Linuxと同様に、OpenBSDでフルディスク暗号化を設定するための好ましい方法はありますかdm-crypt
?
誰かが私のラップトップを盗んだかのように、保存されたデータにアクセスできるフルディスク暗号化を探しています。もう一つの理由は、私はいつもラップトップの隣にいないので、誰かが私のネットブックの整合性を損なう可能性があるということです。これは、ディスク全体の暗号化が私にとって重要であると信じる2つの主な問題です。
答え1
OpenBSDはフルディスク暗号化のみをサポートします。オープンBSD 5.3。以前のバージョンでは、プレーンテキストのブートパーティションが必要でした。暗号化されたパーティションへの直接インストールをサポートするためにインストーラがいつ変更されたかわかりません(もちろん、次のビットを復号化する必要があるため、ブートローダはまだ暗号化されていません)。
とにかく、システムパーティションを暗号化することはほとんど役に立ちません。したがって、システムを正常にインストールしてから暗号化されたファイルシステムイメージを作成し、ここに重要なデータ(/home
、部分データ/var
、一部ファイル/etc
)を配置することをお勧めします。
機密ソフトウェアなどの特別なユースケースがあるため、システムパーティションを暗号化したいが、最初に暗号化されたシステムをインストールしなかった場合は、次の方法に従ってください。
OpenBSDインストールから起動し、暗号化されたファイルシステムイメージを含むファイルを作成します。後で変更が難しいので、適切なサイズを選択してください。 (画像を追加で作成できますが、画像ごとに別々のパスワードを入力する必要があります。)vnconfig
マニュアルページには例があります(いくつかの手順がありません)。簡単に言うと:
dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0 # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c
適切な項目を追加します。/etc/fstab
:
/ENCRYPTED.img /dev/svnd0c vnd rw,noauto,-k
/dev/svnd0a /home ffs rw,noauto
起動時に暗号化されたボリュームとその中にファイルシステムをマウントするコマンドを追加する/etc/rc.local
:
echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home
次のコマンド()を実行して、すべてが正しく機能していることを確認してくださいmount /dev/svnd0c && mount /home
。
これはrc.local
起動プロセスの後半に行われるため、sshやsendmailなどの標準サービスで使用されているファイルを暗号化されたボリュームに入れることはできません。これを行うには、/etc/rc
後でこのコマンドを入力してくださいmount -a
。次に、重要と思われるファイルシステム部分を/home
ボリュームに移動します。
mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var
スワップ領域も暗号化する必要がありますが、OpenBSDはこれを自動的に実行します。
暗号化されたファイルシステムを取得する新しい方法は次のとおりです。ソフトウェアRAIDドライバを介して softraid
。よりsoftraid
そしてbioctl
マンページまたはLykle de VriesのOpenBSD CryptoNAS HOWTOより多くの情報を知りたいです。最新バージョンのOpenBSDは、ソフトレイドボリュームからの起動をサポートしています。インストールするインストール中にシェルを入力してボリュームを作成し、Softraiボリュームに追加します。
¹ 私が知っている限り、OpenBSDはボリューム暗号化機密保護されています(Blowfishの場合)。まっすぐ。オペレーティングシステムの整合性を保護することは重要ですが、秘密を維持する必要はありません。オペレーティングシステムの整合性を保護する方法もありますが、この回答の範囲外です。
答え2
ソフトレイドOBSD設計者は、CRYPTOルールを使用してフルディスク暗号化をサポートしようとしました。 SVNDを使用する別の方法がありましたが、現在は廃止されました。
答え3
http://geekyschmidt.com/2011/01/19/configuring-openbsd-softraid-fo-encryptionこれは、基本的にSoftraiフルディスク暗号化のグラフィカルな作業方法です。もちろん、盲目的にガイドに従うのではなく、すべてのbioctl設定が正しいことを確認してください。