AbcLinuxu:/ Blogy / kolcon / Raspberry Pi - remote unlock encrypted btrfs root mini-howto

Raspberry Pi - remote unlock encrypted btrfs root mini-howto

1.4.2016 22:12 | Přečteno: 1958× | Linux | | poslední úprava: 1.4.2016 22:11

How to setup fully encrypted btrfs root for RPi, including ssh unlock

1. prepare RPi and SD card
2. on another PC download Raspbian image :

https://www.raspberrypi.org/downloads/raspbian/

3. unzip the image

unzip *raspbian-jessie.zip

4. dd it to the sd card

sudo dd if=*raspbian-jessie.img of=/dev/sdX (the device of your sd card) bs=40M

5. put the card to your RPi and boot it
6. install missing tools :

apt-get install dropbear busybox btrfs-tools cryptsetup

7. add your public ssh key to RPi's

mkdir /etc/initramfs-tools/.ssh

/etc/initramfs-tools/root/.ssh/authorized_keys

8. Create /etc/initramfs-tools/conf.d/network_config with contents like this:

export IP=<client-ip>:<server-ip>:<gw-ip>:<netmask>:<hostname>:<device>:<autoconf>

or 
export IP=dhcp

9. edit /etc/initramfs-tools/modules and add:

   btrfs

   to the end
10. create /etc/crypttab and add :

    sdcard /dev/mmcblk0p2 none luks

11. edit /boot/config.txt and add :

    initramfs initrd followkernel
    ramfsfile=initrd
    ramfsaddr=-1

12. edit /boot/cmdline.txt , change root=/dev/mmcblk0p2 to root=/dev/mapper/sdcard and add cryptdevice=/dev/mmcblk0p2:sdcard rootflags=subvol=raspbian
13. edit /etc/fstab and change /dev/mmcblk0p2 / ext4 defaults,noatime 0 1 to /dev/mapper/sdcard / btrfs compress,noatime,subvol=raspbian 0 0
14. create fake root

    truncate -s 100M fakeroot.img

15. set it up with

    cryptsetup cryptsetup luksFormat fakeroot.img

16. open it with cryptsetup

    cryptsetup luksOpen fakeroot.img sdcard

17. create temporary filesystem :

    mkfs.btrfs /dev/mapper/sdcard

18. create initram :

    mkinitramfs -v -o /boot/initrd

19. close the temporary device :

    cryptsetup luksClose sdcard

20. remove the temp file :

    rm /root/fakeroot.img

21. poweroff the RPi :

    poweroff

22. take out the SD card and put it to another PC
23. mount the second partition

    mount /dev/sdX2 /mnt

24. create temp directory

    mkdir /root/sd_temp

    and rsync the RPi there

    rsync -aD --verbose --progress /mnt/ /root/sd_temp/

25. umount the RPi SD card

    umount /mnt

26. cryptsetup format it as you wish (perhaps using a key)

    cryptsetup luksFormat /dev/sdX2

27. open it

    cryptsetup luksOpen /dev/sdX2 sdcard

28. format the device with btrfs

    mkfs.btrfs /dev/mapper/sdcard

29. mount it

    mount -o compress /dev/mapper/sdcard /mnt

30. create subvolume for the system

    btrfs subv crea /mnt/raspbian

31. rsync the filesystem back

    rsync -aD --verbose --progress /root/sd_temp/ /mnt/raspbian/

32. umount the filesystem

    umount /mnt

33. close the crypt file system

    cryptsetup luksClose sdcard

34. remove the SD card, put it to RPi, boot and you are done!

Tiskni Sdílej:

Komentáře

Diskuse byla administrátory uzamčena

Jsi na českém serveru, piš česky nebo přinejhorším východním nářečím jazyka československého. Tyhle cizojazyčné bláboly každého jenom otravují. Tataři, co neumí česky, mohou použít google translator do jejich rodné Tatarštiny. Naši pradědové vynaložili spoustu energie na to, aby se náš krásný jazyk rozvinul až do podoby, ze které degeneruje až do jeho dnešního stavu.

