Jak zaszyfrować moją Malinę?


23

Malina jest dobra i ładna i może działać dość szybko. Ale jak mogę chronić swoją kartę SD przed atakami danych offline. SSH można zabezpieczyć dobrym hasłem lub kluczem SSH, ale jeśli ktoś zdobędzie kartę, chciałbym, aby była w większości szyfrowana.

Na przykład wszystkie moje źródłowe pliki php lub dowolny inny kod źródłowy są przechowywane na karcie SD i można je łatwo zamontować w innym systemie Linux. Ale chcę temu zapobiec, w jakiś sposób szyfrując całą kartę SD.

Jakieś sugestie?


1
Z jakiego systemu operacyjnego korzystasz, czy chciałbyś uzyskać odpowiedź dla każdego systemu operacyjnego, aby pomóc Ci wybrać między nimi?
Mark Booth,

2
Przewodnik sugeruje użycie AES - Prawdopodobnie domyślna jest teraz zmieniona, ale nie używaj AES - łatwo ją złamać.
Piotr Kula,

1
Musisz odszyfrować / uruchomić system odszyfrować i wprowadzić hasło, aby zamontować główny system plików, który podejrzewam.
Alex Chamberlain,

1
LOL - Tyle o DRM hahaha :-) Myślę, że do stworzenia jednorazowych kluczy z Internetu może być potrzebny bardziej złożony system? BUt oznacza, że ​​musisz uruchomić jądro - stwórz skrypt pobierający klucz i ewentualnie zamontuj na nim zaszyfrowaną partycję. Wiesz jak WoW DRM - Bez siatki, bez gry.
Piotr Kula,

1
Następnie możesz po prostu uruchomić go z sieci. O ile nie ukradną twojego serwera rozruchowego, nie będą mogli wykonać ataku offline :)
XTL

Odpowiedzi:


10

Możesz zaszyfrować cały dysk, pv lub wolumin za pomocą LUKS / dm-crypt, jeśli twoja dystrybucja go obsługuje. Możliwe jest również szyfrowanie plików lub katalogów na dysku , pozostawiając system plików możliwy do zamontowania (ale zaszyfrowany).

Tak czy inaczej, napotkasz problem: przed użyciem czystych danych ktoś musi wprowadzić klucz. Jeśli klucz jest przechowywany na karcie, nic nie stoi na przeszkodzie, aby atakujący odczytał klucz ze skradzionej karty. Jeśli jest wprowadzana przez osobę, musi ona ręcznie wprowadzić klucz po każdym uruchomieniu.


2
Czy potrafią odszyfrować dane przy użyciu klucza w trybie offline? (Podejrzewam, że odpowiedź brzmi tak) Czy jest jakiś sposób na zablokowanie jądra na adres MAC, CPUID lub coś innego specyficznego dla HW?
WillyWonka,

1
Zwykle tak. Nie ma znaczenia, czy to twój program odszyfrowuje, czy ich, jeśli mają klucz. Może być możliwe użycie identyfikatora HW do wygenerowania klucza. To nie pomoże, jeśli atakujący ma dostęp do całej planszy, ale może cię uratować, jeśli ktoś po prostu zabierze lub sklonuje kartę.
XTL

Tak, nie martwię się, że go uruchomią. Nadal nie mogą uzyskać dostępu do powłoki (chyba, że ​​istnieje Linux, aby uzyskać root?). Najprawdopodobniej spróbują wziąć kartę SD i pobrać pliki źródłowe, aby zobaczyć wszystkie tajne rzeczy na innym komputerze lub coś :)
WillyWonka,

2
Jeśli fizyczny dostęp jest dostępny, każdy może łatwo uzyskać dostęp do powłoki. Możesz wyszukać single-user mode. Oto przykład dla Pi. Partycja rozruchowa nie jest szyfrowana!
makrojames,

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.