OpenBSD'de tam disk şifrelemesi nasıl kurulmalıdır?


19

dm-cryptLinux'a benzer şekilde OpenBSD altında tam disk şifrelemesi ayarlamak için tercih edilen bir yöntem var mı ?

Tam disk şifreleme arıyorum, sanki birisi defterimi çalıyormuş gibi potansiyel olarak üzerinde depolanan verilere erişebilir. Başka bir neden, her zaman not defterimin yanında olmamamdır, böylece birisi netbook'umun bütünlüğünü tehlikeye atabilir. Bunlar, tam disk şifrelemenin benim için önemli olduğuna inandırmamı sağlayan iki önemli sorundur.


Tamamen ilgisiz iki sorunuz var. Birini yanıtladığımdan ve henüz kimse diğerini yanıtlamadığından, Chrome hakkındaki kısmı sorunuzdan kaldırdım. Chrome'u OpenBSD'de çalıştırma hakkında yeni bir soru göndermekten çekinmeyin.
Gilles 'SO- kötü olmayı bırak'


Gönderen OpenBSD 5.3 , tam disk şifreleme mevcuttur! > softraid (4) RAID1 ve kripto birimleri artık i386 ve> amd64 (tam disk şifreleme) üzerinde önyüklenebilir. Önyükleyicinin yanı sıra, HER ŞEY şifrelidir. :)
evachristine

Yanıtlar:


15

OpenBSD, tam disk şifrelemesini yalnızca OpenBSD 5.3'ten beri destekler . Önceki sürümlerde açık metin önyükleme bölümü gerekir. Yükleyicinin şifreli bir bölüme doğrudan yüklemeyi desteklemek için ne zaman değiştirildiğini bilmiyorum (bir sonraki bitin şifresini çözmek zorunda olduğundan, bootloader hala şifrelenmemişken).

Yine de sistem bölümünü şifrelemenin pek bir yararı yoktur¹. Bu yüzden sistemi normal bir şekilde yüklemenizi, ardından şifreli bir dosya sistemi görüntüsü oluşturmanızı ve hassas verilerinizi ( , belki de birkaç dosyanın bir /homekısmını ) buraya koymanızı öneririm ./var/etc

Yine de sistem bölümünü şifrelemek istiyorsanız (bazı gizli yazılımlar gibi bazı özel kullanım durumlarınız olduğu için) ve orijinal olarak şifreli bir sistem yüklemediyseniz, bunu nasıl yapabileceğiniz aşağıda açıklanmıştır.

OpenBSD kurulumunuza önyükleme yapın ve şifreli dosya sistemi görüntüsünü içeren bir dosya oluşturun. Daha sonra değiştirmek zor olacağından makul bir boyut seçtiğinizden emin olun (ek bir resim oluşturabilirsiniz, ancak her resim için ayrı olarak parola girmeniz gerekir). vnconfig(Onlar birkaç adım kaçırdığınızı gerçi) kılavuz sayfasına örnekler vardır. Kısaca:

dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img  # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0  # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c

Şuna karşılık gelen girişler ekleyin /etc/fstab:

 /ENCRYPTED.img  /dev/svnd0c  vnd rw,noauto,-k
 /dev/svnd0a     /home        ffs rw,noauto

Şifrelenmiş birimi ve içindeki dosya sistemini önyükleme sırasında bağlamak için komutlar ekleyin /etc/rc.local:

echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home

Bu komutları ( mount /dev/svnd0c && mount /home) çalıştırarak her şeyin doğru çalışıp çalışmadığını kontrol edin .

rc.localÖnyükleme işleminin sonlarında yürütüldüğünü unutmayın , bu nedenle ssh veya sendmail gibi standart servisler tarafından kullanılan dosyaları şifrelenmiş birime koyamazsınız. Bunu yapmak istiyorsanız, bu komutları /etc/rchemen yerine koyun mount -a. Ardından dosya sisteminizin hassas olduğunu düşündüğünüz bölümlerini ve /homebirime taşıyın .

mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var

Takasınızı da şifrelemelisiniz, ancak OpenBSD bunu bugünlerde otomatik olarak yapıyor.

Şifreli bir dosya sistemi elde etmenin yeni yolu yazılım baskısı sürücüsüdür softraid . Daha fazla bilgi için softraidve bioctlman sayfalarına veya Lykle de Vries'in OpenBSD şifreli NAS NASIL belgesine bakın. OpenBSD'nin son sürümleri, bir softraid biriminden önyüklemeyi ve birimi oluşturmak için yükleme sırasında bir kabuğa düşerek softraid birimine yüklemeyi destekler .

Can Anlayabildiğim kadarıyla, OpenBSD'nin birim şifrelemesi bütünlük için değil, gizlilik (Blowfish ile) için korunmaktadır . İşletim sisteminin bütünlüğünü korumak önemlidir, ancak gizliliğe gerek yoktur. İşletim sisteminin bütünlüğünü korumanın yolları da vardır, ancak bunlar bu cevabın kapsamı dışındadır.


"İşletim sisteminin bütünlüğünü korumak önemlidir, ancak gizliliğe gerek yoktur" ifadesini açıklayabilir misiniz? OpenBSD'nin birim şifrelemesinin sadece hile ya da o kadar da önemli olmayan bir şey olduğunu mu söylüyorsunuz?

Dürüstlük hakkında daha fazla bilgi: unix.stackexchange.com/questions/9998/…

3
@hhh: OpenBSD'nin şifrelemesi gizlilik sağlar. Bu, kendi verileriniz için önemlidir, herkesin indirebileceği OS dosyaları için önemli değildir. (yani, hacim şifrelemesi önemlidir, ancak tüm hikaye değil.) Dürüstlük, verilerinizi gizlice değiştiren birine veya daha da kötüsü, diskinize fiziksel erişimi varsa kötü niyetli bir hizmetçi saldırısı olan kötü amaçlı yazılım yüklemeye karşı savunmadır . Kötü hizmetçi saldırılarına karşı savunmak zordur (OpenBSD'nin neler sunabileceğini bilmiyorum), aynı zamanda yürütülmesi de zordur.
Gilles 'SO- kötü olmayı bırak'

Bu cevap artık doğru değil, OpenBSD 5.7 ve önceki sürümlerde OS'yi başlangıçtan beri şifreli bölüme yüklemek zaten mümkün
Freedo

@Freedom Bu olasılığı belirtmek için cevabımı güncelledim. Görünüşe göre bu cevabı yazdığımda henüz var olmayan 5.3'ten beri mümkün.
Gilles 'SO- kötü olmayı bırak'

3

CRYPTO disiplinli softraid, OBSD tasarımcıları tarafından tam disk şifrelemeyi destekleyecek şekilde tasarlandı. SVND'de artık kullanımdan kaldırılan başka bir yöntem daha vardı.


Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.