Arch Linux Шифрование всего диска

Моя Raspberry Pi настроена как сервер PHP MySQL (Percona), и я думаю, что мне удалось сделать ее достаточно устойчивой к онлайн-атакам, но она по-прежнему очень уязвима для кого-то, просто вынимая SD-карту и читая все мои данные. Я думаю, я мог бы зашифровать важные вещи в MySql, но ключи шифрования все равно будут в текстовых PHP-файлах, и я предполагаю, что я мог бы зашифровать папки PHP и / или MySQL, но все это будет просто сложным, и все равно будет существовать кеш и журналы и т. д., чтобы беспокоиться. Кто-то, вероятно, также может видеть хешированный пароль и использовать стол радуги, чтобы взломать их. Исправьте меня, если я ошибаюсь, но, как я вижу, самым простым в управлении и самым безопасным решением было бы просто зашифровать весь диск (за исключением загрузки и ядра).

Теперь единственная проблема в том, что я не могу понять, как это сделать. Лучшая ссылка, которую я мог найти, это https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_Entire_System, но насколько я могу это определить, только объясняет, что вам нужно сделать для новой установки, но, к сожалению, у меня есть уже установили множество пакетов и сделали много конфигураций, которые я хотел бы сохранить.

Может кто-нибудь, пожалуйста, объясните мне (или укажите ссылку, я думаю) простыми словами, что именно я должен сделать, чтобы полностью зашифровать мою существующую установку Arch Linux.

PS. Я могу понять, что для полного шифрования ключ должен быть введен при загрузке, но я не мог определить, требует ли это физический терминал (экран + клавиатура) на устройстве (которого у меня действительно нет, но я могу получить, если это необходимо) или если я смогу сделать это по сети?

EDIT: Я нашел своего рода учебник по настройке этого на Arch здесь https://gist.github.com/pezz/5310082 . Моя единственная проблема в том, что я не могу заставить дистанционную разблокировку работать. Я попытался копировать свой открытый ключ в / etc / dropbear / root_key, но когда я пытаюсь выполнить ssh с помощью своего личного ключа, меня все еще спрашивают пароль root, и ни фактический пароль root, ни пароль, используемые для разблокировки диска, не получают принято. Как упоминалось в учебниках для Debian в одном из ответов здесь, я попытался скопировать закрытый ключ, созданный Dropbear, который в моем случае, я думаю, это / etc / dropbear / dropbear_rsa_host_key для моего клиента, но затем, когда я пытаюсь выполнить ssh с помощью этого ключа, я Я просил пропустить фразу для ключа, любую идею?

  • Как расшифровать имена хостов зашифрованных .ssh / known_hosts со списком имен хостов?
  • Как скрыть зашифрованную версию файла, помещенного в файловую систему cryptfs?
  • Как заблокировать каталог?
  • Как настроить шифрование полного диска на OpenBSD?
  • Поддерживает ли Networkmanager зашифрованные секретные ключи?
  • Зашифрованная загрузка
  • passwd не работает после изменения CRYPT_DEFAULT
  • Как зашифровать раздел несколько раз?
  • One Solution collect form web for “Arch Linux Шифрование всего диска”

    В том, что вы пытаетесь выполнить, есть три отдельных вопроса.

    1. Шифрование существующей системы. Правильный способ сделать это – создать резервную копию существующей установки на другом диске и начать с новой установки и rsync ваши соответствующие системные файлы, как только вы настроите свой зашифрованный Pi. Таким образом, вы были бы уверены, что не потеряете никаких данных и будете иметь подлинно зашифрованный Pi (используя метод, описанный на странице Arch Wiki LUKS).

    2. Проблема с этим подходом заключается в том, что изображения Archlinux ARM распространяются как .img файлы и предназначены для установки на SD-карту, поэтому, используя стандартный метод установки, нет возможности реализовать более сложную установку, такую как LUKS или LVM. Один из разработчиков Archlinux ARM рассмотрел это на форуме и рекомендовал использовать этот скрипт . Это сообщение в блоге имеет некоторые особенности .

    3. Третья проблема, с которой вы столкнетесь, – это дистанционное отключение зашифрованного устройства. Стандартный метод для этого – использование busybox и dropbear, как описано в этом ответе U & L. Это сообщение в блоге содержит сведения о Debian Pi , но оно должно работать для версии Arch.

    Interesting Posts

    Почему этот статический маршрут не вступает в силу?

    bash выполнить команду чтения из файла

    как предотвратить расширение псевдонимов `eval` до произвольного псевдонима и сохранить бесконечную защиту цикла от функции?

    cd из удаленной папки

    Как передать строки из файла в сценарий bash, чтобы каждая строка оставалась неразделенной, даже если есть пробелы?

    Как я могу создать скрипт bash, который запускает irb, а затем некоторый код ruby?

    Драйверы видеокарты Nvidia для совместимости с Linux

    Как проверить, какой пользователь установил пакет или программное обеспечение?

    Linux на Lenovo Z575 – без дисплея после установки

    Как использовать последовательный терминал с сервером FreeBSD?

    Почему файлы-nr и lsof рассчитываются на открытые файлы?

    Окно с просьбой ввести мою кодовую фразу ssh появляется случайно. Зачем?

    Изменено имя пользователя – не удалось обновить файл полномочий ICE

    Следуя советам по оптимизации SSD, теперь корневой раздел не будет монтировать rw

    Получите более быстрый ответ на пинг

    Linux и Unix - лучшая ОС в мире.