如何加密我的Raspberry?

23

Raspberry很好,可以很好地运行。但是,如何保护我的SD卡免受离线数据攻击。可以使用一个好的密码或一个SSH密钥来保护SSH,但是如果有人握住了该卡,我希望在很大程度上对其进行加密。

例如,我所有的源php文件或任何其他源代码都存储在SD卡上,可以轻松地安装到另一个linux系统中。但是我想通过某种方式加密整个SD卡来防止这种情况。

有什么建议么?

boot  security 
威利·旺卡
source
1
您使用的是哪个操作系统,或者您想要每个操作系统的答案以帮助您在它们之间做出决定?
Mark Booth
2
该指南建议使用AES-可能现在已更改默认值,但不要使用AES-容易破解。
Piotr Kula 2012年
1
您需要将/ boot解密,并输入密码以挂载我怀疑的根文件系统。
亚历克斯·张伯伦
1
大声笑-DRM这么多哈哈哈:-)我想可能需要一些更复杂的系统才能从Internet服务创建一次性使用密钥?注意,这意味着您需要引导内核-创建密钥获取程序脚本,并可能以某种方式基于此挂载加密分区。你知道像魔兽世界DRM-没有网络,没有游戏。
Piotr Kula 2012年
1
然后,您可以对其进行netboot。除非他们窃取了您的引导服务器,否则他们将无法进行离线攻击:)
XTL 2012年

Answers:

10

如果发行版支持,则可以使用LUKS / dm-crypt加密整个磁盘,pv或卷。还可以加密磁盘上的文件或目录,同时保持文件系统可安装(但已加密)。

无论哪种方式,您都会遇到一个问题:在使用清除数据之前,必须先输入密钥。如果密钥存储在卡上,则不会阻止攻击者从被盗的卡中读取密钥。如果是由个人输入的,则该个人需要在每次启动后手动输入密钥。

XTL
source
2
他们可以在离线模式下使用密钥解密数据吗?(我怀疑答案是肯定的)是否可以将内核锁定到MAC地址,CPUID或某些硬件特定的方法?
WillyWonka'8
1
通常是的。程序解密还是密钥解密都没关系。您也许可以使用硬件ID生成密钥。如果攻击者可以访问整个面板,那将无济于事,但是如果有人刚刚拿走或克隆了该卡,则可能会救您。
XTL 2012年
是的,我不担心他们启动它。他们仍然无法获得Shell访问权限(除非有Linux可以解决这个问题才能获得root权限?)。大多数情况下,他们将尝试拿SD卡并获取源文件,以查看另一台计算机或其他设备上的所有秘密内容:)
WillyWonka 2012年
2
如果可以进行物理访问,则每个人都可以轻松获得Shell访问。您可以搜索single-user mode。这是Pi 的示例。引导分区未加密!
macrojames,2012年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.