私のRPIは1です。オリジナル。
基本的な最終的なセキュリティのために、私のすべてのコンピュータは暗号化されており、停電時に誰かが正しいパスワードを入力しないと、停電時に起動/読み取ることができないことが私にとって重要です。
「ディスク」(フラッシュカード)の暗号化を簡単に有効にできると確信するまで、RPIはその目的には使用できません。
通常のPCやVeraCrypt(以前のTrueCrypt)のように暗号化してパスワードを要求する簡単なコマンドを実行できますか?
それはしなければならないいいえいくつかのハードウェア「セキュリティモジュール」が必要です!
暗号化されていないRPI 1が私のシステムに電力を供給するのに十分強力であることがわかったので、「遅すぎても」問題はありません。画面に接続されていません。軽い「サーバー」タスクを実行し、実際に「速い」必要はありません。もちろん、遅すぎて始めるのに30分かかり、ひざまずかずに1+1を計算できないと、する問題になるかもしれませんが、そうではないような気がします!
私が尋ねている間にこれがRPI 4なら、どのような違いがあるのか疑問に思います。確かに、RPIのバージョンに関係なく、まだ同じコマンドを使用する必要があります。ただ最新のモデルがより速いということですか?
RPIは基本的に1ですか?できない何とかしてみようか?
コマンドでいっぱいの長い「チュートリアル」にリンクしないでください。私はただしたいです:
encrypt-pi
Please enter password: **********************
Working... 1%...
Working... 50%...
Working... 97%...
Done! Reboot now to enter the password and enter encrypted mode? y
Rebooting...
これが不可能な場合、これが起こるのを正確に防ぐことは何ですか?泥棒や他のスパイが私のRPIを盗んで、私の顧客データベース全体、ビジネスプロジェクトの記録などを確保することを心配している人は本当に私だけですか? 「メディアセンター」RPIにも使いたいです。外部の人が見たり所有したくない個人の写真やビデオがリビングルームに表示されることがあります。
どこにいても暗号化について質問するたびに、人々は不快であるか明確に答えるのを嫌がるようです。今回はそうしないことを願っています。
答え1
私はRaspbianの派生ディストリビューションであるDebianが暗号化されたディスクをサポートすると信じています。
ただし、暗号化されていないディスクを暗号化されたディスクに変更することは、望むほど簡単ではありません。ファイルシステムをバックアップして復元する必要があるようです。
(いくつかの実験を行っています。お知らせします。)
編集:実験は完了して成功しましたが、好きなだけ簡単ではありません。
以下の説明では/dev/physicaldisk
、encryptedname
および 654321
を/backup/location
プレースホルダとして使用します。最初のものは既存のデバイス名です。ほとんどの設定を完了するために、PIとは異なるLinuxデバイスに異なる名前がある可能性があります。 2番目は、暗号化されたディスクに適用する論理名です。 3番目はステップ2で報告されたサイズです。 4番目はファイルシステムイメージが保存される場所です(暗号化されたファイルシステムには保存されません)。
cryptsetupとcryptsetup-initramfsをインストールする必要があります(利用可能な場合)。
既存のファイルシステムを縮小して起動します。
fsck -f /dev/physicaldisk resize2fs -M /dev/physicaldisk
これにより新しいサイズが報告され、以下には654321と記録します。正しく行ったことを確認してください。
既存のファイルシステムを別の場所にバックアップします。
dd if=/dev/physicaldisk of=/backup/location bs=4096 count=654321
ディスクに暗号化を設定して有効にします。これのためにそこにいるすべてが壊れた。
cryptsetup luksFormat /dev/physicaldisk cryptsetup luksOpen /dev/physicaldisk encryptedname
ファイルシステムを修復します。
dd if=/backup/location of=/dev/mapper/encryptedname bs=4096 count=654321
/backup/location がファイルシステムにある場合は、bs= および count= オプションを安全に省略できます。
すべてのスペースを使用するように回復されたファイルシステムのサイズを変更します。
resize2fs /dev/mapper/encryptedname
ブートローダでルートファイルシステムエントリを変更します。 PIの場合、これは
config.txt
エントリに存在する必要がありますcmdline
。私の考えでは、次のように変更する必要があります。root=/dev/physicaldisk
到着
root=/dev/mapper/encryptedname cryptopts=target=encryptedname,source=/dev/physicaldisk
そう思います。始めましょう。
Raspberry PIの場合、2つのMicro-SDカードがあり、同時にマウントできる場合は、/backup/locationをスキップし、あるカードの物理ディスクから別のカードの暗号化ファイルシステムに移動できます。
注:私はこれをraspbian PIではなくdebian amd64ノートブックでテストしました。お客様のマイルが異なる場合があります。