Os dados do Raspberry Pi são armazenados na partição do sistema operacional de um cartão microSD ou HDD/SSD. Durante a instalação do sistema operacional, não há opção para configurar partições criptografadas (em nenhum dos sistemas operacionais Pi populares). Se a mídia do Pi for perdida ou roubada, ela poderá ser conectada a um computador diferente e todos os dados poderão ser lidos, independentemente de uma senha de login forte ou do estado de login automático (desligado ou ligado).
Os dados comprometidos podem incluir informações confidenciais, como "Dados de perfil do Firefox", que contêm credenciais de login (nomes de usuário e senhas salvos para vários sites). Esses dados confidenciais caindo em mãos erradas podem levar ao roubo de identidade. Este artigo é um guia passo a passo para proteger os dados com o uso de criptografia. É uma configuração única realizada usando ferramentas GUI para simplicidade.
Comparado a um computador desktop ou laptop, o Pi não possui parafusos nem trava física para sua mídia. Embora essa flexibilidade facilite a troca de sistemas operacionais, a troca do cartão microSD não é boa para a segurança. Basta um segundo para um mau ator remover sua mídia. Além disso, os cartões microSD são tão pequenos que será impossível rastreá-los.
Além disso, não há clipe para o slot para cartão microSD no Raspberry Pi. Quando você carrega o Pi, se o cartão escorregar em algum lugar, há uma boa possibilidade de alguém passar por seu conteúdo.
Diferentes maneiras de proteger dados pessoais no Pi
Alguns usuários do Pi entendem o risco e criptografam proativamente arquivos individuais. Definir uma senha mestra para navegadores também é uma prática comum. Mas, esse esforço adicional precisa ser colocado sempre.
Considerando esses fatores, é prudente configurar criptografia para todo o disco. O disco permanecerá ilegível por outros, a menos que eles tenham a senha de criptografia, que obviamente eles não sabem e não podem perguntar a você. A força bruta com um dicionário de senhas também não o quebrará, porque você definirá uma senha que seja boa o suficiente para resistir a esses ataques.
Usando o disco existente vs. Configurando em um novo disco
A ideia é fazer uma partição criptografada e configurá-la para funcionar como o diretório inicial. Como todos os dados pessoais geralmente estão no diretório inicial, a segurança dos dados permanecerá intacta.
Existem duas maneiras diferentes de fazê-lo:
- Abra espaço para a partição criptografada no disco que está sendo usado atualmente para o sistema operacional.
- Use um novo SSD ou disco rígido, conecte-o ao Pi com um Adaptador USB para SATA (se necessário) e use-a como partição criptografada.
Existem algumas vantagens com ambas as configurações:
- A primeira configuração usa o cartão microSD ou SSD existente e não precisa de nenhum hardware adicional. Sendo um único disco, mantém as coisas compactas e é bom para portabilidade.
- A segunda configuração é boa para uma vida mais longa do disco devido ao menor número de gravações. Também é um pouco mais rápido, pois as leituras/gravações são distribuídas entre dois discos.
A primeira configuração é discutida aqui, pois possui mais algumas etapas. A segunda configuração faz parte da primeira e as etapas de exclusão são fáceis de entender.
A instalação aqui mostra o processo no Raspberry Pi OS; o mesmo processo pode ser replicado para Ubuntu Desktop OS e seus sabores, como MATE.
Preparar o disco para criptografia
Desde a partição criptografada estará no próprio disco do sistema operacional, o espaço necessário deve ser retirado da partição raiz. Isso não pode ser feito em um Pi inicializado, pois a partição raiz já está montada. Portanto, use outro computador que possa executar o utilitário gnome-disk, como um PC Linux.
Alternativamente, você também pode dual-boot um Raspberry Pi ou execute um SO temporário com mídia conectada usando USB.
Conecte o disco do sistema operacional do seu Pi ao outro computador e instale a ferramenta para gerenciar o disco:
sudo apt atualizar
sudo apt instalar gnome-disk-utilityAbrir Discos no menu ou com o comando:
gnome-discosUma etapa opcional neste momento é fazer backup do disco, principalmente se houver dados importantes nele. A ferramenta Discos possui um recurso integrado para salvar o disco inteiro como uma imagem. Se necessário, esta imagem pode ser restaurada de volta para a mídia.
Crie o espaço necessário para o disco criptografado. Selecione os partição raiz, Clique no Engrenagem controle e selecione Redimensionar
Se estiver usando um cartão microSD ou unidade com capacidade de 32 GB ou superior, aloque 15 GB para a partição raiz e deixe o resto para que a partição seja criptografada.
Clique Redimensionar e a Espaço livre Será criado.
Quando terminar, ejete a mídia deste computador. Conecte-o ao seu Raspberry Pi e inicialize-o.
