Les données de Raspberry Pi sont stockées dans la partition du système d'exploitation d'une carte microSD ou HDD/SSD. Lors de l'installation du système d'exploitation, il n'y a pas d'option pour configurer des partitions cryptées (dans aucun des systèmes d'exploitation Pi populaires). Si le support du Pi est perdu ou volé, il peut être connecté à un autre ordinateur et toutes les données peuvent être lues, indépendamment d'un mot de passe de connexion fort ou de l'état de la connexion automatique (activée ou désactivée).
Les données compromises peuvent inclure des informations sensibles telles que les "données de profil Firefox", qui contiennent des identifiants de connexion (noms d'utilisateur et mots de passe enregistrés pour divers sites Web). Ces données sensibles tombant entre de mauvaises mains peuvent conduire à l'usurpation d'identité. Cet article est un guide étape par étape pour protéger les données à l'aide du cryptage. Il s'agit d'une configuration unique réalisée à l'aide d'outils GUI pour plus de simplicité.
Comparé à un ordinateur de bureau ou portable, le Pi n'a ni vis ni verrou physique pour ses supports. Bien que cette flexibilité facilite le changement de système d'exploitation, en échangeant la carte microSD, ce n'est pas bon pour la sécurité. Il suffit d'une seconde pour qu'un mauvais acteur retire son média. De plus, les cartes microSD sont si petites qu'il sera impossible de les retrouver.
De plus, il n'y a pas de clip pour la fente pour carte microSD sur le Raspberry Pi. Lorsque vous transportez le Pi, si la carte glisse quelque part, il y a tout autant de chances que quelqu'un passe par son Contenu.
Différentes façons de sécuriser les données personnelles sur le Pi
Quelques utilisateurs de Pi comprennent le risque et chiffrent de manière proactive des fichiers individuels. La définition d'un mot de passe principal pour les navigateurs est également une pratique courante. Mais cet effort supplémentaire doit être fourni à chaque fois.
Compte tenu de ces facteurs, il est sage de configurer le chiffrement pour l'ensemble du disque. Le disque restera illisible pour les autres à moins qu'ils n'aient la phrase secrète de cryptage, qu'ils ne connaissent bien sûr pas et ne peuvent pas vous demander. Le forçage brutal avec un dictionnaire de mots de passe ne le cassera pas non plus, car vous définirez un mot de passe suffisamment bon pour résister à de telles attaques.
Utilisation du disque existant vs. Configuration sur un nouveau disque
L'idée est de créer une partition cryptée et de la configurer pour qu'elle fonctionne comme répertoire personnel. Étant donné que toutes les données personnelles se trouvent généralement dans le répertoire personnel, la sécurité des données restera intacte.
Il y a deux manières différentes de le faire :
- Libérez de l'espace pour la partition chiffrée sur le disque actuellement utilisé pour le système d'exploitation.
- Utilisez un nouveau SSD ou disque dur, connectez-le au Pi avec un Adaptateur USB vers SATA (si nécessaire) et utilisez-la comme partition chiffrée.
Il y a certains avantages avec les deux configurations :
- La première configuration utilise la carte microSD ou le SSD existant et ne nécessite aucun matériel supplémentaire. Étant un disque unique, il garde les choses compactes et est bon pour la portabilité.
- La deuxième configuration est bonne pour une durée de vie plus longue du disque en raison du nombre inférieur d'écritures. Il est également légèrement plus rapide puisque les lectures/écritures sont réparties entre deux disques.
La première configuration est abordée ici car elle comporte quelques étapes supplémentaires. La deuxième configuration fait partie de la première et les étapes à exclure sont faciles à comprendre.
L'installation ici montre le processus sur Raspberry Pi OS; le même processus peut être répliqué pour Ubuntu Desktop OS et ses variantes telles que MATE.
Préparer le disque pour le chiffrement
Depuis la partition cryptée sera sur le disque du système d'exploitation lui-même, l'espace requis doit être extrait de la partition racine. Cela ne peut pas être fait sur un Pi démarré puisque la partition racine est déjà montée. Utilisez donc un autre ordinateur pouvant exécuter gnome-disk-utility, tel qu'un PC Linux.
Alternativement, vous pouvez également double-booter un Raspberry Pi ou exécutez un système d'exploitation temporaire avec un support connecté via USB.
Connectez le disque OS de votre Pi à l'autre ordinateur et installez l'outil pour gérer le disque :
sudo apt mettre à jour
sudo apt installer utilitaire de disque gnome
Ouvert Disques depuis le menu ou avec la commande :
disques-gnome
Une étape facultative à ce stade consiste à sauvegarder le disque, en particulier s'il contient des données importantes. L'outil Disques a une fonctionnalité intégrée pour enregistrer le disque entier en tant qu'image. Si nécessaire, cette image peut être restaurée sur le support.
Découpez l'espace nécessaire pour le disque crypté. Sélectionnez le partition racine, clique le Équipement contrôler et sélectionner Redimensionner
Si vous utilisez une carte microSD ou un lecteur d'une capacité de 32 Go ou plus, allouez 15 Go pour la partition racine et laissez le reste pour la partition à chiffrer.
Cliquez sur Redimensionner et le Espace libre sera créé.
Lorsque vous avez terminé, éjectez le support de cet ordinateur. Connectez-le à votre Raspberry Pi et démarrez-le.
