Los datos de Raspberry Pi se almacenan en la partición del sistema operativo de una tarjeta microSD o HDD/SSD. Durante la instalación del sistema operativo, no existe la opción de configurar particiones cifradas (en ninguno de los populares sistemas operativos Pi). Si los medios de Pi se pierden o son robados, se pueden conectar a una computadora diferente y se pueden leer todos los datos, independientemente de una contraseña de inicio de sesión segura o el estado de inicio de sesión automático (apagado o encendido).
Los datos comprometidos pueden incluir información confidencial como "Datos de perfil de Firefox", que contiene credenciales de inicio de sesión (nombres de usuario y contraseñas guardados para varios sitios web). Estos datos confidenciales que caen en manos equivocadas pueden conducir al robo de identidad. Este artículo es una guía paso a paso para proteger los datos con el uso de cifrado. Es una configuración que se realiza una sola vez mediante el uso de herramientas GUI para simplificar.
En comparación con una computadora de escritorio o portátil, el Pi no tiene tornillos ni ningún bloqueo físico para sus medios. Si bien esta flexibilidad hace que sea conveniente cambiar de sistema operativo, al cambiar la tarjeta microSD, no es bueno para la seguridad. Todo lo que se necesita es un segundo para que un mal actor elimine sus medios. Además, las tarjetas microSD son tan pequeñas que será imposible rastrearlas.
Además, no hay un clip para la ranura de la tarjeta microSD en la Raspberry Pi. Cuando llevas la Pi contigo, si la tarjeta se desliza en alguna parte, existe la misma posibilidad de que alguien pase por su contenido.
Diferentes formas de proteger los datos personales en el Pi
Algunos usuarios de Pi comprenden el riesgo y encriptan proactivamente archivos individuales. Establecer una contraseña maestra para los navegadores también es una práctica común. Pero, este esfuerzo adicional debe realizarse cada vez.
Teniendo en cuenta estos factores, es aconsejable configurar el cifrado para todo el disco. El disco permanecerá ilegible para otros a menos que tengan la frase de contraseña de cifrado, que por supuesto no saben y no pueden preguntarle. La fuerza bruta con un diccionario de contraseñas tampoco lo romperá, porque establecerá una contraseña que sea lo suficientemente buena para resistir tales ataques.
Uso del disco existente vs. Configurándolo en un disco nuevo
La idea es crear una partición cifrada y configurarla para que funcione como directorio de inicio. Dado que todos los datos personales suelen estar en el directorio de inicio, la seguridad de los datos permanecerá intacta.
Hay dos formas diferentes de hacerlo:
- Deje espacio para la partición cifrada en el disco que se usa actualmente para el sistema operativo.
- Use un nuevo SSD o disco duro, conéctelo al Pi con un Adaptador USB a SATA (si es necesario) y utilícelo como la partición cifrada.
Hay ciertas ventajas con ambas configuraciones:
- La primera configuración utiliza la tarjeta microSD o SSD existente y no necesita ningún hardware adicional. Al ser un solo disco, mantiene las cosas compactas y es bueno para la portabilidad.
- La segunda configuración es buena para prolongar la vida útil del disco debido a la menor cantidad de escrituras. También es un poco más rápido ya que las lecturas/escrituras se distribuyen entre dos discos.
La primera configuración se discute aquí ya que tiene algunos pasos más. La segunda configuración es parte de la primera y los pasos para excluir son fáciles de entender.
La instalación aquí muestra el proceso en Raspberry Pi OS; el mismo proceso se puede replicar para Ubuntu Desktop OS y sus variantes, como MATE.
Preparar el disco para el cifrado
Ya que la partición encriptada estará en el propio disco del sistema operativo, el espacio requerido debe ser extraído de la partición raíz. Esto no se puede hacer en un Pi arrancado ya que la partición raíz ya está montada. Entonces, use otra computadora que pueda ejecutar gnome-disk-utility, como una PC con Linux.
Alternativamente, también puede iniciar dualmente una Raspberry Pi o ejecute un sistema operativo temporal con medios conectados mediante USB.
Conecte el disco del sistema operativo de su Pi a la otra computadora e instale la herramienta para administrar el disco:
sudo apto actualizar
sudo apto Instalar en pc gnome-disco-utilidadAbierto Discos desde el menú o con el comando:
gnomos-discosUn paso opcional en este punto es hacer una copia de seguridad del disco, especialmente si contiene datos importantes. La herramienta Discos tiene una función integrada para guardar todo el disco como una imagen. Si es necesario, esta imagen se puede restaurar de nuevo a los medios.
Separar el espacio necesario para el disco cifrado. Selecciona el partición raíz, haga clic en el Engranaje controlar y seleccionar Redimensionar
Si utiliza una tarjeta microSD o una unidad de 32 GB o más de capacidad, asigne 15GB para la partición raíz y deje el resto para que la partición se cifre.
Hacer clic Redimensionar y el Espacio libre se creará.
Cuando termine, expulse los medios de esta computadora. Conéctelo a su Raspberry Pi y enciéndalo.
