È necessario utilizzare Full Disk Encryption sulla sdcard utilizzata per avviare il Pi. Usandolo, se l'attaccante scarica la scheda SD, non sarà in grado di leggerne il contenuto. Questo proteggerà le credenziali 802.1x memorizzate nella carta.
In secondo luogo, utilizzare l'autenticazione 802.1x sulla rete. 802.1x richiede login e password per il client per ottenere un indirizzo IP. Senza un login e una password validi, il Pi non sarà in grado di collegarsi alla rete anche se l'attaccante inserisce il cavo di rete su di esso.
Con questo, dovrai collegare una tastiera e un monitor al Pi, per inserire la password del disco e le credenziali 802.1x. Se questo Pi è per eseguire un ambiente sicuro, mantieni una buona immagine del disco da qualche altra parte e rispecchia la carta ogni volta che Pi viene spento. Ciò impedirà all'aggressore di entrare, chiudendo il Pi e facendo backdoor del bootloader (l'attacco di Malvagità del Male). Questo è obbligatorio , a meno che tu non voglia che l'utente malintenzionato ottenga le credenziali 802.1x e la chiave di crittografia del disco completo contemporaneamente.
Punto bonus: nessuno senza credenziali valide sarà in grado di raggiungere una stanza senza sorveglianza e collegare un laptop.
Dimentica l'autenticazione dell'indirizzo MAC, è banale cambiare il MAC.