Как зашифровать домашний каталог (/home) на Raspberry Pi и защитить данные

Важное: не удаляйте старую директорию /home до уверенной проверки нового зашифрованного раздела и запасной копии.

Проблема: почему microSD и локальные диски уязвимы

Raspberry Pi хранит систему и данные в разделе ОС на microSD, HDD или SSD. При установке ОС обычно нет опции шифрования разделов. Потеря или кража носителя означает, что злоумышленник может просто подключить его к другому компьютеру и прочитать всё содержимое — независимо от пароля учётной записи на самом Pi.

Последствия могут быть серьёзными: в «Firefox Profile Data» и других приложениях могут храниться имена пользователей и пароли, токены, кэш и личные файлы. Если злоумышленник найдёт такие данные, это приведёт к краже учётных записей и другим неприятностям.

Когда имеет смысл шифровать весь /home

Коротко — почти всегда, если на устройстве есть личные данные. Конкретные сценарии:

• Вы используете Raspberry Pi как рабочую станцию, домашний сервер или ноутбук-заменитель; в /home хранятся учётные записи и браузерные профили.
• Вы часто переносите устройство, оставляете его без присмотра или носите с собой.
• Вы хотите защитить данные от физического доступа, а не только от удалённых атак.

Контрпример: если устройство используется только как однозадачный контроллер с неважными данными (например, управляющий код для IoT-датчика), добавлять шифрование может быть излишним и усложняющим поддержку.

Краткий обзор подходов (варианты)

1. Создать зашифрованный раздел на текущем диске ОС (изменить текущие разделы, выделив свободное место). Плюсы: не нужны дополнительные носители. Минусы: сложнее, потенциальный риск при изменении разделов.
2. Подключить отдельный SSD/HDD через USB→SATA и использовать его как зашифрованный /home. Плюсы: проще откатиться, ниже износ microSD, скорость выше. Минусы: дополнительное оборудование, менее портативно.

В этом руководстве основное внимание уделено первому сценарию (работа с текущим диском), потому что он включает больше шагов и подходит, если вы хотите всё на одном носителе.

Требования и подготовка

Коротко:

• Доступ к другому компьютеру (Linux) с gnome-disk-utility, или возможность загрузиться с временной ОС на Pi, чтобы изменить разделы неработающей системы.
• Резервная копия важных данных (желательно образ диска или копия /home).
• Базовые навыки работы с терминалом и правами sudo.

Минимальное место: если у вас microSD/диск ≥32 ГБ, автор рекомендует выделить ~15 ГБ для корня и остаток для зашифрованного раздела. Это рекомендация, а не правило — подберите под свои нужды.

Подготовка диска: изменение размеров разделов (на другом ПК)

Поскольку корневой раздел смонтирован при загрузке, его нельзя уменьшить на работающем Pi. Подключите носитель с ОС к другому компьютеру, установите инструмент Disks (gnome-disk-utility) и выполните уменьшение раздела:

sudo apt update
sudo apt install gnome-disk-utility

Запустите:

gnome-disks

Используйте графический интерфейс: выберите корневой раздел, нажмите значок «шестерёнки» (Gear) и выберите «Resize». Создайте свободное место (Free Space), которое станет базой для нового зашифрованного раздела.

Рекомендации по резервному копированию:

• Если на носителе важные данные, сделайте образ диска через Disks → Create Disk Image.
• Проверяйте образ после создания (по размеру и, при возможности, по контрольной сумме).

После уменьшения раздела извлеките носитель и верните его в Raspberry Pi.

Установка инструментов на Raspberry Pi

На саму Pi установите Disks (если ещё нет) и плагин для LUKS:

sudo apt install gnome-disk-utility -y
sudo apt install libblockdev-crypto2 -y
sudo systemctl restart udisks2.service

Создание LUKS-раздела через Disks (GUI)

1. Откройте Disks (gnome-disks).
2. Выберите «Free Space» и нажмите «+» для создания нового раздела.
3. Оставьте размер по умолчанию (максимум) и нажмите «Next».
4. Дайте метку тома (например, Encrypted). Выберите файловую систему EXT4 и отметьте «Password protect volume (LUKS)».

Задайте надёжную парольную фразу. Длина важнее сложности: удобная длинная фраза (фрагмент предложения) обычно лучше короткой сложной строки. Не храните фразу рядом с носителем.

Если при создании возникла ошибка, связанная с /etc/crypttab, создайте файл:

sudo touch /etc/crypttab

и повторите создание раздела.

Теперь раздел зашифрован LUKS. Следующий шаг — настроить автоматическое разблокирование при загрузке (пока временно, затем мы удалим автоматическое хранение ключа).

