¿Cómo cifro mi Raspberry?

La frambuesa está muy bien y puede funcionar bastante rápido. Pero, ¿cómo puedo proteger mi tarjeta SD de ataques de datos sin conexión? SSH puede protegerse con una buena contraseña o una clave SSH, pero si alguien obtiene la tarjeta, me gustaría que se encripte en su mayor parte.

Por ejemplo, todos mis archivos php de origen o cualquier otro código fuente se almacenan en la tarjeta SD y se pueden montar fácilmente en otro sistema Linux. Pero quiero evitar esto cifrando de alguna manera toda la tarjeta SD.

¿Alguna sugerencia?

boot security

— Willy Wonka
fuente

¿Qué sistema operativo está utilizando o le gustaría una respuesta para cada sistema operativo que lo ayude a decidir entre ellos?

— Mark Booth

La guía sugiere usar AES: posiblemente el valor predeterminado se cambie ahora, pero no use AES: se rompe fácilmente.

— Piotr Kula

Debe sospechar que debe dejar / iniciar descifrado e ingresar una contraseña para montar el sistema de archivos raíz.

— Alex Chamberlain

LOL - Mucho para DRM jajaja :-) Creo que se necesitará un sistema más complejo para crear claves de uso único de un servidor de Internet posiblemente? Pero eso significa que necesita arrancar el kernel: cree un script de obtención de clave y posiblemente monte una partición cifrada basada en eso de alguna manera. Ya sabes como WoW DRM- Sin red, sin juego.

— Piotr Kula

Entonces podrías simplemente arrancarlo. A menos que roben su servidor de arranque, no pueden atacar sin conexión :)

— XTL

Respuestas:

Puede encriptar todo el disco, pv o volumen utilizando LUKS / dm-crypt si su distribución lo admite. También es posible encriptar archivos o directorios en el disco mientras se deja el sistema de archivos montable (pero codificado).

De cualquier manera, se encontrará con un problema: antes de usar los datos claros, alguien tiene que ingresar la clave. Si la clave está almacenada en la tarjeta, nada impide que un atacante lea la clave de una tarjeta robada. Si es ingresado por una persona, esa persona necesita ingresar manualmente la clave después de cada arranque.

— XTL
fuente

¿Pueden descifrar datos usando la clave en modo fuera de línea? (Sospecho que la respuesta es sí) ¿Hay alguna forma de bloquear un Kernel a una dirección MAC, CPUID o algo específico de HW?

— WillyWonka

Normalmente si. No importa si es el descifrado de su programa o el de ellos si tienen la clave. Es posible que pueda usar una identificación HW para generar la clave. Eso no ayudará si el atacante tiene acceso a toda la placa, pero podría salvarlo si alguien acaba de tomar o clonar la tarjeta.

— XTL

Sí, no me preocupa que lo arranquen. Todavía no pueden obtener acceso a Shell (a menos que haya una solución de Linux para obtener la raíz ???) Lo más probable es que intenten tomar la tarjeta SD y obtener los archivos de origen para ver todas las cosas secretas en otra computadora o algo :)

— WillyWonka

Si el acceso físico está disponible, todos pueden obtener fácilmente acceso de shell. Podrías buscar single-user mode. Aquí hay un ejemplo para el Pi. ¡La partición de arranque no está encriptada!

— macrojames

¿Qué tal esto para empezar?

sudo apt-get install ecryptfs-utils
sudo apt-get install lsof
sudo ecryptfs-migrate-home -u pi

Habrá un poco más, pero esa es la parte principal: solo cubrirá su carpeta de inicio. Si quieres hacer más, entonces es algo como:

https://www.howtoforge.com/how-to-encrypt-directories-partitions-with-ecryptfs-on-debian-squeeze

— David Lee
fuente

El enlace se ve truncado y / o muerto.

— XTL