Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
eine_verschluesselte_partition_anlegen [2014/02/11 21:58] rakor angelegt |
eine_verschluesselte_partition_anlegen [2017/10/02 13:40] |
||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== Allgemein ====== | ||
- | Um eine Festplatte zu verschlüsseln wird //geli// verwendet. Dies arbeitet direkt auf geom-Providern und ist somit in der Lage Partitionen transparent zu verschlüsseln. | ||
- | |||
- | ====== ASESNI Laden ====== | ||
- | Wenn die verwendete CPU hardwareseitige AES-Beschleunigung unterstützt kann diese mit folgendem Eintrag in der **/boot/loader.conf** aktiviert werden. | ||
- | <code> | ||
- | aesni_load="YES" | ||
- | </code> | ||
- | |||
- | ====== GELI laden ====== | ||
- | Damit GELI (welches die Entschlüsselung der Daten übernimmt) beim Systemstart geladen wird muss noch folgende Zeile in die /boot/loader.conf hinzugefügt werden: | ||
- | <code> | ||
- | geom_eli_load="YES" | ||
- | </code> | ||
- | |||
- | ====== Partition anlegen ====== | ||
- | Um nun auf der Festplatte eine z.B. 500GB große Partition anzulegen wird //gpart// mit folgenden Parametern aufgerufen (Hierbei muss **adX** mit der entsprechenden Devicenode ersetzt werden). | ||
- | <code> | ||
- | # gpart add -s 500G -l CRYPTO -t freebsd-ufs adX | ||
- | </code> | ||
- | |||
- | ====== Master-Key anlegen ====== | ||
- | Nun wird eine Schlüsseldatei angelegt mit welcher das Image dann verschlüsselt wird. Will man kein Key-File verwenden (nur in Ausnahmefällen sinnvoll), sondern ausschließlich ein Passwort eingeben kann dieser Schritt übersprungen werden. | ||
- | <code> | ||
- | % dd if=/dev/random of=crypt.key bs=128k count=1 | ||
- | </code> | ||
- | |||
- | ====== GELI initialisieren ====== | ||
- | Nun muss GELI noch das Device initialisieren. | ||
- | <code> | ||
- | # geli init -s 4096 -l 256 -K crypt.key /dev/gpt/CRYPTO | ||
- | </code> | ||
- | |||
- | Will man hingegen kein Key-File verwenden sieht die Zeile wie folgt aus: | ||
- | <code> | ||
- | # geli init -s 4096 -l 256 /dev/gpt/CRYPTO | ||
- | </code> | ||
- | |||
- | Anschließend muss noch zwei mal das zum Verschlüsseln zu verwendende Passwort eingegeben werden. | ||
- | |||
- | ====== GELI-Provider aktivieren ====== | ||
- | Um das Ganze nun zu aktivieren wird folgend vorgegangen: | ||
- | <code> | ||
- | # geli attach -k crypt.key /dev/gpt/CRYPTO | ||
- | </code> | ||
- | Hiermit wurde das unverschlüsselte Device /dev/gpt/CRYPTO.eli erzeugt. Wird kein Key-File verwendet entfällt **-k crypt.key**. | ||
- | |||
- | ====== Dateisystem erzeugen ====== | ||
- | Das neue Image muss nun noch mit einem Dateisystem gefüllt werden. | ||
- | |||
- | <code> | ||
- | # dd if=/dev/random of=/dev/gpt/CRYPTO.eli bs=1m | ||
- | # newfs -j /dev/CRYPTO.eli | ||
- | </code> | ||
- | |||
- | Um das Device nun in /crypt zu mounten muss nur noch folgender Befehl abgesetzt werden: | ||
- | <code> | ||
- | # mount /dev/gpt/CRYPTO.eli /crypt | ||
- | </code> | ||
- | |||
- | Das Device kann nun normal verwendet werden. | ||
- | |||
- | ====== Device auswerfen ====== | ||
- | Zunächst wird das Laufwerk unmouned. Dies geschieht mit: | ||
- | <code> | ||
- | # umount /crypt | ||
- | </code> | ||
- | |||
- | Anschließend muss noch der GELI-Provider ausgeworfen werden. Hierdurch wird der entschlüsselte Zugriff beendet. | ||
- | <code> | ||
- | # geli detach gpt/CRYPTO.eli | ||
- | </code> | ||
- | Tipp: Wurde beim attach Befehl die Option **-d** verwendet wird das Device automatisch detached sobald der //umount// abgeschlossen ist. | ||