Настройка разблокировки и монтирования при старте

В Disks выберите созданный зашифрованный раздел → Gear → Edit Encryption Options. Включите «User Session Defaults» (переключите) и отметьте «Unlock at system startup», укажите Passphrase (временно) и подтвердите.

Затем смонтируйте раздел и запомните путь точки монтирования (Mount Point). Вы увидите его в интерфейсе Disks.

Перенос домашнего каталога в зашифрованный раздел

Сначала скопируйте (не перемещайте) текущий /home в зашифрованный раздел. Это позволяет откатиться, если что-то пойдёт не так.

Замените below_username на своё имя пользователя, например arjunandvishnu или pi:

sudo rsync -av /home/* /media/below_username/Encrypted/

Пример из статьи:

sudo rsync -av /home/* /media/arjunandvishnu/Encrypted/

После копирования установите владельца файлов на соответствующего пользователя:

sudo chown -Rv below_username:below_username /media/below_username/Encrypted/below_username

Если есть несколько пользователей, выполните chown для каждого каталога /home/username.

Автоматический монтирование как /home

Чтобы система использовала зашифрованный раздел как /home, выберите раздел в Disks → Gear → Edit Mount Options. Отключите «User Session Defaults» и укажите Mount Point как /home — это внесёт запись в /etc/fstab.

После этого перезагрузите Pi. Но перед финальной перезагрузкой проверьте права каталога /home:

sudo chmod 755 /home

После старта создайте тестовую пустую папку на рабочем столе и убедитесь, что она видна внутри зашифрованного каталога (на другом терминале или через файловый менеджер). Это подтвердит, что система действительно использует новый /home.

На Raspberry Pi OS файловый менеджер pcmanfm по умолчанию позволяет перемещать файлы в Корзину для сменных носителей. Если вы хотите, чтобы удаление работало привычно, отредактируйте Preferences и настройте поведение корзины.

Удаление сохранённой парольной фразы (ключа)

Если вы настроили «Unlock at system startup», Disks добавил ключ в /etc/crypttab и создал локальный luks-key файл. Такой ключ хранится в незашифрованном виде и нивелирует цель шифрования — «замок и ключ вместе» не защитят.

Проверьте содержимое /etc/crypttab, затем удалите файл ключа и ссылку на него:

sudo rm /etc/luks-keys/YOUR-KEY

После удаления ключа система перестанет автоматически разблокировать раздел и будет запрашивать парольную фразу при загрузке. Это нормальное и ожидаемое поведение.

На экране загрузки при запросе пароля может отображаться пустой экран — используйте клавиши стрелок вверх/вниз, чтобы показать подсказку ввода, и Backspace для удаления лишних символов перед вводом пароля.

Удаление старого (незашифрованного) /home

После того как вы убедились, что новый /home работает и все данные корректны, старую директорию /home следует удалить, чтобы данные не оставались в незашифрованном виде. Лучше сделать это, смонтировав носитель на другом компьютере и аккуратно удалив старый каталог.

Важное: удаление необратимо. Оставьте образ/резервную копию, если сомневаетесь.

Тестирование и критерии приёмки

Перед тем как считать работу завершённой, пройдите минимальный набор тестов:

• Перезагрузите Pi и убедитесь, что при старте появляется запрос LUKS-пароля.
• Введите пароль и проверьте, что система загружается и /home смонтирован как ожидается.
• Создайте файл в /home и убедитесь, что он сохраняется на зашифрованном разделе.
• Проверьте доступность всех профилей браузеров, почты и других приложений.
• Убедитесь, что в корневом разделе больше нет копий личных данных.

Критерии приёмки:

• /home монтируется с помощью LUKS и требует пароля при загрузке.
• Содержимое пользователя совпадает с копией, права и владельцы корректны.
• Нет незашифрованных копий важных данных на корневом разделе.

Откат / rollback: план на случай проблем

1. Если загрузка не проходит, загрузитесь с Live-USB или подключите носитель к другому компьютеру.
2. Верните старый /home (скопируйте из /home.bak или из образа диска) на место /home.
3. Удалите запись в /etc/fstab, если она мешает. Проверьте /etc/crypttab на лишние ссылки.
4. Если нужно восстановить ключи — используйте образ, созданный заранее.

Сценарий: если вы удалили старый /home без резервной копии и LUKS-пароль утерян — восстановление невозможно без резервной копии ключей/данных.

Лучшие практики безопасности и hardening

• Парольная фраза: используйте фразу длиной не менее 15–20 символов. Длина важнее сложности.
• Хранение ключей: никогда не храните ключи или парольную фразу на том же носителе.
• Резервное копирование: регулярно делайте зашифрованные резервные копии важных данных (локально или в облако с шифрованием на клиенте).
• Обновления: поддерживайте систему в актуальном состоянии — это снижает риск взлома на уровне ОС.
• Физическая защита: по возможности используйте корпус с защитой для microSD/SSD и физические меры для предотвращения быстрого доступа к носителю (например, скрытый слот, внутренняя фиксация).

