Raspberry很好,可以很快地运行。但是,如何保护我的SD卡免受离线数据攻击。 SSH可以用一个好的密码或SSH密钥进行保护,但是如果有人握住了卡,我希望它在很大程度上得到加密。

例如我所有的源php文件或任何其他文件源代码存储在SD卡上,可以轻松地安装到另一个linux系统中。但是我想通过某种方式对整个SD卡进行加密来防止这种情况。

有什么建议吗?

评论

您使用的是哪个操作系统,或者您想要每个操作系统的答案以帮助您在它们之间做出决定?

该指南建议使用AES-可能现在已更改默认值,但不要使用AES-容易破解。

您需要将/ boot解密,并输入密码以挂载我怀疑的根文件系统。

大声笑-DRM这么多哈哈哈:-)我想可能需要一些更复杂的系统才能从Internet服务创建一次性使用密钥?注意:这意味着您需要引导内核-创建密钥获取程序脚本,并可能以某种方式挂载加密分区。你知道像《魔兽世界》 DRM-没有网络,没有游戏。

然后,您可以对其进行netboot。除非他们窃取了您的引导服务器,否则他们将无法进行离线攻击:)

#1 楼

如果发行版支持,则可以使用LUKS / dm-crypt加密整个磁盘,pv或卷。还可以加密磁盘上的文件或目录,同时保持可挂接的文件系统(但已加密)。

无论哪种方式,您都会遇到一个问题:在使用清除数据之前,必须输入钥匙。如果密钥存储在卡上,则不会阻止攻击者从被盗的卡中读取密钥。如果是由个人输入的,则该个人需要在每次启动后手动输入密钥。

评论


他们可以在离线模式下使用密钥解密数据吗?(我怀疑答案是肯定的)是否可以将内核锁定到MAC地址,CPUID或某些硬件特定的方法?

– WillyWonka
2012年8月15日在8:01



通常是的。程序解密还是密钥解密都没关系。您可能可以使用硬件ID生成密钥。如果攻击者可以访问整个面板,那将无济于事,但是如果有人刚刚拿走或克隆了该卡,则可能会挽救您。

– XTL
2012年8月15日在8:48

是的,我不担心他们启动它。他们仍然无法获得Shell访问权限(除非有Linux可以解决该问题以获取root权限?)大多数likley都将尝试获取SD卡并获取源文件,以查看另一台计算机或其他设备上的所有秘密内容:)

– WillyWonka
2012年8月15日13:23



如果可以进行物理访问,则每个人都可以轻松获得Shell访问。您可以搜索单用户模式。这是Pi的示例。引导分区未加密!

–宏
2012年8月16日在11:29



#2 楼

一开始如何做?

sudo apt-get install ecryptfs-utils
sudo apt-get install lsof
sudo ecryptfs-migrate-home -u pi


会有更多的东西,但这就是主要部分-它只会覆盖您的主文件夹。如果您想做更多的事情,它会像这样:

https://www.howtoforge.com/how-to-encrypt-directories-partitions-with-ecryptfs-on-debian-squeeze

评论


链接看起来已被截断和/或消失。

– XTL
2015年4月7日在16:20

这是链接的文章的存档,用于保存web.archive.org/web/20201116213202/https://www.howtoforge.com/…

–MrWm
20 Nov 16在21:34