Abra la terminal e instale la herramienta Discos en el Pi:
sudo apto Instalar en pc gnome-disco-utilidad -yDado que se necesita cifrado, instale el siguiente complemento criptográfico:
sudo apto Instalar en pc libblockdev-crypto2 -yReinicie el servicio de Discos:
sudosystemctlreiniciarudisks2.ServicioConfigurar el cifrado mediante GUI: la manera fácil
Abra la herramienta Discos desde el menú o con el comando:
gnomos-discosSeleccione Espacio libre y haga clic en el + símbolo para crear la partición.
Deje el tamaño de la partición en su valor predeterminado máximo y haga clic en próximo.
Dar un Nombre del volumen; por ejemplo, encriptado. Seleccione EXT4 y comprobar Volumen protegido con contraseña (LUKS).
Proporcione una frase de contraseña, una fuerte. Si bien se recomienda usar una combinación de números y caracteres especiales, solo la longitud de la contraseña hará que sea imposible piratearla mediante fuerza bruta. Por ejemplo, una contraseña de 17 caracteres tardará algunos millones de años en usar la fuerza bruta en las computadoras más rápidas de la actualidad. Entonces puedes usar una oración realmente larga después de truncar los espacios.
Hacer clic Creary la partición cifrada debería estar lista.
Si te encuentras con un error con el /etc/crypttab entrada, cree un archivo en blanco usando:
sudo touch /etc/crypttabY luego repita el proceso de creación de la partición usando el + símbolo.
La partición ahora está encriptada con LUKS, pero debe desbloquearse en el arranque. Se debe crear una entrada en el /etc/crypttab expediente. Seleccione la partición, haga clic en el engranaje controlar y elegir Editar opciones de cifrado.
Palanca Valores predeterminados de sesión de usuario, controlar Desbloquear al iniciar el sistema, proporcionar la Frase de contraseñay haga clic en OK.
Ahora seleccione el encriptado partición y montarlo usando el desempeñar icono. Copia el punto de montaje.
Mueva el directorio de inicio a la unidad cifrada
Por seguridad, clone el directorio de inicio ahora y elimine el directorio de origen más tarde, después de que el proceso sea exitoso (reemplace "arjunandvishnu" con su nombre de usuario).
sudo rsync -av /home/* /media/arjunandvishnu/Cifrado/Otorgue la propiedad de los archivos copiados al usuario correcto:
sudo chown -Rv arjunandvishnu: arjunandvishnu /media/arjunandvishnu/Encrypted/arjunandvishnuSi hay más de un usuario, repetir:
sudo chown -Rv pi: pi /media/arjunandvishnu/Encrypted/piMontar el disco automáticamente
Esta partición cifrada debe montarse automáticamente en el arranque. Selecciona el encriptado disco, haga clic en el engranaje controlar y seleccionar Editar opciones de montaje.
Palanca Valores predeterminados de sesión de usuario y establecer el Punto de montaje a /home. Esto agregará una entrada a la /etc/fstab expediente.
Reinicie el Pi e inicie sesión. En primer lugar, el directorio de inicio debe tener permisos 755:
sudo chmod 755 /inicioPara comprobar que la partición cifrada se está utilizando para /home, cree una carpeta en blanco en el escritorio y verifíquela navegando hasta ella a través de la encriptado directorio.
Tenga en cuenta que en el sistema operativo Raspberry Pi, el administrador de archivos predeterminado (pcmanfm) permite eliminar archivos en la Papelera de reciclaje en unidades extraíbles. Para habilitar la eliminación en la Papelera de reciclaje, desmarque la configuración en Preferencias.
Eliminar la frase de contraseña de cifrado guardada
Anteriormente, al configurar el cifrado, se guardó la frase de contraseña. Esta configuración fue creada en el /etc/crypttab expediente.
Su archivo luks-key se almacena sin cifrar y al abrirlo se revelará la contraseña. Este es un riesgo de seguridad y debe abordarse. De nada sirve dejar la cerradura y la llave juntas.
Elimine su archivo luks-key y elimine su referencia de /etc/crypttab.
sudo rm /etc/luks-keys/TU-CLAVEAhora, cada vez que inicie, el Pi le pedirá la frase de contraseña de cifrado al principio. Este es el comportamiento esperado.
Si se presenta una pantalla en blanco, utilice el Flecha arriba/abajo tecla para que aparezca la pantalla de inicio de sesión. Usar Retroceso para borrar cualquier carácter y clave en su frase de contraseña de cifrado. Desbloqueará la partición cifrada.
Eliminar el directorio de inicio antiguo
Anteriormente, en lugar de mover, copió el directorio de inicio. El contenido del directorio anterior aún no está cifrado y debe eliminarse si la información es confidencial. Para hacer esto fácilmente, monte el medio en otra computadora. Navegue hasta el directorio de inicio ANTIGUO en la partición raíz de la unidad externa montada y elimínelo (tenga cuidado).
El cifrado es fácil en Raspberry Pi
Proteger sus datos es un tema que a menudo le hará caminar una milla extra al principio, pero que valdrá la pena más adelante. Aquí se tratan muchos interrogantes sobre el cifrado. Pero en esencia, las instrucciones son simples y la implementación es fácil. No hay motivo para sentirse intimidado por el cifrado; recuperar datos también es fácil, siempre y cuando no olvide la frase de contraseña de cifrado.
Si este cifrado se configura junto con la duplicación de datos RAID-1, ofrecerá seguridad y protección para sus datos frente a fallas del disco físico y completará la configuración perfecta.