Abra o terminal e instale a ferramenta Disks no Pi:
sudo apt instalar gnome-disk-utility -yComo a criptografia é necessária, instale o seguinte plug-in de criptografia:
sudo apt instalar libblockdev-crypto2 -yReinicie o serviço de Discos:
sudosystemctlreiniciarudiscos2.serviçoConfigurar a criptografia usando a GUI: a maneira mais fácil
Abra a ferramenta Discos no menu ou com o comando:
gnome-discosSelecionar Espaço livre e clique no + símbolo para criar a partição.
Deixe o tamanho da partição em seu padrão de máximo e clique em Próximo.
Dar uma Nome do volume; por exemplo, Criptografado. Selecionar EXT4 e verifique Volume protegido por senha (LUKS).
Dê uma senha, um forte. Embora seja aconselhável usar uma mistura de números e caracteres especiais, apenas o tamanho da senha tornará impossível hackear por força bruta. Por exemplo, uma senha de 17 caracteres levará alguns milhões de anos para forçar o uso dos computadores mais rápidos de hoje. Então você pode usar uma frase muito longa depois de truncar os espaços.
Clique Crio, e a partição criptografada deve estar pronta.
Se você encontrar um erro com o /etc/crypttab entrada, crie um arquivo em branco usando:
sudo touch /etc/crypttabE, em seguida, repita o processo de criação da partição usando o + símbolo.
A partição agora está criptografada com LUKS, mas deve ser desbloqueada na inicialização. É necessário criar uma entrada no /etc/crypttab Arquivo. Selecione a partição, clique no botão engrenagem controlar e escolher Editar opções de criptografia.
Alternar Padrões de sessão do usuário, Verifica Desbloqueie na inicialização do sistema, proporciona a Senha, e clique OK.
Agora selecione o Criptografado partição e montá-lo usando o Toque ícone. Copie o ponto de montagem.
Mova o diretório inicial para a unidade criptografada
Por segurança, clone o diretório inicial agora e exclua o diretório de origem mais tarde, depois que o processo for bem-sucedido (substitua "arjunandvishnu" pelo seu nome de usuário).
sudo rsync -av /home/* /media/arjunandvishnu/Encrypted/Dê a propriedade dos arquivos copiados ao usuário correto:
sudo chown -Rv arjunandvishnu: arjunandvishnu /media/arjunandvishnu/Encrypted/arjunandvishnuSe houver mais de um usuário, repita:
sudo chown -Rv pi: pi /media/arjunandvishnu/Encrypted/piMontar o disco automaticamente
Essa partição criptografada deve ser montada automaticamente na inicialização. Selecione os Criptografado disco, clique no engrenagem controle e selecione Editar opções de montagem.
Alternar Padrões de sessão do usuário e defina o Ponto de montagem para /home. Isso adicionará uma entrada ao /etc/fstab Arquivo.
Reinicie o Pi e faça login. Primeiramente, o diretório inicial deve ter 755 permissões:
sudo chmod 755 /homePara verificar se a partição criptografada está sendo usada para /home, crie uma pasta em branco na área de trabalho e verifique navegando até ela através do Criptografado diretório.
Observe que no Raspberry Pi OS, o gerenciador de arquivos padrão (pcmanfm) permite exclusões na Lixeira em unidades removíveis. Para habilitar a exclusão da Lixeira, desmarque a configuração em Preferências.
Remova a senha de criptografia salva
Anteriormente, ao configurar a criptografia, a senha foi salva. Essa configuração foi criada no /etc/crypttab Arquivo.
Seu arquivo luks-key é armazenado sem criptografia e abri-lo revelará a senha. Este é um risco de segurança e deve ser tratado. Não adianta deixar a fechadura e a chave juntas.
Exclua seu arquivo luks-key e remova sua referência de /etc/crypttab.
sudo rm /etc/luks-keys/YOUR-KEYAgora, toda vez que você inicializar, o Pi solicitará a senha de criptografia no início. Este é o comportamento esperado.
Se uma tela em branco for apresentada, use o Seta para cima/para baixo chave para que a tela de login apareça. Usar Retrocesso para limpar qualquer caractere e chave em sua senha de criptografia. Ele irá desbloquear a partição criptografada.
Excluir o diretório inicial antigo
Anteriormente, em vez de mover, você copiava o diretório inicial. O conteúdo do diretório antigo ainda não está criptografado e deve ser excluído se as informações forem confidenciais. Para fazer isso facilmente, monte a mídia em outro computador. Navegue até o diretório inicial ANTIGO na partição raiz da unidade externa montada e exclua-o (tenha cuidado).
A criptografia é fácil no Raspberry Pi
Proteger seus dados é um assunto que muitas vezes fará com que você caminhe uma milha extra no início, mas valerá a pena mais tarde. Muitos ifs e buts sobre criptografia são abordados aqui. Mas no fundo, as instruções são simples e a implementação é fácil. Não há motivo para se intimidar com a criptografia; recuperar dados também é fácil, desde que você não esqueça a senha de criptografia.
Se essa criptografia for configurada junto com o espelhamento de dados RAID-1, ela oferecerá segurança e proteção para seus dados contra falhas na unidade física e concluirá a configuração perfeita.