Альтернативные подходы

• Использовать полное шифрование корня (root) LUKS при установке новой системы — требует переустановки ОС.
• Шифровать отдельные контейнеры (например, VeraCrypt) для отдельных директорий.
• Использовать аппаратное шифрование на внешнем SSD (если диск поддерживает) в сочетании с LUKS.

Каждый подход имеет компромиссы по удобству, безопасности и возможности восстановления.

Роли и чек-листы (кто делает что)

Для домашних пользователей:

• Сделать резервную копию данных.
• Уменьшить раздел корня на другом ПК.
• Создать LUKS-раздел, перенести /home и проверить работу.
• Удалить ключ из /etc/crypttab и файл luks-key.

Для системных администраторов / энтузиастов:

• Сконфигурировать централизованное хранение резервных копий (шифрованных).
• Настроить мониторинг успешных и неудачных загрузок (логи systemd/boot).
• Документировать процедуру восстановления и хранить инструкции в защищённом месте.

Таблица принятия решения (Impact × Effort)

• Малый объём данных, низкая важность: Effort > Impact → можно не шифровать.
• Персональные данные, долговременное хранение: Impact > Effort → шифрование рекомендуется.
• Портативное устройство с секретами: высокий Impact, средний Effort → шифрование обязателен.

Частые проблемы и их решение

• Ошибка при создании раздела: создайте /etc/crypttab пустым файлом, повторите создание.
• Система не загружается после изменения /etc/fstab: загрузитесь с Live-USB и исправьте запись fstab.
• Пароль не принимается при загрузке: проверьте раскладку клавиатуры и используемые символы, попробуйте Backspace/стрелки для отображения подсказки.

Краткий словарь терминов

• LUKS — стандарт шифрования дисковых разделов в Linux (используется для безопасного хранения данных на носителях).
• /etc/crypttab — файл конфигурации автоматической разблокировки шифрованных разделов при загрузке.
• /etc/fstab — таблица монтирования файловых систем при загрузке.

Заключение

Шифрование /home на Raspberry Pi защищает ваши личные данные от физического доступа к носителю. Процедура безопасна и выполнимая даже через графический интерфейс. Главное — сделать резервные копии, проверить перенос данных и удалить незашифрованные копии. После настройки и удаления локального ключа система будет запрашивать пароль при каждой загрузке, что обеспечивает надёжную защиту ваших файлов.

Коротко: создайте резервную копию, уменьшите корневой раздел на безопасной машине, создайте LUKS-раздел, перенесите /home, настройте монтирование, удалите локальный ключ и протестируйте загрузку.

Дополнения и шаблоны

Шаблон быстрых команд (чек-лист)

• На другом ПК: установить Disks и уменьшить / (root).
• На Pi:

sudo apt install gnome-disk-utility libblockdev-crypto2 -y
sudo systemctl restart udisks2.service
# Затем через Disks создать LUKS-раздел и временно включить Unlock at startup
# Смонтировать и запомнить путь, затем rsync копирование
sudo rsync -av /home/* /media/youruser/Encrypted/
sudo chown -Rv youruser:youruser /media/youruser/Encrypted/youruser
# Настроить монтирование как /home через Disks (Edit Mount Options)
sudo chmod 755 /home
# Удалить ключ после теста
sudo rm /etc/luks-keys/YOUR-KEY

Мини-методология (4 шага)

1. Резервное копирование и уменьшение раздела (безопасная машина).
2. Создание LUKS-раздела и временная разблокировка при старте.
3. Копирование и проверка данных, настройка /home.
4. Удаление ключа — требование ввода пароля при загрузке.

Краткая заметка по локальным особенностям

• В странах с жёстким законодательством о хранении данных проверьте локальные правила по шифрованию и резервному копированию для бизнеса.

Социальная превью-версия (100–200 слов)

Raspberry Pi по умолчанию хранит данные на microSD или локальном диске без шифрования. Это делает ваши пароли, профили браузеров и личные файлы уязвимыми при потере или краже носителя. В этом руководстве показано, как с помощью графического инструмента Disks создать LUKS-шифрованный раздел, перенести /home, настроить автоматическое монтирование и затем удалить сохранённый ключ, чтобы каждый запуск требовал парольную фразу. Процесс совместим с Raspberry Pi OS и похожими дистрибутивами. Мы включили чек-листы, план отката, рекомендации по безопасности и примечания по тестированию, чтобы вы могли безопасно выполнить настройку даже без глубоких знаний в области криптографии.