Ouvrez le terminal et installez l'outil Disks sur le Pi :
sudo apt installer gnome-disk-utility -y
Étant donné que le chiffrement est nécessaire, installez le plug-in de chiffrement suivant :
sudo apt installer libblockdev-crypto2 -y
Redémarrez le service Disques :
sudosystemctlredémarrerudisks2.service
Configurer le chiffrement à l'aide de l'interface graphique: le moyen le plus simple
Ouvrez l'outil Disques depuis le menu ou avec la commande :
disques-gnome
Sélectionner Espace libre et cliquez sur le + symbole pour créer la partition.
Laissez la taille de la partition à sa valeur par défaut maximale et cliquez sur Prochain.
Donne un Nom du volume; par exemple, Crypté. Sélectionner EXT4 et vérifie Volume protégé par mot de passe (LUKS).
Donnez une phrase de passe, une phrase forte. Bien qu'il soit conseillé d'utiliser un mélange de chiffres et de caractères spéciaux, la simple longueur du mot de passe rendra impossible le piratage par force brute. Par exemple, un mot de passe de 17 caractères mettra quelques millions d'années à forcer brutalement pour utiliser les ordinateurs les plus rapides d'aujourd'hui. Vous pouvez donc utiliser une très longue phrase après avoir tronqué les espaces.
Cliquez sur Créer, et la partition chiffrée devrait être prête.
Si vous rencontrez un Erreur avec le /etc/crypttab entrée, créez un fichier vierge en utilisant :
sudo touch /etc/crypttab
Et puis répétez le processus de création de la partition en utilisant le + symbole.
La partition est maintenant cryptée LUKS, mais elle doit être déverrouillée au démarrage. Une entrée doit être créée dans le /etc/crypttab dossier. Sélectionnez la partition, cliquez sur le équipement contrôler et choisir Modifier les options de chiffrement.
Basculer Valeurs par défaut de la session utilisateur, Chèque Déverrouiller au démarrage du système, fournir le Mot de passe, et cliquez D'ACCORD.
Sélectionnez maintenant le Crypté partition et montez-le en utilisant le jouer icône. Copiez le point de montage.
Déplacer le répertoire personnel vers le lecteur crypté
Par sécurité, clonez le répertoire personnel maintenant et supprimez le répertoire source plus tard, une fois le processus réussi (remplacez "arjunandvishnu" par votre nom d'utilisateur).
sudo rsync -av /home/* /media/arjunandvishnu/Encrypted/
Attribuez la propriété des fichiers copiés au bon utilisateur :
sudo chown -Rv arjunandvishnu: arjunandvishnu /media/arjunandvishnu/Encrypted/arjunandvishnu
S'il y a plus d'un utilisateur, répétez :
sudo chown -Rv pi: pi /media/arjunandvishnu/Encrypted/pi
Monter le disque automatiquement
Cette partition chiffrée doit être automatiquement montée au démarrage. Sélectionnez le Crypté disque, cliquez sur le équipement contrôler et sélectionner Modifier les options de montage.
Basculer Valeurs par défaut de la session utilisateur et réglez le Point de montage à /home. Cela ajoutera une entrée au /etc/fstab dossier.
Redémarrez le Pi et connectez-vous. Tout d'abord, le répertoire personnel doit avoir 755 permissions :
sudo chmod 755 /accueil
Pour vérifier que la partition cryptée est utilisée pour /home, créez un dossier vide sur le bureau et vérifiez en y accédant via le Crypté annuaire.
Notez que sur Raspberry Pi OS, le gestionnaire de fichiers par défaut (pcmanfm) autorise les suppressions dans la corbeille sur les lecteurs amovibles. Pour activer la suppression dans la Corbeille, décochez le paramètre dans les Préférences.
Supprimer la phrase secrète de chiffrement enregistrée
Auparavant, lors de la configuration du chiffrement, la phrase secrète était enregistrée. Cette configuration a été créée dans le /etc/crypttab dossier.
Votre fichier luks-key est stocké non crypté et son ouverture révélera le mot de passe. Ceci est un risque pour la sécurité et doit être traité. Il ne sert à rien de laisser la serrure et la clé ensemble.
Supprimez votre fichier luks-key et supprimez sa référence de /etc/crypttab.
sudo rm /etc/luks-keys/VOTRE-CLE
Maintenant, chaque fois que vous démarrez, le Pi demandera la phrase secrète de cryptage au début. C'est le comportement attendu.
Si un écran vide s'affiche, utilisez le Flèche haut/bas touche pour que l'écran de connexion s'affiche. Utilisation Retour arrière pour effacer tous les caractères et la clé de votre phrase secrète de cryptage. Cela déverrouillera la partition cryptée.
Supprimer l'ancien répertoire personnel
Auparavant, au lieu de vous déplacer, vous avez copié le répertoire personnel. Le contenu de l'ancien répertoire n'est toujours pas chiffré et doit être supprimé si l'information est sensible. Pour le faire facilement, montez le support sur un autre ordinateur. Accédez à l'ANCIEN répertoire d'accueil dans la partition racine du lecteur externe monté et supprimez-le (soyez prudent).
Le chiffrement est facile sur Raspberry Pi
La sécurisation de vos données est un sujet qui vous fera souvent faire un effort supplémentaire au départ, mais qui sera payant bien plus tard. Beaucoup de si et de mais concernant le cryptage sont couverts ici. Mais à la base, les instructions sont simples et la mise en œuvre est facile. Il n'y a aucune raison d'être intimidé par le chiffrement; la récupération des données est également facile, tant que vous n'oubliez pas la phrase secrète de cryptage.
Si ce cryptage est configuré avec la mise en miroir des données RAID-1, il offrira la sécurité ainsi que la sécurité de vos données contre les pannes de disque physique et complétera la configuration parfaite.