Как настроить полное шифрование диска в OpenBSD?

19

Есть ли предпочтительный метод для настройки полнодискового шифрования в OpenBSD, похожий на dm-cryptLinux?

Я ищу полное шифрование диска, как если бы кто-то украл мой ноутбук, он мог бы получить доступ к данным, хранящимся на нем. Другая причина в том, что я не всегда рядом с ноутбуком, поэтому кто-то может поставить под угрозу целостность моего нетбука. Это две основные проблемы, которые заставляют меня поверить, что для меня важно полное шифрование диска.

security openbsd encryption LanceBaynes
источник
У вас было два совершенно не связанных вопроса. Поскольку я ответил на один вопрос, а на другой еще никто не ответил, я удалил часть о Chrome из вашего вопроса. Не стесняйтесь задавать новый вопрос о запуске Chrome на OpenBSD.
Жиль "ТАК - перестань быть злым"
Спасибо! - unix.stackexchange.com/questions/9723/google-chrome-on-openbsd
LanceBaynes,
Начиная с OpenBSD 5.3 , доступно полное шифрование диска! > softraid (4) RAID1 и криптографические тома теперь загружаются на i386 и> amd64 (полное шифрование диска). Таким образом, кроме загрузчика, ВСЁ зашифровано. :)
евахристин

Ответы:

15

OpenBSD поддерживает полное дисковое шифрование только начиная с OpenBSD 5.3 . Более ранние версии требуют открытого загрузочного раздела. Я не знаю, когда установщик был изменен для поддержки прямой установки в зашифрованный раздел (с загрузчиком, конечно, еще не зашифрованным, потому что что-то должно расшифровать следующий бит).

В любом случае, шифрование системного раздела бесполезно ». Поэтому я предлагаю установить систему нормально, затем создать зашифрованный образ файловой системы и поместить туда ваши конфиденциальные данные ( /homeчасти /var, возможно, несколько файлов /etc).

Если вы все равно хотите зашифровать системный раздел (потому что у вас есть особый вариант использования, например, какое-то конфиденциальное программное обеспечение), и вы изначально не устанавливали зашифрованную систему, вот как вы можете это сделать.

Загрузитесь с установкой OpenBSD и создайте файл, который будет содержать зашифрованный образ файловой системы. Убедитесь, что вы выбрали подходящий размер, так как позже его будет сложно изменить (вы можете создать дополнительное изображение, но вам придется вводить парольную фразу отдельно для каждого изображения). На vnconfigстранице руководства есть примеры (хотя они пропускают несколько шагов). В двух словах:

dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img  # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0  # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c

Добавить соответствующие записи в /etc/fstab:

 /ENCRYPTED.img  /dev/svnd0c  vnd rw,noauto,-k
 /dev/svnd0a     /home        ffs rw,noauto

Добавьте команды для монтирования зашифрованного тома и файловой системы в нем во время загрузки, чтобы /etc/rc.local:

echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home

Проверьте, что все работает правильно, запустив эти команды ( mount /dev/svnd0c && mount /home).

Обратите внимание, что rc.localвыполняется поздно в процессе загрузки, поэтому вы не можете поместить файлы, используемые стандартными службами, такими как ssh или sendmail, на зашифрованный том. Если вы хотите сделать это, поместите эти команды /etc/rcвместо, сразу после mount -a. Затем переместите части вашей файловой системы, которые вы считаете чувствительными, и переместите их в /homeтом.

mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var

Вы должны также зашифровать свой своп, но в настоящее время OpenBSD делает это автоматически.

Более новый способ получить зашифрованную файловую систему через драйвер программного рейда softraid . Смотрите softraidи bioctlстраницу человека или Lykle де Фриз OpenBSD зашифрован NAS HOWTO для получения дополнительной информации. Последние версии OpenBSD поддерживают загрузку с тома softraid и установку на том softraid путем перехода к оболочке во время установки для создания тома.

¹ Насколько я могу судить, объемное шифрование OpenBSD защищено для конфиденциальности (с Blowfish), а не для целостности . Защита целостности ОС важна, но нет необходимости в конфиденциальности. Существуют также способы защиты целостности ОС, но они выходят за рамки этого ответа.

Жиль "ТАК - прекрати быть злым"
источник
Можете ли вы уточнить утверждение «Защита целостности ОС важна, но нет необходимости в конфиденциальности»? Вы имеете в виду, что шифрование томов в OpenBSD - это просто маркетинговый трюк или не очень важная вещь?
Подробнее о целостности: unix.stackexchange.com/questions/9998/...
3
@hhh: шифрование OpenBSD обеспечивает конфиденциальность. Это важно для ваших собственных данных, не важно для файлов ОС, которые каждый может загрузить. (т. е. шифрование тома важно, но не полная история.) Целостность - это защита от того, кто скрытно изменяет ваши данные, или, что еще хуже, устанавливает вредоносное ПО, если у него есть физический доступ к вашему диску - злая атака горничной . От атак злой девицы трудно защититься (я не знаю, что может предложить OpenBSD), но также трудно осуществить.
Жиль "ТАК ... перестать быть злым"
Этот ответ более не верен, на OpenBSD 5.7 и более ранних
версиях
@ Свобода Я обновил свой ответ, чтобы упомянуть эту возможность. По-видимому, это стало возможным с версии 5.3, которой еще не было, когда я писал этот ответ.
Жиль "ТАК - перестань быть злым"
3

Softraid с дисциплиной CRYPTO предназначался дизайнерами OBSD для поддержки полнодискового шифрования. Был также другой метод с SVND, который теперь устарел.

user26533
источник