Arch Linux Шифрование всего диска

Моя Raspberry Pi настроена как сервер PHP MySQL (Percona), и я думаю, что мне удалось сделать ее достаточно устойчивой к онлайн-атакам, но она по-прежнему очень уязвима для кого-то, просто вынимая SD-карту и читая все мои данные. Я думаю, я мог бы зашифровать важные вещи в MySql, но ключи шифрования все равно будут в текстовых PHP-файлах, и я предполагаю, что я мог бы зашифровать папки PHP и / или MySQL, но все это будет просто сложным, и все равно будет существовать кеш и журналы и т. д., чтобы беспокоиться. Кто-то, вероятно, также может видеть хешированный пароль и использовать стол радуги, чтобы взломать их. Исправьте меня, если я ошибаюсь, но, как я вижу, самым простым в управлении и самым безопасным решением было бы просто зашифровать весь диск (за исключением загрузки и ядра).

Теперь единственная проблема в том, что я не могу понять, как это сделать. Лучшая ссылка, которую я мог найти, это https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_Entire_System, но насколько я могу это определить, только объясняет, что вам нужно сделать для новой установки, но, к сожалению, у меня есть уже установили множество пакетов и сделали много конфигураций, которые я хотел бы сохранить.

Может кто-нибудь, пожалуйста, объясните мне (или укажите ссылку, я думаю) простыми словами, что именно я должен сделать, чтобы полностью зашифровать мою существующую установку Arch Linux.

PS. Я могу понять, что для полного шифрования ключ должен быть введен при загрузке, но я не мог определить, требует ли это физический терминал (экран + клавиатура) на устройстве (которого у меня действительно нет, но я могу получить, если это необходимо) или если я смогу сделать это по сети?

EDIT: Я нашел своего рода учебник по настройке этого на Arch здесь https://gist.github.com/pezz/5310082 . Моя единственная проблема в том, что я не могу заставить дистанционную разблокировку работать. Я попытался копировать свой открытый ключ в / etc / dropbear / root_key, но когда я пытаюсь выполнить ssh с помощью своего личного ключа, меня все еще спрашивают пароль root, и ни фактический пароль root, ни пароль, используемые для разблокировки диска, не получают принято. Как упоминалось в учебниках для Debian в одном из ответов здесь, я попытался скопировать закрытый ключ, созданный Dropbear, который в моем случае, я думаю, это / etc / dropbear / dropbear_rsa_host_key для моего клиента, но затем, когда я пытаюсь выполнить ssh с помощью этого ключа, я Я просил пропустить фразу для ключа, любую идею?

  • Оптимальный Linux Distro для установки на SD-карту для использования в качестве USB-загрузчика для ПК?
  • Является ли tty_nr ссылкой в ​​другом месте в GNU / Linux procfs?
  • Creative CA0132 нет звука
  • Как я могу подтвердить, поддерживает ли мой сервер дыру?
  • Скорость передачи при копировании из Windows в Pi
  • unshare -m, похоже, не создает пространство имен mount
  • Ядро Linux: нарушение пользовательского пространства
  • VPN-клиенты, не достигшие Интернета
  • One Solution collect form web for “Arch Linux Шифрование всего диска”

    В том, что вы пытаетесь выполнить, есть три отдельных вопроса.

    1. Шифрование существующей системы. Правильный способ сделать это – создать резервную копию существующей установки на другом диске и начать с новой установки и rsync ваши соответствующие системные файлы, как только вы настроите свой зашифрованный Pi. Таким образом, вы были бы уверены, что не потеряете никаких данных и будете иметь подлинно зашифрованный Pi (используя метод, описанный на странице Arch Wiki LUKS).

    2. Проблема с этим подходом заключается в том, что изображения Archlinux ARM распространяются как .img файлы и предназначены для установки на SD-карту, поэтому, используя стандартный метод установки, нет возможности реализовать более сложную установку, такую как LUKS или LVM. Один из разработчиков Archlinux ARM рассмотрел это на форуме и рекомендовал использовать этот скрипт . Это сообщение в блоге имеет некоторые особенности .

    3. Третья проблема, с которой вы столкнетесь, – это дистанционное отключение зашифрованного устройства. Стандартный метод для этого – использование busybox и dropbear, как описано в этом ответе U & L. Это сообщение в блоге содержит сведения о Debian Pi , но оно должно работать для версии Arch.

    Linux и Unix - лучшая ОС в мире.