Як слід налаштувати шифрування на повному диску на OpenBSD?


19

Чи є кращий метод налаштування повного дискового шифрування під OpenBSD, подібний до dm-cryptLinux?

Я шукаю шифрування на повному диску, як якщо б хтось вкрав мій ноутбук, він міг би отримати доступ до даних, що зберігаються на ньому. Ще одна причина полягає в тому, що я не завжди поруч зі своїм ноутбуком, тому хтось може потенційно порушити цілісність мого нетбука. Це дві основні проблеми, які змушують мене повірити, що шифрування повного диска для мене важливе.


У вас було два абсолютно не пов'язаних між собою питання. Оскільки я відповів на одне, і ніхто ще не відповів на інший, я видалив частину про Chrome із вашого запитання. Сміливо публікуйте нове запитання щодо запуску Chrome на OpenBSD.
Жил "ТАК - перестань бути злим"


З OpenBSD 5.3 доступне повне шифрування диска! > softraid (4) RAID1 та криптовалюти тепер завантажуються на i386 та> amd64 (повне шифрування диска). Отже, крім завантажувача, ВСЕ ВСЕ є шифрованим. :)
евахристин

Відповіді:


15

OpenBSD підтримує повне дискове шифрування лише з OpenBSD 5.3 . Більш ранні версії вимагають завантажувального розділу чіткого тексту. Я не знаю, коли інсталятор був модифікований для підтримки прямої установки на зашифрований розділ (при цьому завантажувач все ще незашифрований, звичайно, оскільки щось має розшифрувати наступний біт).

У шифруванні системного розділу все одно мало користі¹. Тому я пропоную встановити систему нормально, потім створити зашифроване зображення файлової системи та помістити туди ваші конфіденційні дані ( /homeчастини /var, можливо, кілька файлів /etc).

Якщо ви хочете все-таки зашифрувати системний розділ (оскільки у вас є окремий випадок використання, як-от конфіденційне програмне забезпечення), і ви не встановили зашифровану систему спочатку, ось як це зробити.

Завантажтесь у вашу установку OpenBSD та створіть файл, який буде містити зашифроване зображення файлової системи. Не забудьте вибрати розумний розмір, оскільки згодом буде важко змінити (ви можете створити додаткове зображення, але вам доведеться вводити парольну фразу окремо для кожного зображення). На vnconfigсторінці чоловіка є приклади (хоча вони пропускають кілька кроків). Коротко:

dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img  # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0  # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c

Додати відповідні записи до /etc/fstab:

 /ENCRYPTED.img  /dev/svnd0c  vnd rw,noauto,-k
 /dev/svnd0a     /home        ffs rw,noauto

Додайте команди для монтажу зашифрованого тома та файлової системи в ньому під час завантаження /etc/rc.local:

echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home

Перевірте, чи все працює правильно, виконавши ці команди ( mount /dev/svnd0c && mount /home).

Зауважте, що rc.localвін виконується пізно в процесі завантаження, тому ви не можете розміщувати файли, використовувані стандартними службами, такими як ssh або sendmail, на зашифрованому томі. Якщо ви хочете це зробити, введіть ці команди /etc/rcзамість них, відразу після mount -a. Потім перемістіть частини вашої файлової системи, які ви вважаєте чутливими, і перемістіть їх до /homeгучності.

mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var

Ви також повинні зашифрувати свій своп, але OpenBSD це робить автоматично автоматично.

Новіший спосіб отримати зашифровану файлову систему - через драйвер програмного рейду softraid . Дивіться softraidі bioctlсторінку людини або Lykle де Фриз OpenBSD зашифрований NAS HOWTO для отримання додаткової інформації. Останні версії OpenBSD підтримують завантаження з тома програмного забезпечення та встановлення на об'єм програмного забезпечення, опускаючись до оболонки під час встановлення, щоб створити об'єм.

¹ Наскільки я можу сказати, шифрування томів OpenBSD захищено для конфіденційності (з Blowfish), а не для цілісності . Захист цілісності ОС важливий, але в конфіденційності немає потреби. Існують способи захисту цілісності ОС, але вони виходять за рамки цієї відповіді.


Чи можете ви уточнити твердження "Захист цілісності ОС важливий, але в конфіденційності немає потреби"? Ви маєте на увазі, що шифрування обсягу OpenBSD - це лише маркетингова хитрість чи не важлива річ?

Більше про цілісність: unix.stackexchange.com/questions/9998/…

3
@hhh: Шифрування OpenBSD забезпечує конфіденційність. Це важливо для власних даних, не важливо для файлів ОС, які кожен може завантажити. (Тобто обсяг encrpytion є важливим , але не повною історією.) Цілісність захист від кого - то таємно зміни даних, або ще гірше, установки шкідливих програм , якщо вони мають фізичний доступ до диску - до злий дівчині атаки . Зловмисні напади покоївки важко захистити (я не знаю, що OpenBSD може запропонувати), але також важко здійснити.
Жил "ТАК - перестань бути злим"

Ця відповідь не більш правильна, на OpenBSD 5.7 і раніше вже можна встановити ОС в зашифрованому розділі з самого початку
Freedo

@Freedom Я оновив свою відповідь, щоб згадати про таку можливість. Мабуть, це можливо з 5.3, які ще не існували тоді, коли я писав цю відповідь.
Жиль "ТАК - перестань бути злим"


Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.