OpenBSD, tam disk şifrelemesini yalnızca OpenBSD 5.3'ten beri destekler . Önceki sürümlerde açık metin önyükleme bölümü gerekir. Yükleyicinin şifreli bir bölüme doğrudan yüklemeyi desteklemek için ne zaman değiştirildiğini bilmiyorum (bir sonraki bitin şifresini çözmek zorunda olduğundan, bootloader hala şifrelenmemişken).
Yine de sistem bölümünü şifrelemenin pek bir yararı yoktur¹. Bu yüzden sistemi normal bir şekilde yüklemenizi, ardından şifreli bir dosya sistemi görüntüsü oluşturmanızı ve hassas verilerinizi ( , belki de birkaç dosyanın bir /home
kısmını ) buraya koymanızı öneririm ./var
/etc
Yine de sistem bölümünü şifrelemek istiyorsanız (bazı gizli yazılımlar gibi bazı özel kullanım durumlarınız olduğu için) ve orijinal olarak şifreli bir sistem yüklemediyseniz, bunu nasıl yapabileceğiniz aşağıda açıklanmıştır.
OpenBSD kurulumunuza önyükleme yapın ve şifreli dosya sistemi görüntüsünü içeren bir dosya oluşturun. Daha sonra değiştirmek zor olacağından makul bir boyut seçtiğinizden emin olun (ek bir resim oluşturabilirsiniz, ancak her resim için ayrı olarak parola girmeniz gerekir). vnconfig
(Onlar birkaç adım kaçırdığınızı gerçi) kılavuz sayfasına örnekler vardır. Kısaca:
dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0 # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c
Şuna karşılık gelen girişler ekleyin /etc/fstab
:
/ENCRYPTED.img /dev/svnd0c vnd rw,noauto,-k
/dev/svnd0a /home ffs rw,noauto
Şifrelenmiş birimi ve içindeki dosya sistemini önyükleme sırasında bağlamak için komutlar ekleyin /etc/rc.local
:
echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home
Bu komutları ( mount /dev/svnd0c && mount /home
) çalıştırarak her şeyin doğru çalışıp çalışmadığını kontrol edin .
rc.local
Önyükleme işleminin sonlarında yürütüldüğünü unutmayın , bu nedenle ssh veya sendmail gibi standart servisler tarafından kullanılan dosyaları şifrelenmiş birime koyamazsınız. Bunu yapmak istiyorsanız, bu komutları /etc/rc
hemen yerine koyun mount -a
. Ardından dosya sisteminizin hassas olduğunu düşündüğünüz bölümlerini ve /home
birime taşıyın .
mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var
Takasınızı da şifrelemelisiniz, ancak OpenBSD bunu bugünlerde otomatik olarak yapıyor.
Şifreli bir dosya sistemi elde etmenin yeni yolu yazılım baskısı sürücüsüdür softraid
. Daha fazla bilgi için softraid
ve bioctl
man sayfalarına veya Lykle de Vries'in OpenBSD şifreli NAS NASIL belgesine bakın. OpenBSD'nin son sürümleri, bir softraid biriminden önyüklemeyi ve birimi oluşturmak için yükleme sırasında bir kabuğa düşerek softraid birimine yüklemeyi destekler .
Can Anlayabildiğim
kadarıyla, OpenBSD'nin birim şifrelemesi bütünlük için değil, gizlilik (Blowfish ile) için korunmaktadır . İşletim sisteminin bütünlüğünü korumak önemlidir, ancak gizliliğe gerek yoktur. İşletim sisteminin bütünlüğünü korumanın yolları da vardır, ancak bunlar bu cevabın kapsamı dışındadır.