Benutzer-Werkzeuge
eine_verschluesselte_partition_anlegen
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
|
eine_verschluesselte_partition_anlegen [2014/02/11 21:58] rakor angelegt |
eine_verschluesselte_partition_anlegen [2017/10/02 13:40] |
||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| - | ====== Allgemein ====== | ||
| - | Um eine Festplatte zu verschlüsseln wird //geli// verwendet. Dies arbeitet direkt auf geom-Providern und ist somit in der Lage Partitionen transparent zu verschlüsseln. | ||
| - | |||
| - | ====== ASESNI Laden ====== | ||
| - | Wenn die verwendete CPU hardwareseitige AES-Beschleunigung unterstützt kann diese mit folgendem Eintrag in der **/boot/loader.conf** aktiviert werden. | ||
| - | <code> | ||
| - | aesni_load="YES" | ||
| - | </code> | ||
| - | |||
| - | ====== GELI laden ====== | ||
| - | Damit GELI (welches die Entschlüsselung der Daten übernimmt) beim Systemstart geladen wird muss noch folgende Zeile in die /boot/loader.conf hinzugefügt werden: | ||
| - | <code> | ||
| - | geom_eli_load="YES" | ||
| - | </code> | ||
| - | |||
| - | ====== Partition anlegen ====== | ||
| - | Um nun auf der Festplatte eine z.B. 500GB große Partition anzulegen wird //gpart// mit folgenden Parametern aufgerufen (Hierbei muss **adX** mit der entsprechenden Devicenode ersetzt werden). | ||
| - | <code> | ||
| - | # gpart add -s 500G -l CRYPTO -t freebsd-ufs adX | ||
| - | </code> | ||
| - | |||
| - | ====== Master-Key anlegen ====== | ||
| - | Nun wird eine Schlüsseldatei angelegt mit welcher das Image dann verschlüsselt wird. Will man kein Key-File verwenden (nur in Ausnahmefällen sinnvoll), sondern ausschließlich ein Passwort eingeben kann dieser Schritt übersprungen werden. | ||
| - | <code> | ||
| - | % dd if=/dev/random of=crypt.key bs=128k count=1 | ||
| - | </code> | ||
| - | |||
| - | ====== GELI initialisieren ====== | ||
| - | Nun muss GELI noch das Device initialisieren. | ||
| - | <code> | ||
| - | # geli init -s 4096 -l 256 -K crypt.key /dev/gpt/CRYPTO | ||
| - | </code> | ||
| - | |||
| - | Will man hingegen kein Key-File verwenden sieht die Zeile wie folgt aus: | ||
| - | <code> | ||
| - | # geli init -s 4096 -l 256 /dev/gpt/CRYPTO | ||
| - | </code> | ||
| - | |||
| - | Anschließend muss noch zwei mal das zum Verschlüsseln zu verwendende Passwort eingegeben werden. | ||
| - | |||
| - | ====== GELI-Provider aktivieren ====== | ||
| - | Um das Ganze nun zu aktivieren wird folgend vorgegangen: | ||
| - | <code> | ||
| - | # geli attach -k crypt.key /dev/gpt/CRYPTO | ||
| - | </code> | ||
| - | Hiermit wurde das unverschlüsselte Device /dev/gpt/CRYPTO.eli erzeugt. Wird kein Key-File verwendet entfällt **-k crypt.key**. | ||
| - | |||
| - | ====== Dateisystem erzeugen ====== | ||
| - | Das neue Image muss nun noch mit einem Dateisystem gefüllt werden. | ||
| - | |||
| - | <code> | ||
| - | # dd if=/dev/random of=/dev/gpt/CRYPTO.eli bs=1m | ||
| - | # newfs -j /dev/CRYPTO.eli | ||
| - | </code> | ||
| - | |||
| - | Um das Device nun in /crypt zu mounten muss nur noch folgender Befehl abgesetzt werden: | ||
| - | <code> | ||
| - | # mount /dev/gpt/CRYPTO.eli /crypt | ||
| - | </code> | ||
| - | |||
| - | Das Device kann nun normal verwendet werden. | ||
| - | |||
| - | ====== Device auswerfen ====== | ||
| - | Zunächst wird das Laufwerk unmouned. Dies geschieht mit: | ||
| - | <code> | ||
| - | # umount /crypt | ||
| - | </code> | ||
| - | |||
| - | Anschließend muss noch der GELI-Provider ausgeworfen werden. Hierdurch wird der entschlüsselte Zugriff beendet. | ||
| - | <code> | ||
| - | # geli detach gpt/CRYPTO.eli | ||
| - | </code> | ||
| - | Tipp: Wurde beim attach Befehl die Option **-d** verwendet wird das Device automatisch detached sobald der //umount// abgeschlossen ist. | ||
eine_verschluesselte_partition_anlegen.txt · Zuletzt geändert: 2017/10/02 13:40 (Externe Bearbeitung)
Seiten-Werkzeuge
