dm-crypt
Linux と同様に、OpenBSDでフルディスク暗号化を設定する好ましい方法はありますか?
誰かが自分のノートブックを盗んだとしても、そこに保存されているデータにアクセスする可能性があるため、フルディスク暗号化を探しています。もう1つの理由は、私は常にノートブックの隣にいるわけではないため、誰かがネットブックの完全性を危うくする可能性があるからです。これらは、フルディスク暗号化が私にとって重要であると信じさせる2つの大きな問題です。
dm-crypt
Linux と同様に、OpenBSDでフルディスク暗号化を設定する好ましい方法はありますか?
誰かが自分のノートブックを盗んだとしても、そこに保存されているデータにアクセスする可能性があるため、フルディスク暗号化を探しています。もう1つの理由は、私は常にノートブックの隣にいるわけではないため、誰かがネットブックの完全性を危うくする可能性があるからです。これらは、フルディスク暗号化が私にとって重要であると信じさせる2つの大きな問題です。
回答:
OpenBSDは、OpenBSD 5.3以降、フルディスク暗号化のみをサポートしています。以前のバージョンでは、クリアテキストブートパーティションが必要です。暗号化されたパーティションへの直接インストールをサポートするためにインストーラーがいつ変更されたかはわかりません(もちろん、次のビットを解読する必要があるため、ブートローダーはまだ暗号化されていません)。
とにかく、システムパーティションの暗号化にはほとんど使用されません¹。そのため、システムを通常どおりインストールし、暗号化されたファイルシステムイメージを作成し、そこに機密データ(/home
、一部の/var
、おそらくいくつかのファイル/etc
)を配置することをお勧めします。
とにかくシステムパーティションを暗号化する場合(機密ソフトウェアなどの特別なユースケースがあるため)、暗号化されたシステムを最初にインストールしなかった場合、次のようにできます。
OpenBSDインストールを起動し、暗号化されたファイルシステムイメージを含むファイルを作成します。後で変更するのは難しいため、適切なサイズを選択してください(追加の画像を作成できますが、画像ごとにパスフレーズを個別に入力する必要があります)。vnconfig
(彼らはいくつかのステップが欠落しているが)のmanページには例があります。一言で言えば:
dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0 # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c
に対応するエントリを追加します/etc/fstab
。
/ENCRYPTED.img /dev/svnd0c vnd rw,noauto,-k
/dev/svnd0a /home ffs rw,noauto
暗号化されたボリュームとその中のファイルシステムをブート時にマウントするコマンドを追加します/etc/rc.local
:
echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home
これらのコマンドを実行して、すべてが正しく機能していることを確認します(mount /dev/svnd0c && mount /home
)。
これrc.local
はブートプロセスの後半で実行されるため、暗号化されたボリュームにsshやsendmailなどの標準サービスで使用されるファイルを配置できないことに注意してください。そうしたい場合は、/etc/rc
代わりにこれらのコマンドをの直後に配置してくださいmount -a
。次に、機密性が高いと思われるファイルシステムの部分を移動し、/home
ボリュームに移動します。
mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var
スワップも暗号化する必要がありますが、最近ではOpenBSDが自動的に暗号化します。
暗号化されたファイルシステムを取得する新しい方法は、ソフトウェアraidドライバーを使用すること softraid
です。詳細についてはsoftraid
、bioctl
manページまたはLykle de VriesのOpenBSD暗号化NAS HOWTOを参照してください。OpenBSDの最近のバージョンは、インストール中にシェルにドロップしてボリュームを作成することにより、softraidボリュームからのブートおよびsoftraidボリュームへのインストールをサポートしています。
¹ 私の知る限り、OpenBSDのボリューム暗号化は、整合性ではなく機密性(Blowfishを使用)で保護されています。OSの整合性を保護することは重要ですが、機密性は必要ありません。OSの整合性を保護する方法もありますが、この答えの範囲を超えています。
http://geekyschmidt.com/2011/01/19/configuring-openbsd-softraid-fo-encryptionは、基本的にソフトレイドのフルディスク暗号化のグラフィカルな使用方法です。もちろん、盲目的にガイドに従ってはならず、すべてのbioctl設定が正しいことを確認してください。