Описание тега sez
В приложении, которое вы хотите защитить по крайней мере:
- Фактический медиа-файлов, полученных с сервера
- На VPN-ключей, которые позволяют малины для подключения к VPN (в противном случае злоумышленнику нужно только извлечь ключ, подключить к себе VPN и получить файлы)
Вы можете зашифровать только те вещи, или вы можете зашифровать весь корневой файловой системы. Возможно, вы могли бы также сделать последнее, пока вы на него.
Вы можете использовать LUKS для шифрования файловой системе малины. Вы можете найти инструкции по настройке в Debian (и, предположительно, Мята) системы с зашифрованным корнем из многих источников. В принципе, вы можете сделать это из программы установки Перед установкой системы. Преобразование системы после того, гораздо больше проблем, потому что вы должны:
- загрузки альтернативной системы
- монтирование корневой файловой системы и скопировать его содержимое в другом месте (предполагает свободное хранение)
- переформатировать целевую корневую файловую систему с Лукс
- скопировать все обратно
- Добавить новый зашифрованный раздел в
файл/etc/crypttab можно найти
, настройкив/etc/fstab строчку
- С
помощью chroot
или аналогичный, восстановление целевого образа initramfs, так что он будет иметь возможность расшифровать корень при загрузке.
Отдельной корневой файловой системы и /загрузки
файловой системы является обязательным, так что вы должны начать с системы, которая уже имеет, что если вы идете с конверсией вариант. Преобразование существующей системы к зашифрованным корень немного экспертной процедуры. Я быстро нашел учебник, но я не читал ее, поэтому я не могу поручиться за это.
Если малина должна загружаться автоматически, но вы столкнулись с проблемой, что все, что вам сделать, это небезопасный: установка должна быть в состоянии, чтобы разблокировать свои собственные расшифровки, что означает, что ключи будут доступны для вора. До сих пор, смягчения вы предлагаете в своем комментарии, который физически разделить ключ на другой носитель, не плохой компромисс, если вы должны идти по этому пути.
Другой вопрос , как сделать систему открыть собственный ключ во время загрузки в автоматическом режиме. Вместо keyscript
, что просто выводит на экран passphase, как это предлагается в решении этой проблемы, вы бы создали короткий скрипт:
- подключает физически отдельном носителе
- загружает и выводит пароль от файл туда
- размонтирует отдельном носителе
Этот скрипт будет работать изнутри в initramfs. Непроверено: такой сценарий может выглядеть примерно так:
команды mkdir -Р /тугриков/ключ
смонтировать /dev/диск/автор-ИД/SD-карту-чего-то-устройства-имя-это-часть1 /шоссе/ключ
кошка /тугриков/ключ/корень файловой системы-клавиш
размонтировать /шоссе/ключ
...и добавить keyscript
опцию в файл/etc/crypttab можно найти
имена, сценарий.