Как зашифровать мою малину?

23

Малина все хорошо и может работать довольно быстро. Но как я могу защитить мою SD-карту от атак данных в автономном режиме. SSH может быть защищен хорошим паролем или ключом SSH, но если кто-то завладеет картой, я бы хотел, чтобы она была зашифрована по большей части.

Например, все мои исходные файлы php или любой другой исходный код хранятся на SD-карте и могут быть легко смонтированы в другой системе Linux. Но я хочу предотвратить это шифрованием всей SD-карты.

Какие-либо предложения?

boot security Вилли Вонка
источник
1
Какую операционную систему вы используете, или вы хотели бы получить ответ для каждой ОС, чтобы помочь вам выбрать между ними?
Марк Бут
2
Руководство предлагает использовать AES. Возможно, значение по умолчанию изменилось, но не используйте AES. Его легко взломать.
Петр Кула
1
Вам нужно оставить / boot расшифрованным и ввести пароль для монтирования корневой файловой системы, которую я подозреваю.
Алекс Чемберлен
1
LOL - Так много для DRM, хахаха :-) Думаю, понадобится какая-то более сложная система, чтобы создать одноразовые ключи из интернет-сервиса? Но это означает, что вам нужно загрузить ядро ​​- создать скрипт получения ключа и, возможно, каким-то образом смонтировать зашифрованный раздел. Вы знаете, как WoW DRM - нет сети, нет игры.
Петр Кула
1
Тогда вы можете просто загрузить его по сети. Если они не украдут ваш загрузочный сервер, они не смогут атаковать в автономном режиме :)
XTL

Ответы:

10

Вы можете зашифровать весь диск, pv или том, используя LUKS / dm-crypt, если ваш дистрибутив поддерживает это. Также возможно зашифровать файлы или каталоги на диске , оставляя файловую систему монтируемой (но шифрованной).

В любом случае вы столкнетесь с проблемой: перед тем, как использовать чистые данные, кто-то должен ввести ключ. Если ключ хранится на карте, злоумышленник не сможет прочитать ключ с украденной карты. Если он введен человеком, ему нужно вручную вводить ключ после каждой загрузки.

XTL
источник
2
Могут ли они дешифровать данные с помощью ключа в автономном режиме? (Я подозреваю, что ответ - да). Есть ли способ привязать ядро ​​к MAC-адресу, CPUID или к чему-то конкретному HW?
WillyWonka
1
Обычно да. Неважно, расшифровывает ли ваша программа или их, если у них есть ключ. Вы можете использовать идентификатор HW для генерации ключа. Это не поможет, если злоумышленник будет иметь доступ ко всей доске, но может спасти вас, если кто-то просто заберет или клонирует карту.
XTL
Да, я не беспокоюсь о том, что они загружаются. Они по-прежнему не могут получить доступ к Shell (если только Linux не работает для получения прав root ???). Как правило, они попытаются взять SD-карту и получить исходные файлы, чтобы увидеть все секретные вещи на другом компьютере или что-то в этом роде :)
WillyWonka
2
Если физический доступ доступен, каждый может легко получить доступ к оболочке. Вы можете искать single-user mode. Вот пример для Пи. Загрузочный раздел не зашифрован!
macrojames
6

как насчет этого для начала

sudo apt-get install ecryptfs-utils
sudo apt-get install lsof
sudo ecryptfs-migrate-home -u pi

Там будет немного больше, но это основная часть - она ​​будет охватывать только вашу домашнюю папку. Если вы хотите сделать больше, то это что-то вроде:

https://www.howtoforge.com/how-to-encrypt-directories-partitions-with-ecryptfs-on-debian-squeeze

Дэвид Ли
источник
4
Ссылка выглядит усеченной и / или мертвой.
XTL