Есть ли способ выполнить полное шифрование системы Raspbian?


17

Мой вопрос: я бы хотел использовать мой зашифрованный Raspbian, как это стандартно для Debian, Ubuntu или других Linux-дистрибутивов.

Моя проблема: Технически вы не устанавливаете Raspbian на Raspberry Pi или SD-карту, а копируете готовое изображение из Интернета. Есть ли способ выполнить шифрование всей системы? (возможно без /boot)


Разве TrueCrypt не сделает эту работу? truecrypt.org вы можете выбрать, хотите ли вы полное системное шифрование или просто части раздела.
justanotherhobbyist

2
@hustlerinc TrueCrypt может загружать Windows только с зашифрованного диска / раздела. Хотя вы можете зашифровать раздел Raspbian, вы больше не сможете загружаться с него.
2013 года

2
Raspbian - это Debian, и вы должны иметь возможность использовать его для того же, но не через установщик, что затруднит шифрование всей системы. AFAICT они используют dm-crypt: en.wikipedia.org/wiki/Dm-crypt
goldilocks

Ответы:


7

Я бы использовал TrueCrypt . Некоторые из его основных функций (с сайта) включают в себя:

  • Создает виртуальный зашифрованный диск в файле и монтирует его как реальный диск.
  • Зашифровывает весь раздел или устройство хранения, такое как USB-накопитель или жесткий диск.
  • Шифрование выполняется автоматически, в режиме реального времени (на лету) и прозрачно.
  • Распараллеливание и конвейеризация позволяют считывать и записывать данные так быстро, как если бы диск не был зашифрован.
  • Шифрование может быть аппаратно ускорено на современных процессорах.
  • Обеспечивает правдоподобное отрицание, если злоумышленник заставит вас раскрыть пароль:
    скрытый том (стеганография) и скрытая операционная система.

Другие пользователи форума Raspberry Pi попробовали это и нашли, что это работает довольно хорошо . В этом сообщении на форуме есть несколько инструкций о том, как сделать это самостоятельно. Объяснение довольно длинное, поэтому я не буду размещать это здесь.


Кроме того, Berryboot OS предлагает полное шифрование диска LUKS из коробки .


4

Полное системное шифрование потребует слишком много вычислительной мощности для дешифрования и повторного шифрования, поэтому вы фактически поставите свой процессор на колени, просто читая или записывая файл, делая вашу систему слишком медленной и бесполезной.

Вы должны пересмотреть свои требования и, возможно, зашифровать только свои пользовательские файлы, это быстрее и проще. Вы можете перейти по следующей ссылке для подробного объяснения.


0

Kali Linux, дистрибутив Debian, документирует шифрование диска Raspberry Pi по адресу https://docs.kali.org/kali-dojo/04-raspberry-pi-with-luks-disk-encryption

Цитируемый отрывок из 2019-04-30:

Обзор процесса шифрования диска с высоты птичьего полета Описанный ниже процесс был успешно опробован и протестирован на Raspberry Pi B + и Raspberry Pi 2/3 (далее вместе именуемых «RPi»). но портирование этих инструкций на любое устройство ARM под управлением Kali должно быть тривиальным. Прежде чем мы начнем, давайте уделим минуту, чтобы быстро описать, что мы будем делать - поскольку этот процесс не сложный, он задействован. Это в основном наш шпиль:

Мы загружаем необходимый образ Kali RPi и записываем его на SD-карту. Мы привязываемся к образу RPi и устанавливаем / обновляем несколько файлов в процессе подготовки к нашей зашифрованной загрузке. Мы создаем файл initramfs, который включает в себя Dropbear и недавно сгенерированные ключи SSH. Мы rsync измененные rootfs во временную резервную копию, а затем удаляем раздел rootfs с SD-карты. Затем мы воссоздаем зашифрованный раздел, в который восстанавливаем данные корневого раздела. Это оно! Если все пойдет хорошо, RPi загрузится, а затем LUKS включит и попросит пароль для расшифровки корневого диска, одновременно открывая сеанс Dropbear SSH, через который вы можете войти в SSH и предоставить пароль для расшифровки загрузки. О да, мы упоминали, что у этого изображения также есть возможности LUKS NUKE?

предыдущий ответ связан с: https://www.offensive-security.com/kali-linux/raspberry-pi-luks-disk-encryption/


2
Обобщите информацию по ссылке в вашем посте.
TlhIngan

@jimmont - Ю, вероятно, следует отправить свой обновленный ответ, а не обновлять очень старый пост
Greenonline

Мы призываем людей заполнить пробелы в ответах только по ссылкам, хотя в противном случае я бы согласился с GOL.
Златовласка
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.