Czy istnieje preferowana metoda konfiguracji szyfrowania całego dysku w systemie OpenBSD, podobna do dm-crypt
systemu Linux?
Szukam szyfrowania całego dysku, tak jakby ktoś ukradł mój notebook, mógłby potencjalnie uzyskać dostęp do przechowywanych na nim danych. Innym powodem jest to, że nie zawsze jestem przy swoim notebooku, więc ktoś może potencjalnie zagrozić integralności mojego netbooka. Są to dwa główne problemy, które każą mi wierzyć, że szyfrowanie całego dysku jest dla mnie ważne.
security
openbsd
encryption
LanceBaynes
źródło
źródło
Odpowiedzi:
OpenBSD obsługuje szyfrowanie całego dysku tylko od OpenBSD 5.3 . Wcześniejsze wersje wymagają partycji rozruchowej z tekstem. Nie wiem, kiedy instalator został zmodyfikowany tak, aby obsługiwał bezpośrednią instalację na zaszyfrowanej partycji (oczywiście bootloader wciąż jest niezaszyfrowany, ponieważ coś musi odszyfrować następny bit).
Zresztą szyfrowanie partycji systemowej jest mało przydatne¹. Sugeruję więc normalną instalację systemu, a następnie utworzenie zaszyfrowanego obrazu systemu plików i umieszczenie tam poufnych danych (
/home
części/var
, być może kilku plików/etc
).Jeśli mimo to chcesz zaszyfrować partycję systemową (ponieważ masz jakiś specjalny przypadek użycia, na przykład poufne oprogramowanie) i nie zainstalowałeś oryginalnie zaszyfrowanego systemu, oto jak to zrobić.
Uruchom instalację OpenBSD i utwórz plik, który będzie zawierał zaszyfrowany obraz systemu plików. Pamiętaj, aby wybrać odpowiedni rozmiar, ponieważ później trudno będzie go zmienić (możesz utworzyć dodatkowy obraz, ale dla każdego obrazu musisz wprowadzić hasło osobno).
vnconfig
Strona człowiek ma przykładów (choć brakuje kilka kroków). W skrócie:Dodaj odpowiednie wpisy do
/etc/fstab
:Dodaj polecenia, aby zamontować zaszyfrowany wolumin i system plików w nim podczas rozruchu, aby
/etc/rc.local
:Sprawdź, czy wszystko działa poprawnie, uruchamiając te polecenia (
mount /dev/svnd0c && mount /home
).Pamiętaj, że
rc.local
jest wykonywany na późnym etapie procesu rozruchu, więc nie możesz umieszczać plików używanych przez standardowe usługi, takie jak ssh lub sendmail, na zaszyfrowanym woluminie. Jeśli chcesz to zrobić, wstaw te polecenia/etc/rc
zamiast tegomount -a
. Następnie przenieś części systemu plików, które uważasz za wrażliwe, i przenieś je do/home
woluminu.Powinieneś także zaszyfrować swap, ale OpenBSD robi to teraz automatycznie.
Nowszym sposobem na uzyskanie zaszyfrowanego systemu plików jest sterownik oprogramowania
softraid
. Więcej informacji można znaleźć na stronachsoftraid
ibioctl
man lub w NAS NAS HOWTO zaszyfrowanym przez Lykle de Vriesa . Najnowsze wersje OpenBSD obsługują uruchamianie z woluminu softraid i instalowanie do woluminu softraid przez upuszczenie na powłokę podczas instalacji, aby utworzyć wolumin.¹ O ile mi wiadomo, szyfrowanie woluminów OpenBSD jest chronione w celu zachowania poufności (z Blowfish), a nie integralności . Ochrona integralności systemu operacyjnego jest ważna, ale nie ma potrzeby zachowania poufności. Istnieją również sposoby ochrony integralności systemu operacyjnego, ale wykraczają one poza zakres tej odpowiedzi.
źródło
Softraid z dyscypliną CRYPTO został zaprojektowany przez projektantów OBSD do obsługi szyfrowania całego dysku. Była też inna metoda z SVND, która jest teraz przestarzała.
źródło
http://geekyschmidt.com/2011/01/19/configuring-openbsd-softraid-fo-encryption jest w zasadzie graficzną instrukcją na temat miękkiego szyfrowania całego dysku. Oczywiście nigdy nie ślepo postępuj zgodnie z instrukcjami i upewnij się, że wszystkie ustawienia bioctl są prawidłowe.
źródło