Як зашифрувати свою малину?

23

Малина - це все добре і приємно і може працювати досить швидко. Але як я можу захистити свою SD-карту від атак офлайн даних. SSH можна захистити гарним паролем або SSH-ключем, але якщо хтось отримає карту, я б хотів, щоб вона була зашифрована здебільшого.

Наприклад, всі мої вихідні файли php або будь-який інший вихідний код зберігаються на SD-карті і можуть бути легко встановлені в іншій системі Linux. Але я хочу якось запобігти цьому шифруванням всієї карти SD.

Будь-які пропозиції?

boot  security 
WillyWonka
джерело
1
Яку ОС ви використовуєте, чи хочете відповісти на кожну ОС, щоб допомогти вам вирішити між ними?
Марк Бут
2
Посібник пропонує використовувати AES- Можливо, тепер за замовчуванням змінили, але не використовують AES- Це легко зламається.
Пьотр Кула
1
Вам потрібно залишити / завантажити розшифровану та ввести пароль для монтажу кореневої файлової системи, яку я підозрюю.
Алекс Чемберлен
1
LOL - Стільки для DRM hahaha :-) Я думаю, що потрібна якась більш складна система для створення одноразових клавіш з Інтернет-сервісу, можливо? Але це означає, що вам потрібно завантажувати ядро ​​- зробити скрипт отримання ключа та, можливо, якось змонтувати зашифрований розділ. Ви знаєте, як WoW DRM - Ні мережі, ні гри.
Пьотр Кула
1
Тоді ви могли просто запустити його. Якщо вони не вкрадуть ваш завантажувач, вони не можуть робити офлайн-атаку :)
XTL

Відповіді:

10

Ви можете зашифрувати весь диск, pv або том, використовуючи LUKS / dm-crypt, якщо ваш дистрибутив підтримує це. Також можливо зашифрувати файли або каталоги на диску , залишаючи файлову систему встановленою (але вона зашифрована).

У будь-якому випадку у вас виникне проблема: Перш ніж використовувати чіткі дані, хтось повинен ввести ключ. Якщо ключ зберігається на картці, ніщо не заважає зловмиснику прочитати ключ з викраденої картки. Якщо людина вводить дані, їй потрібно вручну вводити ключ після кожного завантаження.

XTL
джерело
2
Чи можуть вони розшифрувати дані за допомогою ключа в автономному режимі? (Я підозрюю, що відповідь - так) Чи є спосіб заблокувати ядро ​​до MAC-адреси, CPUID чи чогось конкретного HW?
WillyWonka
1
Зазвичай так. Не має значення, чи розшифровується ваша програма чи їхня, чи є у них ключ. Можливо, ви зможете використовувати ідентифікатор HW для створення ключа. Це не допоможе, якщо зловмисник має доступ до всієї дошки, але може врятувати вас, якщо хтось просто взяв або клонував картку.
XTL
Так, я не переживаю за те, щоб вони це завантажили. Вони все ще не можуть отримати доступ до оболонки (якщо тільки Linux не обійдеться, щоб отримати корінь ???) Більшість випадків вони спробують взяти SD-карту та отримати вихідні файли, щоб побачити всі секретні речі на іншому комп'ютері чи щось :)
WillyWonka
2
Якщо доступний фізичний доступ, кожен може легко отримати доступ до оболонки. Ви можете шукати single-user mode. Ось приклад Pi. Розділ завантаження не шифрується!
makrojames
6

як щодо цього для початку

sudo apt-get install ecryptfs-utils
sudo apt-get install lsof
sudo ecryptfs-migrate-home -u pi

Тут буде трохи більше, але ось головна частина - вона охоплюватиме лише вашу домашню папку. Якщо ви хочете зробити більше, то це щось на зразок:

https://www.howtoforge.com/how-to-encrypt-directories-partitions-with-ecryptfs-on-debian-squeeze

Девід Лі
джерело
4
Посилання виглядає усіченим та / або мертвим.
XTL
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.