Arch Linux Criptografar toda a unidade

Navegue suas respostas
4

Meu Raspberry Pi é configurado como um servidor MySQL (Percona) PHP e eu acho que consegui torná-lo bastante resistente contra ataques online, mas ainda é muito vulnerável contra alguém apenas pegando o cartão SD e lendo todos os meus dados. Eu acho que eu poderia criptografar as coisas importantes no MySql, mas as chaves de criptografia ainda estariam em arquivos PHP texto puro e eu acho que eu poderia criptografar as pastas PHP e / ou MySQL, mas tudo ficaria complexo e ainda haveria cache e logs etc. para se preocupar. Alguém provavelmente também pode ver a senha com hash e usar uma tabela de arco-íris para quebrá-las. Corrija-me se estiver errado, mas, do meu ponto de vista, o mais simples de gerenciar e a solução mais segura seria simplesmente criptografar a unidade inteira (excluindo obviamente a inicialização e o kernel).

Agora, o único problema é que não consigo descobrir como fazer isso. O melhor link que eu pude encontrar foi este link mas, tanto quanto eu posso determinar isso só explica o que você deve fazer para uma nova instalação, mas infelizmente eu já instalei muitos pacotes e fiz muitas configurações que gostaria de manter.

Alguém poderia me explicar (ou fornecer um link, eu acho) em termos simples o que exatamente devo fazer para criptografar totalmente a minha instalação existente do Arch Linux.

PS. Eu posso entender que, para criptografia completa, uma chave precisa ser digitada na inicialização, mas não consegui determinar se isso requer um terminal físico (tela + teclado) no dispositivo (o que eu realmente não tenho, mas posso obter se necessário) ou se eu conseguir fazer isso pela rede?

EDITAR: Eu encontrei uma espécie de tutorial para configurar isso no Arch aqui link . Meu único problema é que não consigo fazer o desbloqueio remoto funcionar. Eu tentei copiar minha chave pública em / etc / dropbear / root_key, mas quando eu tento ssh com a minha chave privada ainda me pedem a senha do root e nem a senha real do root nem a senha usada para desbloquear a unidade fica aceitaram. Como mencionado pelos tutoriais para o Debian em uma das respostas aqui tentei copiar a chave privada gerada pelo Dropbear que no meu caso acho que é / etc / dropbear / dropbear_rsa_host_key para meu cliente mas quando tento ssh com essa chave eu me pedem uma frase secreta para a chave, alguma idéia?

    
por Gerharddc 08.02.2014 / 12:21

1 resposta

3

Existem três questões separadas envolvidas no que você está tentando realizar.

  1. Criptografando um sistema existente. A maneira correta de fazer isso seria fazer o backup de sua instalação existente em outra unidade e iniciar com uma nova instalação e rsync de seus arquivos de sistema relevantes depois de configurar seu Pi criptografado. Dessa forma, você teria certeza de que não perderia nenhum dado e teria um Pi genuinamente criptografado (usando o método descrito na página do Arch Wiki LUKS).

  2. O problema com essa abordagem é que as imagens do Archlinux ARM são distribuídas como .img e se destinam a dd em um cartão SD, portanto, usando o método de instalação padrão, não há oportunidade de implementar uma instalação mais complexa, como LUKS ou LVM. Um dos desenvolvedores do Archlinux ARM abordou isso em uma postagem no fórum e recomendou o uso de este script . Esta postagem do blog tem alguns detalhes .

  3. O terceiro problema que você enfrentará é desbloquear o dispositivo criptografado remotamente. O método padrão para fazer isso é usar o busybox e o dropbear, como descrito nesta resposta U & L . Esta postagem de blog tem os detalhes para um Debian Pi , mas deve funcionar para o Versão do arco.

por 08.02.2014 / 23:14

Tags

pacote obsoleto quebra a instalação do yum do JBoss antigo Faça o início da tela como Daemon para um servidor Minecraft