내 RPI는 1입니다. 원래.
기본적인 최종 보안을 위해 내 모든 컴퓨터는 암호화되어 있고 정전 시 누군가가 올바른 비밀번호를 입력하지 않으면 정전 시 시작/읽을 수 없다는 것이 나에게 중요합니다.
"디스크"(플래시 카드)의 암호화를 쉽게 활성화할 수 있다고 확신할 때까지 RPI를 해당 목적으로 사용할 수 없습니다.
일반 PC 및 VeraCrypt(이전의 TrueCrypt)에서처럼 암호화하고 비밀번호를 묻는 간단한 명령을 실행할 수 있나요?
그것은 해야 한다아니요일부 하드웨어 "보안 모듈"이 필요합니다!
암호화되지 않은 RPI 1이 내 시스템에 전력을 공급할 만큼 강력하다는 것을 알았기 때문에 "너무 느려지더라도" 문제가 되지 않습니다. 화면에 연결되지 않습니다. 가벼운 "서버" 작업을 수행하며 실제로 "빠를" 필요는 없습니다. 물론, 너무 느려지고 시작하는데 30분이 걸리고, 무릎을 꿇지 않고는 1+1을 계산할 수 없다면,하다문제가 될 수 있지만, 그렇지 않은 것 같은 느낌이 듭니다!
제가 묻는 동안 이것이 RPI 4라면 어떤 차이가 있는지 궁금합니다. 확실히 RPI 버전에 관계없이 여전히 동일한 명령을 사용해야 합니다. 단지 최신 모델이 더 빠르다는 건가요?
RPI는 기본적으로 1인가요?할 수 없는어떻게든 해볼까?
명령으로 가득 찬 긴 "튜토리얼"에 링크하지 마십시오. 난 그냥하고 싶어요 :
encrypt-pi
Please enter password: **********************
Working... 1%...
Working... 50%...
Working... 97%...
Done! Reboot now to enter the password and enter encrypted mode? y
Rebooting...
이것이 가능하지 않다면, 이런 일이 발생하는 것을 정확히 방지하는 것은 무엇입니까? 도둑이나 다른 염탐꾼이 내 RPI를 훔쳐서 내 전체 고객 데이터베이스, 비즈니스 프로젝트 기록 등을 확보하는 것에 대해 걱정하는 사람은 정말로 나뿐입니까? 나는 "미디어 센터" RPI에도 사용하고 싶습니다. 외부인이 보거나 소유하고 싶지 않은 개인 사진이나 비디오가 거실에 표시될 수도 있습니다.
어디서든 암호화에 관해 질문할 때마다 사람들은 불편해하거나 명확하게 대답하기를 꺼리는 것 같습니다. 이번에는 그렇지 않기를 바랍니다.
답변1
저는 Raspbian의 파생 배포판인 Debian이 암호화된 디스크를 지원한다고 믿습니다.
그러나 암호화되지 않은 디스크를 암호화된 디스크로 변경하는 것은 원하는 만큼 쉽지 않습니다. 파일 시스템을 백업하고 복원해야 할 것 같습니다.
(몇 가지 실험을 진행 중입니다. 알려드리겠습니다.)
편집: 실험이 완료되고 성공했지만 원하는 만큼 쉽지는 않습니다.
아래 설명에서는 /dev/physicaldisk, encryptedname및 654321를 /backup/location자리 표시자로 사용합니다. 첫 번째는 기존 장치 이름입니다. 대부분의 설정을 완료하기 위해 PI와 다른 Linux 장치에 다른 이름이 있을 수 있습니다. 두 번째는 암호화된 디스크에 적용할 논리적 이름입니다. 세 번째는 2단계에서 보고된 크기입니다. 네 번째는 파일 시스템 이미지가 저장되는 위치입니다(암호화된 파일 시스템에는 저장되지 않음).
cryptsetup 및 cryptsetup-initramfs를 설치해야 합니다(사용 가능한 경우).
기존 파일 시스템을 축소하여 시작하십시오.
fsck -f /dev/physicaldisk resize2fs -M /dev/physicaldisk그러면 새로운 크기가 보고되며 아래에는 654321로 기록하겠습니다. 제대로 했는지 확인하세요.
기존 파일 시스템을 다른 위치에 백업합니다.
dd if=/dev/physicaldisk of=/backup/location bs=4096 count=654321디스크에 암호화를 설정하고 활성화합니다. 이거 때문에 거기 있는 모든 게 망가졌어
cryptsetup luksFormat /dev/physicaldisk cryptsetup luksOpen /dev/physicaldisk encryptedname파일 시스템을 복구합니다.
dd if=/backup/location of=/dev/mapper/encryptedname bs=4096 count=654321/backup/location이 파일 시스템에 있는 경우 bs= 및 count= 옵션을 안전하게 생략할 수 있습니다.
모든 공간을 사용하도록 복구된 파일 시스템의 크기를 조정합니다.
resize2fs /dev/mapper/encryptedname부트로더에서 루트 파일 시스템 항목을 수정합니다. PI의 경우 이는
config.txt항목에 있어야 합니다cmdline. 내 생각에는 다음과 같이 변경해야 합니다.root=/dev/physicaldisk도착하다
root=/dev/mapper/encryptedname cryptopts=target=encryptedname,source=/dev/physicaldisk
그렇게 생각해요. 시작해 보세요.
Raspberry PI의 경우 두 개의 Micro-SD 카드가 있고 동시에 마운트할 수 있는 경우 /backup/location을 건너뛰고 한 카드의 물리적 디스크에서 다른 카드의 암호화된 파일 시스템으로 이동할 수 있습니다.
참고: 저는 이것을 raspbian PI가 아닌 debian amd64 노트북에서 테스트했습니다. 귀하의 마일리지가 다를 수 있습니다.