Moin Moin!

Mir ein Keyfile generiert, was beim booten die Partition entschlüsselt.

# dd if=/dev/urandom of=/myprogs/pass/key bs=4k count=1

> # cryptsetup luksAddKey /dev/mmcblk0p3 /myprogs/pass/key

die /etc/default/cryptdisks und /etc/crypttab angepasst. Jetzt nur noch einen neuen VHOST für Apache und das MySQL Verzeichnis auf die neue Partition  geändert – fertig. Klappt prima :-)

Stellt sich nur die Frage: Kann jemand mit dem (verschlüsselten) Key-Datei und der verschlüsselten Partition (ohne das der Raspi läuft), was anfangen?

Ich setze also mal den schwarzen Hut auf, klaue die physisch nicht gesicherte SD-Karte und stecke die in de Cardreader meines Linux-Rechners und ziehe mir per dd ein vollständiges Image der Karte. Standard-Partitionierung, Standard-Dateisysteme bis auf eine Partition. Irgendwann nach ca. 30 Sekunden weiß ich, wo das Root-Dateisystem liegt und freue mich, dass in /etc gleich steht,  wie die verschlüsselte Partition zu mounten ist. Keine Passwort-Abfrage hindert mich daran, den Schlüssel zu lesen und die verschlüsselte Partition zu mounten. Ich kann alle Dateien umd Daten so lesen, als stünden sie im Klartext auf der Karte.

Und weil ich die Karte nur kurz zum Imagen heraus genommen habe, siehst Du im besten Fall nur eine unerwartet niedrige Uptime, wie nach einem kurzen Stromausfall. Die Analyse und ggf. das Einbauen von Malware mache ich in aller Ruhe in meinem Unterschlupf.

Alexander