Есть ли предпочтительный метод для настройки полнодискового шифрования в OpenBSD, похожий на dm-crypt
Linux?
Я ищу полное шифрование диска, как если бы кто-то украл мой ноутбук, он мог бы получить доступ к данным, хранящимся на нем. Другая причина в том, что я не всегда рядом с ноутбуком, поэтому кто-то может поставить под угрозу целостность моего нетбука. Это две основные проблемы, которые заставляют меня поверить, что для меня важно полное шифрование диска.
security
openbsd
encryption
LanceBaynes
источник
источник
Ответы:
OpenBSD поддерживает полное дисковое шифрование только начиная с OpenBSD 5.3 . Более ранние версии требуют открытого загрузочного раздела. Я не знаю, когда установщик был изменен для поддержки прямой установки в зашифрованный раздел (с загрузчиком, конечно, еще не зашифрованным, потому что что-то должно расшифровать следующий бит).
В любом случае, шифрование системного раздела бесполезно ». Поэтому я предлагаю установить систему нормально, затем создать зашифрованный образ файловой системы и поместить туда ваши конфиденциальные данные (
/home
части/var
, возможно, несколько файлов/etc
).Если вы все равно хотите зашифровать системный раздел (потому что у вас есть особый вариант использования, например, какое-то конфиденциальное программное обеспечение), и вы изначально не устанавливали зашифрованную систему, вот как вы можете это сделать.
Загрузитесь с установкой OpenBSD и создайте файл, который будет содержать зашифрованный образ файловой системы. Убедитесь, что вы выбрали подходящий размер, так как позже его будет сложно изменить (вы можете создать дополнительное изображение, но вам придется вводить парольную фразу отдельно для каждого изображения). На
vnconfig
странице руководства есть примеры (хотя они пропускают несколько шагов). В двух словах:Добавить соответствующие записи в
/etc/fstab
:Добавьте команды для монтирования зашифрованного тома и файловой системы в нем во время загрузки, чтобы
/etc/rc.local
:Проверьте, что все работает правильно, запустив эти команды (
mount /dev/svnd0c && mount /home
).Обратите внимание, что
rc.local
выполняется поздно в процессе загрузки, поэтому вы не можете поместить файлы, используемые стандартными службами, такими как ssh или sendmail, на зашифрованный том. Если вы хотите сделать это, поместите эти команды/etc/rc
вместо, сразу послеmount -a
. Затем переместите части вашей файловой системы, которые вы считаете чувствительными, и переместите их в/home
том.Вы должны также зашифровать свой своп, но в настоящее время OpenBSD делает это автоматически.
Более новый способ получить зашифрованную файловую систему через драйвер программного рейда
softraid
. Смотритеsoftraid
иbioctl
страницу человека или Lykle де Фриз OpenBSD зашифрован NAS HOWTO для получения дополнительной информации. Последние версии OpenBSD поддерживают загрузку с тома softraid и установку на том softraid путем перехода к оболочке во время установки для создания тома.¹ Насколько я могу судить, объемное шифрование OpenBSD защищено для конфиденциальности (с Blowfish), а не для целостности . Защита целостности ОС важна, но нет необходимости в конфиденциальности. Существуют также способы защиты целостности ОС, но они выходят за рамки этого ответа.
источник
Softraid с дисциплиной CRYPTO предназначался дизайнерами OBSD для поддержки полнодискового шифрования. Был также другой метод с SVND, который теперь устарел.
источник
http://geekyschmidt.com/2011/01/19/configuring-openbsd-softraid-fo-encryption - это в основном графическое руководство по полному шифрованию софтрайда. Конечно, никогда не следуйте слепо инструкциям и убедитесь, что все настройки bioctl правильные.
источник