, מאשר ב-Raspberry Pi OS, מנהל הקבצים המוגדר כברירת מחדל (pcmanfm) אכן מאפשר מחיקה לסל המיחזור בכוננים נשלפים. כדי לאפשר מחיקה לסל המיחזור, בטל את הסימון של ההגדרה בהעדפות.

הסר את ביטוי הסיסמה של ההצפנה השמורה

מוקדם יותר, בזמן הגדרת ההצפנה, ביטוי הסיסמה נשמר. תצורה זו נוצרה ב- /etc/crypttab קוֹבֶץ.

קובץ luks-key שלך מאוחסן ללא מוצפן ופתיחתו תחשוף את הסיסמה. זהו סיכון אבטחה ויש לטפל בו. זה לא טוב להשאיר את המנעול והמפתח ביחד.

מחק את קובץ המפתח luks שלך והסר את ההפניה שלו מ /etc/crypttab.

sudo rm /etc/luks-keys/YOUR-KEY

כעת, בכל פעם שאתה אתחול, ה-Pi יבקש את משפט הסיסמה להצפנה בהתחלה. זו ההתנהגות הצפויה.

אם מוצג מסך ריק, השתמש ב- חץ למעלה/למטה מקש כדי שיופיע מסך הכניסה. להשתמש מקש לחזור אחורה כדי לנקות כל תווים ולהכניס את ביטוי הסיסמה להצפנה שלך. זה יבטל את נעילת המחיצה המוצפנת.

מחק את ספריית הבית הישנה

מוקדם יותר, במקום לזוז, העתקת את ספריית הבית. התוכן של הספרייה הישנה עדיין לא מוצפן ויש למחוק אותו אם המידע רגיש. כדי לעשות זאת בקלות, התקן את המדיה במחשב אחר. נווט אל ספריית הבית OLD במחיצת השורש של הכונן החיצוני המותקן ומחק אותה (היזהר).

ההצפנה קלה ב-Raspberry Pi

אבטחת הנתונים שלך היא נושא שלעתים קרובות יגרום לך ללכת את המייל הנוסף בהתחלה, אבל ישתלם לך מאוחר יותר. הרבה אם ואבל לגבי הצפנה מכוסים כאן. אבל בבסיס, ההוראות פשוטות והיישום קל. אין סיבה להפחיד מהצפנה; גם שחזור נתונים קל, כל עוד לא תשכח את משפט הסיסמה ההצפנה.

אם הצפנה זו מוגדרת יחד עם שיקוף נתונים RAID-1, היא תציע אבטחה כמו גם בטיחות לנתונים שלך מתקלות בכונן פיזי וישלים את ההגדרה המושלמת.