https://sindro.me/it/tags/raspberrypi/ Recent content in Raspberrypi on Marcello Barnaba Hugo it Tue, 20 Jan 2026 00:00:00 +0000 https://sindro.me/it/posts/2026-01-20-raspberry-pi-luks-encrypted-root/ Tue, 20 Jan 2026 00:00:00 +0000 https://sindro.me/it/posts/2026-01-20-raspberry-pi-luks-encrypted-root/ <h2 id="premessa">Premessa</h2> <p>Quindi ho cominciato a far girare <a href="https://www.home-assistant.io/" target="_blank">Home Assistant</a> a casa su un Raspberry PI 5 e ho semplicemente installato HAOS su una SD. Poi ho iniziato a sentirmi sempre più a disagio nel salvare credenziali nel filesystem di HA in chiaro (qualsiasi offuscamento non è sufficiente).</p> <p>Considerando che configurare una root cifrata con HAOS è semplicemente impossibile senza forkarlo, e considerando anche che dedicare un intero RPI5 a HAOS è uno spreco di risorse, ho deciso di aggiungere un SSD al Pi, avviarlo con Raspbian e poi far girare HAOS dentro una VM.</p> <p>In questo modo, posso avere una root cifrata sull&rsquo;host principale, cifrando così l&rsquo;intera VM HAOS.</p> <p>Inoltre posso ora fare snapshot dell&rsquo;intera VM HAOS e ho molta più flessibilità nella gestione. Ultimo ma non meno importante, posso anche usare la CPU e la RAM rimanenti del RPI per qualcos&rsquo;altro.</p> <h2 id="ringraziamenti">Ringraziamenti</h2> <p>Prima di tutto, un grande grazie a <a href="https://rr-developer.github.io/LUKS-on-Raspberry-Pi/" target="_blank">questo post</a> che mi ha dato le indicazioni iniziali su come fare il setup. Ma quel post del 2021 è ora leggermente datato, e molti passaggi non sono più necessari.</p> <p>Secondo, un grande grazie a <a href="https://github.com/ericfjosne" target="_blank">Eric Fjøsne</a> per <a href="https://github.com/vjt/sindro.me/pull/1" target="_blank">aver usato questa guida e averla corretta</a> dato che l&rsquo;avevo scritta perlopiù a posteriori :-).</p> <h2 id="requisiti">Requisiti</h2> <ul> <li>Un RPI5 con Debian 13 (trixie) o successivo</li> <li>Una chiavetta USB decente e affidabile che può essere completamente cancellata</li> <li>Una tastiera e un monitor collegati direttamente al RPI</li> </ul> <h2 id="panoramica">Panoramica</h2> <p>L&rsquo;idea di fondo è:</p> <ul> <li>Prepariamo un initrd che contiene i seguenti strumenti: <ul> <li><code>resize2fs</code> per ridurre e ingrandire filesystem <code>ext4</code></li> <li><code>cryptsetup</code> per gestire la cifratura delle partizioni</li> </ul> </li> <li>Configuriamo il sistema per avviarsi da una root cifrata che non esiste ancora, forzando così il sistema a cadere nell&rsquo;initrd.</li> <li>Nell&rsquo;initrd, riduciamo il filesystem root alla dimensione minima possibile</li> <li>Copiamo il filesystem root dalla partizione in chiaro sulla chiavetta USB</li> <li>Creiamo la partizione cifrata usando LUKS</li> <li>Copiamo il filesystem root dalla chiavetta USB sulla partizione cifrata</li> <li>Estendiamo il filesystem root alla dimensione massima</li> <li>Configuriamo SSH nell&rsquo;initrd così da poterlo sbloccare anche dopo aver piazzato il Raspberry Pi in un posto senza tastiera o schermo.</li> </ul> <p>Pronti? Via!</p>