Jak zaszyfrować moją Malinę?

Malina jest dobra i ładna i może działać dość szybko. Ale jak mogę chronić swoją kartę SD przed atakami danych offline. SSH można zabezpieczyć dobrym hasłem lub kluczem SSH, ale jeśli ktoś zdobędzie kartę, chciałbym, aby była w większości szyfrowana.

Na przykład wszystkie moje źródłowe pliki php lub dowolny inny kod źródłowy są przechowywane na karcie SD i można je łatwo zamontować w innym systemie Linux. Ale chcę temu zapobiec, w jakiś sposób szyfrując całą kartę SD.

Jakieś sugestie?

boot security

— Willy Wonka
źródło

Z jakiego systemu operacyjnego korzystasz, czy chciałbyś uzyskać odpowiedź dla każdego systemu operacyjnego, aby pomóc Ci wybrać między nimi?

— Mark Booth,

Przewodnik sugeruje użycie AES - Prawdopodobnie domyślna jest teraz zmieniona, ale nie używaj AES - łatwo ją złamać.

— Piotr Kula,

Musisz odszyfrować / uruchomić system odszyfrować i wprowadzić hasło, aby zamontować główny system plików, który podejrzewam.

— Alex Chamberlain,

LOL - Tyle o DRM hahaha :-) Myślę, że do stworzenia jednorazowych kluczy z Internetu może być potrzebny bardziej złożony system? BUt oznacza, że musisz uruchomić jądro - stwórz skrypt pobierający klucz i ewentualnie zamontuj na nim zaszyfrowaną partycję. Wiesz jak WoW DRM - Bez siatki, bez gry.

— Piotr Kula,

Następnie możesz po prostu uruchomić go z sieci. O ile nie ukradną twojego serwera rozruchowego, nie będą mogli wykonać ataku offline :)

— XTL

Odpowiedzi:

Możesz zaszyfrować cały dysk, pv lub wolumin za pomocą LUKS / dm-crypt, jeśli twoja dystrybucja go obsługuje. Możliwe jest również szyfrowanie plików lub katalogów na dysku , pozostawiając system plików możliwy do zamontowania (ale zaszyfrowany).

Tak czy inaczej, napotkasz problem: przed użyciem czystych danych ktoś musi wprowadzić klucz. Jeśli klucz jest przechowywany na karcie, nic nie stoi na przeszkodzie, aby atakujący odczytał klucz ze skradzionej karty. Jeśli jest wprowadzana przez osobę, musi ona ręcznie wprowadzić klucz po każdym uruchomieniu.

— XTL
źródło

Czy potrafią odszyfrować dane przy użyciu klucza w trybie offline? (Podejrzewam, że odpowiedź brzmi tak) Czy jest jakiś sposób na zablokowanie jądra na adres MAC, CPUID lub coś innego specyficznego dla HW?

— WillyWonka,

Zwykle tak. Nie ma znaczenia, czy to twój program odszyfrowuje, czy ich, jeśli mają klucz. Może być możliwe użycie identyfikatora HW do wygenerowania klucza. To nie pomoże, jeśli atakujący ma dostęp do całej planszy, ale może cię uratować, jeśli ktoś po prostu zabierze lub sklonuje kartę.

— XTL

Tak, nie martwię się, że go uruchomią. Nadal nie mogą uzyskać dostępu do powłoki (chyba, że istnieje Linux, aby uzyskać root?). Najprawdopodobniej spróbują wziąć kartę SD i pobrać pliki źródłowe, aby zobaczyć wszystkie tajne rzeczy na innym komputerze lub coś :)

— WillyWonka,

Jeśli fizyczny dostęp jest dostępny, każdy może łatwo uzyskać dostęp do powłoki. Możesz wyszukać single-user mode. Oto przykład dla Pi. Partycja rozruchowa nie jest szyfrowana!

— makrojames,

co powiesz na to na początek

sudo apt-get install ecryptfs-utils
sudo apt-get install lsof
sudo ecryptfs-migrate-home -u pi

Będzie to nieco więcej, ale to jest główna część - obejmie ona tylko folder domowy. Jeśli chcesz zrobić więcej, to coś w stylu:

https://www.howtoforge.com/how-to-encrypt-directories-partitions-w--ryptryptfs-on-debian-squeeze

— David Lee
źródło

Link wygląda na obcięty i / lub martwy.

— XTL,