मैं अपने रास्पबेरी को कैसे एन्क्रिप्ट करूं?

रास्पबेरी सभी अच्छी तरह से अच्छा है और बहुत जल्दी चला सकते हैं। लेकिन मैं अपने एसडी कार्ड को ऑफ़लाइन डेटा हमलों से कैसे बचा सकता हूं। SSH को एक अच्छे पासवर्ड या SSH कुंजी से सुरक्षित किया जा सकता है, लेकिन अगर किसी ने कार्ड को पकड़ लिया तो मैं चाहूंगा कि इसे अधिकांश भाग में एन्क्रिप्ट किया जाए।

उदाहरण के लिए मेरे सभी स्रोत php फ़ाइलों या किसी अन्य स्रोत कोड को SD कार्ड पर संग्रहीत किया जाता है और इसे आसानी से किसी अन्य लिनक्स सिस्टम में लगाया जा सकता है। लेकिन मैं किसी भी तरह पूरे एसडी कार्ड को एनक्रिप्ट करके इसे रोकना चाहता हूं।

कोई सुझाव?

boot security

— विली वोंका
स्रोत

आप किस OS का उपयोग कर रहे हैं, या आप उन दोनों के बीच निर्णय लेने में मदद करने के लिए प्रत्येक OS के लिए एक उत्तर चाहेंगे?

— मार्क बूथ

गाइड एईएस का उपयोग करने का सुझाव देता है- संभवतः डिफ़ॉल्ट अब बदल गया है लेकिन एईएस का उपयोग न करें- यह आसानी से टूट जाता है।

— पियोट कुला

आपको रूट फाइलसिस्टम मैं संदेह करने के लिए पासवर्ड को डिक्रिप्ट और बूट करने की आवश्यकता है।

— एलेक्स चैंबरलेन

LOL - डीआरएम हाहाहा :-) के लिए इतना कुछ है कि मुझे लगता है कि संभवत: एक इंटरनेट सर्जक से एक बार उपयोग की कुंजी बनाने के लिए कुछ और जटिल प्रणाली की आवश्यकता होगी? बीयूटी का मतलब है कि आपको कर्नेल को बूट करने की जरूरत है- एक कुंजी प्राप्तकर्ता स्क्रिप्ट बनाएं और संभवतः किसी तरह उस पर आधारित एक एन्क्रिप्टेड विभाजन को माउंट करें। आप वाह DRM की तरह जानते हैं- कोई नेट नहीं, कोई नाटक नहीं।

— पायोत्र कुला

तो फिर आप इसे netboot कर सकते हैं। जब तक वे आपके बूटस्वर को चुरा नहीं लेते, वे ऑफ़लाइन हमला नहीं कर सकते :)

— XTL

जवाबों:

यदि आपका वितरण इसका समर्थन करता है, तो आप LUKS / dm-crypt का उपयोग करके पूरी डिस्क, pv, या वॉल्यूम को एन्क्रिप्ट कर सकते हैं । फाइलसिस्टम को माउंट करने योग्य (लेकिन तले हुए) छोड़ते समय डिस्क पर फाइलों या निर्देशिकाओं को एन्क्रिप्ट करना भी संभव है ।

किसी भी तरह से, आप एक समस्या में भाग लेंगे: स्पष्ट डेटा का उपयोग करने से पहले, किसी को कुंजी को इनपुट करना होगा। यदि कुंजी को कार्ड पर संग्रहीत किया जाता है, तो कोई भी हमलावर चोरी किए गए कार्ड से कुंजी को पढ़ने से रोकता है। यदि यह किसी व्यक्ति द्वारा इनपुट किया जाता है, तो उस व्यक्ति को हर बूट के बाद कुंजी को मैन्युअल रूप से दर्ज करना होगा।

— XTL
स्रोत

क्या वे ऑफ़लाइन मोड में कुंजी का उपयोग करके डेटा को डिक्रिप्ट कर सकते हैं? (मुझे उत्तर हां है) संदेह है कि क्या कर्नेल को मैक पते, सीपीयूआईडी या कुछ एचडब्ल्यू विशिष्ट के लिए लॉक करने का कोई तरीका है?

— विली वॉनका

आम तौर पर, हाँ। इससे कोई फर्क नहीं पड़ता कि यह आपका प्रोग्राम डिक्रिप्टिंग है या यदि उनके पास कुंजी है। आप कुंजी बनाने के लिए एक एचडब्ल्यू आईडी का उपयोग करने में सक्षम हो सकते हैं। अगर हमलावर के पास पूरे बोर्ड तक पहुंच है, लेकिन अगर कोई बस कार्ड ले गया या किसी ने फोन किया तो वह आपको बचा सकता है।

— XTL

हाँ, मैं इसे बूट करने के बारे में चिंतित नहीं हूं। वे अभी भी शेल एक्सेस प्राप्त नहीं कर सकते हैं (जब तक कि रूट प्राप्त करने के लिए चारों ओर लिनक्स काम नहीं होता है)) ज्यादातर इसी तरह वे एसडी कार्ड लेने और किसी अन्य कंप्यूटर या किसी अन्य चीज़ पर सभी गुप्त चीजों को देखने के लिए स्रोत फ़ाइलों को प्राप्त करने की कोशिश करेंगे :)

— विली वोनका

यदि भौतिक पहुँच उपलब्ध है, तो हर कोई आसानी से शेल एक्सेस प्राप्त कर सकता है। आप खोज सकते हैं single-user mode। यहाँ पाई के लिए एक उदाहरण है । बूट विभाजन एन्क्रिप्टेड नहीं है!

— मैगजीन

कैसे एक शुरुआत के लिए इस बारे में

sudo apt-get install ecryptfs-utils
sudo apt-get install lsof
sudo ecryptfs-migrate-home -u pi

इसमें थोड़ा और अधिक होगा, लेकिन मुख्य भाग में यह होगा - यह केवल आपके होम फ़ोल्डर को कवर करेगा। यदि आप और अधिक करना चाहते हैं, तो कुछ इस तरह है:

https://www.howtoforge.com/how-to-encrypt-directories-partitions-with-ecryptfs-on-debian-squeeze

— डेविड ली
स्रोत

लिंक छोटा और / या मृत दिखता है।

— XTL