Arch Linux Шифрование всего диска

Моя Raspberry Pi настроена как сервер PHP MySQL (Percona), и я думаю, что мне удалось сделать ее достаточно устойчивой к онлайн-атакам, но она по-прежнему очень уязвима для кого-то, просто вынимая SD-карту и читая все мои данные. Я думаю, я мог бы зашифровать важные вещи в MySql, но ключи шифрования все равно будут в текстовых PHP-файлах, и я предполагаю, что я мог бы зашифровать папки PHP и / или MySQL, но все это будет просто сложным, и все равно будет существовать кеш и журналы и т. д., чтобы беспокоиться. Кто-то, вероятно, также может видеть хешированный пароль и использовать стол радуги, чтобы взломать их. Исправьте меня, если я ошибаюсь, но, как я вижу, самым простым в управлении и самым безопасным решением было бы просто зашифровать весь диск (за исключением загрузки и ядра).

Теперь единственная проблема в том, что я не могу понять, как это сделать. Лучшая ссылка, которую я мог найти, это https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_Entire_System, но насколько я могу это определить, только объясняет, что вам нужно сделать для новой установки, но, к сожалению, у меня есть уже установили множество пакетов и сделали много конфигураций, которые я хотел бы сохранить.

  • Установка OpenBSD на компьютере под управлением Linux
  • Уязвимости Linux?
  • Почему «ls -l» сообщает физический размер для каталога, когда он сообщает логический размер файла?
  • Stream Media Content от Linux до PS3
  • находить файлы журналов старше 30 дней
  • Запуск одной ОС на ядро
  • Может кто-нибудь, пожалуйста, объясните мне (или укажите ссылку, я думаю) простыми словами, что именно я должен сделать, чтобы полностью зашифровать мою существующую установку Arch Linux.

    PS. Я могу понять, что для полного шифрования ключ должен быть введен при загрузке, но я не мог определить, требует ли это физический терминал (экран + клавиатура) на устройстве (которого у меня действительно нет, но я могу получить, если это необходимо) или если я смогу сделать это по сети?

    EDIT: Я нашел своего рода учебник по настройке этого на Arch здесь https://gist.github.com/pezz/5310082 . Моя единственная проблема в том, что я не могу заставить дистанционную разблокировку работать. Я попытался копировать свой открытый ключ в / etc / dropbear / root_key, но когда я пытаюсь выполнить ssh с помощью своего личного ключа, меня все еще спрашивают пароль root, и ни фактический пароль root, ни пароль, используемые для разблокировки диска, не получают принято. Как упоминалось в учебниках для Debian в одном из ответов здесь, я попытался скопировать закрытый ключ, созданный Dropbear, который в моем случае, я думаю, это / etc / dropbear / dropbear_rsa_host_key для моего клиента, но затем, когда я пытаюсь выполнить ssh с помощью этого ключа, я Я просил пропустить фразу для ключа, любую идею?

  • Запуск ядра Linux и Ubuntu на пользовательский процессор
  • Что такое ALSA в ядре Linux?
  • Как работает сопоставление клавиш в Linux?
  • список устройств, связанных с логическими томами, без использования команд пакета lvm2
  • Добавление «случайной числовой энтропии» для ключей GPG?
  • GRUB: добавление записи для ОС на другом жестком диске
  • One Solution collect form web for “Arch Linux Шифрование всего диска”

    В том, что вы пытаетесь выполнить, есть три отдельных вопроса.

    1. Шифрование существующей системы. Правильный способ сделать это – создать резервную копию существующей установки на другом диске и начать с новой установки и rsync ваши соответствующие системные файлы, как только вы настроите свой зашифрованный Pi. Таким образом, вы были бы уверены, что не потеряете никаких данных и будете иметь подлинно зашифрованный Pi (используя метод, описанный на странице Arch Wiki LUKS).

    2. Проблема с этим подходом заключается в том, что изображения Archlinux ARM распространяются как .img файлы и предназначены для установки на SD-карту, поэтому, используя стандартный метод установки, нет возможности реализовать более сложную установку, такую как LUKS или LVM. Один из разработчиков Archlinux ARM рассмотрел это на форуме и рекомендовал использовать этот скрипт . Это сообщение в блоге имеет некоторые особенности .

    3. Третья проблема, с которой вы столкнетесь, – это дистанционное отключение зашифрованного устройства. Стандартный метод для этого – использование busybox и dropbear, как описано в этом ответе U & L. Это сообщение в блоге содержит сведения о Debian Pi , но оно должно работать для версии Arch.

    Linux и Unix - лучшая ОС в мире.