2.4.2016 14:20 David Indra | skóre: 15 | Prostějov
Rozbalit Rozbalit vše Re: Raspberry Pi - remote unlock encrypted btrfs root mini-howto

Nevidím v tom problém. Nedávno tady byl blog od Bystroushaaka, taky anglicky, jak řekl, kvůli tomu, aby měl vyšší čtenost. Na něj, jestli se nepletu, nikdo nekafral...

3.4.2016 10:18 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Raspberry Pi - remote unlock encrypted btrfs root mini-howto

Kafral, ale tyhle stesky mi můžou být v prdeli. Abclinuxu má bohatou tradici v psaní anglických blogů a ostatně nechápu co by komu mělo být po tom, jakým jazykem sem kdo píše. Zrovna u technických článků, které píší o něčem novém mi přijde lepší cílit na skupinu 840 milionů lidí, než na skupinu 10 milionů, speciálně v případě, kdy téměř každý z té druhé skupiny anglicky stejně mluví a když to náhodou bude chtít vyhledat, tak použije anglické keywordy.

blog.rfox.eu | brøther, I cräve the forbidden lämp

9.4.2016 09:10 kolcon | skóre: 15 | blog: kolcon
Rozbalit Rozbalit vše Re: Raspberry Pi - remote unlock encrypted btrfs root mini-howto

Na druhou stranu, proc ne. Priste se na ne opravdu vy... a hodim to jinam.

9.4.2016 11:55 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Raspberry Pi - remote unlock encrypted btrfs root mini-howto

Abclinuxu má takovou divnou tradici chovat si tu na prsou zmije v podobě různých trolů a demence. Rozhodně bys nebyl první, koho by odsud vystrnadili, ale přišla by mi škoda to takhle vzdát.

blog.rfox.eu | brøther, I cräve the forbidden lämp

9.4.2016 23:45 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: Raspberry Pi - remote unlock encrypted btrfs root mini-howto

priste se spis vykasli na nejakeho zdegenerovaneho vy(Mr)da ;)

porad nemam telo, ale uz mam hlavu... nobody

6.4.2016 12:49 Ruža Becelin | skóre: 40 | blog: RuzaBecelinBlog
Rozbalit Rozbalit vše Re: Raspberry Pi - remote unlock encrypted btrfs root mini-howto

Tak kdyby tohle bylo taky anglicky, tak treba taky nikdo nekafra

2.4.2016 16:13 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Raspberry Pi - remote unlock encrypted btrfs root mini-howto

Náš administrátor shledal tento komentář závadným.

Vulgarity.

Zobrazit komentář

4.4.2016 08:31 SYSMAN | skóre: 24 | blog: SYSMAN | Veselí nad Moravou
Rozbalit Rozbalit vše Re: Raspberry Pi - remote unlock encrypted btrfs root mini-howto

+1 přesně tak. Angličmani ať si to píšou na cizích serverech. Sem patří echt gold čeština či bratrština.

4.4.2016 12:45 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: Raspberry Pi - remote unlock encrypted btrfs root mini-howto

-1 spis hateri/fnukari at si jdou psat komentare na jinej server ty echt golde ;)

porad nemam telo, ale uz mam hlavu... nobody

Nevidím, že by nějak byla řešena kontrola toho initrd zda nedošlo k neoprávněné úpravě. Takto se může stát, že útočník upraví SD kartu, pravý vlastník se pak připojí přes SSH a zadá heslo k šifrovanému oddílu a hle, útočník získal heslo.

A tak nějak všechna tato remote unlock řešení tímto trpí. To to nikoho netrápí a nikdo to neřeší? To pak nemá cenu to ani šifrovat.

2.4.2016 22:22 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Raspberry Pi - remote unlock encrypted btrfs root mini-howto

Trápí, ale pokud nemáš TPM a SecureBoot, tak se to vyřešit nedá.

