OpenBSDでフルディスク暗号化を設定するにはどうすればよいですか?


19

dm-cryptLinux と同様に、OpenBSDでフルディスク暗号化を設定する好ましい方法はありますか?

誰かが自分のノートブックを盗んだとしても、そこに保存されているデータにアクセスする可能性があるため、フルディスク暗号化を探しています。もう1つの理由は、私は常にノートブックの隣にいるわけではないため、誰かがネットブックの完全性を危うくする可能性があるからです。これらは、フルディスク暗号化が私にとって重要であると信じさせる2つの大きな問題です。


まったく関係のない質問が2つありました。私は一方に答えたが、まだ誰も答えていないので、あなたの質問からChromeに関する部分を削除しました。OpenBSDでのChromeの実行に関する新しい質問を投稿してください。
ジル 'SO-悪であるのをやめる'


OpenBSD 5.3から、完全なディスク暗号化が利用可能になりました!> softraid(4)RAID1および暗号ボリュームはi386およびamd64(フルディスク暗号化)で起動可能になりました。したがって、ブートローダーに加えて、すべてが暗号化されています。:)
エヴァクリスティン14年

回答:


15

OpenBSDは、OpenBSD 5.3以降、フルディスク暗号化のみをサポートしています。以前のバージョンでは、クリアテキストブートパーティションが必要です。暗号化されたパーティションへの直接インストールをサポートするためにインストーラーがいつ変更されたかはわかりません(もちろん、次のビットを解読する必要があるため、ブートローダーはまだ暗号化されていません)。

とにかく、システムパーティションの暗号化にはほとんど使用されません¹。そのため、システムを通常どおりインストールし、暗号化されたファイルシステムイメージを作成し、そこに機密データ(/home、一部の/var、おそらくいくつかのファイル/etc)を配置することをお勧めします。

とにかくシステムパーティションを暗号化する場合(機密ソフトウェアなどの特別なユースケースがあるため)、暗号化されたシステムを最初にインストールしなかった場合、次のようにできます。

OpenBSDインストールを起動し、暗号化されたファイルシステムイメージを含むファイルを作成します。後で変更するのは難しいため、適切なサイズを選択してください(追加の画像を作成できますが、画像ごとにパスフレーズを個別に入力する必要があります)。vnconfig(彼らはいくつかのステップが欠落しているが)のmanページには例があります。一言で言えば:

dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img  # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0  # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c

に対応するエントリを追加します/etc/fstab

 /ENCRYPTED.img  /dev/svnd0c  vnd rw,noauto,-k
 /dev/svnd0a     /home        ffs rw,noauto

暗号化されたボリュームとその中のファイルシステムをブート時にマウントするコマンドを追加します/etc/rc.local

echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home

これらのコマンドを実行して、すべてが正しく機能していることを確認します(mount /dev/svnd0c && mount /home)。

これrc.localはブートプロセスの後半で実行されるため、暗号化されたボリュームにsshやsendmailなどの標準サービスで使用されるファイルを配置できないことに注意してください。そうしたい場合は、/etc/rc代わりにこれらのコマンドをの直後に配置してくださいmount -a。次に、機密性が高いと思われるファイルシステムの部分を移動し、/homeボリュームに移動します。

mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var

スワップも暗号化する必要がありますが、最近ではOpenBSDが自動的に暗号化します。

暗号化されたファイルシステムを取得する新しい方法は、ソフトウェアraidドライバーを使用すること softraidです。詳細についてはsoftraidbioctlmanページまたはLykle de VriesのOpenBSD暗号化NAS HOWTOを参照してください。OpenBSDの最近のバージョンは、インストール中にシェルにドロップしてボリュームを作成することにより、softraidボリュームからのブートおよびsoftraidボリュームへのインストールをサポートしています。

¹ 私の知る限り、OpenBSDのボリューム暗号化は、整合性ではなく機密性(Blowfishを使用)で保護されています。OSの整合性を保護することは重要ですが、機密性は必要ありません。OSの整合性を保護する方法もありますが、この答えの範囲を超えています。


「OSの整合性を保護することは重要ですが、機密性は必要ありません」というステートメントを明確にできますか?OpenBSDのボリューム暗号化は単なるマーケティングの仕掛けか、それとも重要ではないということですか?

その他の整合性について:unix.stackexchange.com/questions/9998/...

3
@hhh:OpenBSDの暗号化は機密性を提供します。これは自分のデータにとって重要であり、だれでもダウンロードできるOSファイルにとっては重要ではありません。(つまり、ボリュームの暗号化は重要ですが、完全な話ではありません。)整合性は、データをひそかに変更したり、さらに悪いことに、ディスクに物理的にアクセスできるマルウェアをインストールすることに対する防御です。邪悪なメイド攻撃に対する防御は困難です(OpenBSDが提供しなければならないことはわかりません)が、実行することも困難です。
ジル 'SO-悪であるのをやめる'

この答えはもはや正しくありません
。OpenBSD5.7

@Freedomこの可能性について言及するために回答を更新しました。どうやら5.3から可能だったようですが、この答えを書いた時点ではまだ存在していませんでした。
ジル 'SO-悪であるのをやめる'

3

Softraid CRYPTO規律とは、フルディスク暗号化をサポートするために、OBSDデザイナーが意図していました。SVNDには、現在廃止されている別の方法もありました。


弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.