LINUX.ORG.RU

Rasberry Pi 3 загрузка с шифрованной ФС

 , ,


0

1

Имеется Raspberry Pi 3, которая загружается с micro sd. Требуется создать 2 партиции:

  1. на одной будет ядро и системный софт, и надо исключить возможность перезаписи файлов и внесения каких-либо изменений на этой партиции, ну или по крайней мере сильно усложнить такую возможность, как во время работы устройства, так и при извлечении micro sd из устройства и попытке её монтирования и изменения на стороннем устройстве. Также желательно исключить возможность загрузки с данной micro sd на других устройствах.
  2. на другой /home /var/log /tmp, т.е. любые данные, перезаписываемые во время работы устройства.

Как вариант, сделать шифрованную партицию и собственную сборку u-boot с зашитым в исходниках ключом для монтирования шифрованной файловой системы. Как лучше реализовать такое решение или посоветуйте ваш вариант, в какую сторону копать?


Шифрование уже исключает возможность внесения изменений без последствий. Достаточно выделить /boot для загрузчика, и / для всего остального (cryptsetup luksFormat …).

Hardware root of trust у тебя нет, поэтому дальше пойти у тебя не получится.

Если устройство headless, то парольную фразу вводить через ssh.

https://github.com/ViRb3/pi-encrypted-boot-ssh

p.s.

собственную сборку u-boot с зашитым в исходниках ключом для монтирования шифрованной файловой системы

== фактически держать данные в открытом виде

anonymous
()