3.4.2016 10:47 Georgius
Rozbalit Rozbalit vše Re: Raspberry Pi - remote unlock encrypted btrfs root mini-howto

No, podle mne se to bezpečně udělat dá - všechny SD karty, co jsem měl v ruce, měly HW přepínátko na read-only. Takže nakonfigurovat, přepínátko dát do RO, díru zalejt nějakým sajrajtem ála montážní pěna a initrd nikdo neupraví.

3.4.2016 14:48 Pavel Píša | skóre: 18 | blog: logic
Rozbalit Rozbalit vše Re: Raspberry Pi - remote unlock encrypted btrfs root mini-howto

Na MicroSD posuvný kousek plastu není. Přitom i na SD kartě ten plast neovlivňuje nic na kartě. Pouze slot může do driveru předat přes mechanický "senzor", že je karta v RO režimu a záleží jen na driveru, jestli tím bude nebo nebude zajímat.

Kartu lze ale zamknout softwarovými příkazy. A to jak tak, že to zle jiným příkazem zrušit, tak i takovým způsobem, že již karta nikdy přepsat nepůjde. Kartu lze také zamykat heslem, ale asi jen kompletně, ne jen do RO režimu.

21.4.2016 04:19 ChronicPain | blog: chronicPain
Rozbalit Rozbalit vše Nevim, jestli jste jen in...

Nevim, jestli jste jen iniciativni anebo i ke mne chovate nejake antipatie, je mi to jedno, ale neprijde mi spravne, aby takoveto rozhodnuti (presunuti vlakna) mohl udelat jen jeden clovek ze sve vule. Pokud zacne dochazet k umrtim v souvislosti s tim, ze si pacient peci nemohl dovolit, bude to dukaz toho, ze stavajici stav prerozdelovaciho statniho pojisteni je jen zlodejina, protoze lide nejsou tak solidarni, jak nam socialiste tvrdi, kdyz haji a legitimizuji nechutne povinne zdravotni pojisteni. Tento system muze pomoci ke zlevneni vyroby robotu, z cehoz muze tezit vojenstvi a take muze dojit k nahrazeni zbytecnych lidskych zdroju ve vyrobe. A pokud dotycny nadrecnik chce ochotne prispivat na vzdelani cizich lidi, muze tak cinit on a jemu podobni dobrovolne bez nutnosti existence statniho zbytneleho aparatu, ale neni pripustne, aby toto vynucoval na ostatnich, kteri takto prispivat nechteji. Firemni procesy se nedelaji jen tak a vy jako zamestnanec nemate a nemuzete mit dostatecne sirokou perspektivu na to, abyste se takto mohl rozhodovat z vlastni vule kvalifikovane.

http://www.klaus.sk/ – energeticky úsporné vykurovacie systémy

3.4.2016 15:47 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Raspberry Pi - remote unlock encrypted btrfs root mini-howto

Přepínač RO/RW na kartě mechanicky přepne kontakt ve čtečce a je jen na ní, jestli toto přepnutí bude respektovat.

Můžu tu kartu zkopírovat na jinou a dát tam tu.

Můžu si do FPGAčka naprogramovat MITM na ten protokol, kterým se s kartou komunikuje, a udělat, aby to třeba na začátku podvrhlo jiný kernel a pak už se to tvářilo normálně.

4.4.2016 21:19 Dreit | skóre: 15 | blog: Dreit a jeho dračí postřehy | Královehradecký kraj
Rozbalit Rozbalit vše Re: Raspberry Pi - remote unlock encrypted btrfs root mini-howto

Krásným příkladem budiž CHDK

Nope

21.4.2016 22:56 ChronicPain | blog: chronicPain
Rozbalit Rozbalit vše Nebo by to mohlo jit i ko...

Nebo by to mohlo jit i komunitni cestou. To nebude nic moc.

http://www.klaus.sk/ – energeticky úsporné vykurovacie systémy