SD-Karte partiell verschlüsseln?

[nephilim]

Hej zusammen,

es ist ja möglich, eine SD-Karte, bspw. aus einem RasPi, in einem Linux-Gerät zu mounten. Damit hat dann ja der Nutzer Zugang zu allem auf der Karte. Ist das verhinderbar? Bspw. durch Verschlüsselung bestimmter Bereiche der SD-Karte? Was bietet sich dafür an oder kann man da nichts machen?

LG // neph

[smutbert]

Es hat nicht zwangsläufig jeder darauf Zugriff. Eine SD-Karte wird in den meisten Fällen, besonders wenn sie in einem RPi verwendet wird, partitioniert sein und die Partition(en) wird/werden Dateisystem(e) enthalten.

Kennt das verwendete Dateisystem nun Rechte (ext3, ext4, xfs,...) dann sind - was den Mountpoint angeht - die entscheidend worauf der Benutzer Zugriff erhält.
Kennt das Dateisystem keine Rechte, wie zB vfat, kann man dem Dateisysteminhalt mittels mount-Optionen einen Besitzer und die gewünschten Rechte zuordnen.


Unabhängig davon erhält der Benutzer aber möglicherweise Zugriff auf das Blockdevice. Auf der Debianinstallation hier und vermutlich auf anderen ebenso, gehört das Blockdevice eines USB-Sticks oder einer SD-Karte dem Besitzer root und der Gruppe disk:

Code: Alles auswählen

# ls -al /dev/sdh
brw-rw---- 1 root disk 8, 112 Aug 28 19:19 /dev/sdh

Neben root haben also auch Mitglieder der Gruppe disk Schreibzugriff, wenn auch nicht auf dem üblichen, bequemen Weg über den Dateisystemtreiber.

[DeletedUserReAsG]

Ergänzend: natürlich kann man die Karte, bzw. Teile davon, so verschlüsseln, wie jeden anderen Massenspeicher auch (etwa Festplatte oder SSD am PC). Man könnte also ~ als eigene Partition anlegen und via cryptsetup verschlüsseln, oder man könnte das ~ mit ecryptfs verschlüsseln, oder man könnte auch das komplette System (bis auf /boot) verschlüsseln – allerdings sollte man dann davon ausgehen, dass die sowieso schon eher grenzwertige I/O-Performance des Platinchens noch weiter in den Keller geht.