Partitionen verschluesseln mit GEOM Based Disk Encryption (gbde)

gbde


BACK ..




Partitionen verschluesseln mit GEOM Based Disk Encryption (gbde)
================================================================
(http://www.freebsd.org/doc/de_DE.ISO8859-1/books/handbook/)



12.13. Partitionen verschlüsseln




Diese Funktion ist erst ab FreeBSD 5.0 vorhanden.
-------------------------------------------------


Aktivieren Sie gbde(4) in der Kernelkonfiguration
-------------------------------------------------
# vi /usr/src/sys/i386/conf/MYKERNEL

	options GEOM_BDE



Verzeichnis für gbde-Lock-Dateien anlegen
-----------------------------------------
# mkdir /etc/gbde



Vorbereiten der gbde-Partition
------------------------------
Im Beispiel verwenden wir die Partition /dev/ad4s1c.
Setzen Sie sector_size auf 2048, wenn Sie UFS1 oder UFS2 benutzen.

# gbde init /dev/ad4s1c -i -L /etc/gbde/ad4s1c

        sector_size     =       2048


       Achtung: Sichern Sie die Lock-Dateien von gbde immer zusammen mit den
                verschlüsselten Dateisystemen. Ein entschlossener Angreifer kann
                die Daten vielleicht auch ohne die Lock-Datei entschlüsseln.
                Ohne die Lock-Datei können Sie allerdings nicht
                auf die verschlüsselten Daten zugreifen.
                Dies ist nur noch mit erheblichem manuellen Aufwand möglich,
                der weder von gbde(8) noch seinem Entwickler unterstützt wird.



Einbinden der verschlüsselten Partition in den Kernel
-----------------------------------------------------
# gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c

        Das Kommando fragt die Passphrase ab,
        die Sie beim Vorbereiten der Partition eingegeben haben.
        Das neue Gerät erscheint danach als /dev/device_name.bde
        im Verzeichnis /dev:

# ls /dev/ad*
        /dev/ad0        /dev/ad0s1b     /dev/ad0s1e     /dev/ad4s1
        /dev/ad0s1      /dev/ad0s1c     /dev/ad0s1f     /dev/ad4s1c
        /dev/ad0s1a     /dev/ad0s1d     /dev/ad4        /dev/ad4s1c.bde



Dateisystem auf dem verschlüsselten Gerät anlegen
-------------------------------------------------
(Ab FreeBSD 5.1-RELEASE wird -O2 als Voreinstellung verwendet.)

# newfs -U -O2 /dev/ad4s1c.bde

        Anmerkung: newfs(8) muss auf einer dem Kernel bekannten gbde-Partition
                   (einem Gerät mit dem Namen *.bde) laufen.



Einhängen der verschlüsselten Partition
---------------------------------------
# mkdir /private
# mount /dev/ad4s1c.bde /private




Einhängen eines existierenden verschlüsselten Dateisystems
----------------------------------------------------------

gbde-Partition im Kernel bekannt geben
--------------------------------------
# gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c
# fsck -p -t ffs /dev/ad4s1c.bde
# mount /dev/ad4s1c.bde /private




Kompatibilität
--------------
sysinstall(8) kann nicht mit verschlüsselten gbde-Geräten umgehen.
Vor dem Start von sysinstall(8) sind alle *.bde-Geräte zu deaktivieren,
da sysinstall(8) sonst bei der Gerätesuche abstürzt.
Das im Beispiel verwendete Gerät wird mit dem folgenden Befehl deaktiviert:

# gbde detach /dev/ad4s1c

    Anmerkung: Sie können gbde nicht zusammen mit vinum benutzen,
               da vinum(4) das geom(4)-Subsystem nicht benutzt.