OpenBSD에서 전체 디스크 암호화를 설정하는 방법은 무엇입니까?

Question 1

OpenBSD는 전체 디스크 암호화만 지원합니다.오픈BSD 5.3. 이전 버전에서는 일반 텍스트 부팅 파티션이 필요했습니다. 암호화된 파티션에 직접 설치를 지원하도록 설치 프로그램이 언제 수정되었는지 모르겠습니다(물론 다음 비트를 해독해야 하기 때문에 부트로더는 여전히 암호화되지 않습니다).

어쨌든 시스템 파티션을 암호화하는 것은 거의 쓸모가 없습니다. 따라서 시스템을 정상적으로 설치한 다음 암호화된 파일 시스템 이미지를 생성하고 여기에 중요한 데이터( /home, 부분 데이터 /var, 일부 파일 /etc)를 넣는 것이 좋습니다.

기밀 소프트웨어와 같은 특별한 사용 사례가 있기 때문에 시스템 파티션을 암호화하고 싶지만 처음에 암호화된 시스템을 설치하지 않은 경우 다음 방법을 따르세요.

OpenBSD 설치로 부팅하고 암호화된 파일 시스템 이미지가 포함된 파일을 만듭니다. 나중에 변경이 어려우므로 적당한 크기를 선택하세요. (이미지를 추가로 생성할 수 있으나 이미지마다 별도의 비밀번호를 입력해야 합니다.) 이것vnconfig매뉴얼 페이지에는 예제가 있습니다(일부 단계가 누락되어 있음). 간단히 말해서:

dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img  # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0  # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c

적절한 항목을 추가하십시오./etc/fstab:

 /ENCRYPTED.img  /dev/svnd0c  vnd rw,noauto,-k
 /dev/svnd0a     /home        ffs rw,noauto

부팅 시 암호화된 볼륨과 그 안에 파일 시스템을 마운트하는 명령 추가/etc/rc.local:

echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home

다음 명령( )을 실행하여 모든 것이 제대로 작동하는지 확인하십시오 mount /dev/svnd0c && mount /home.

이는 rc.local부팅 프로세스 후반에 수행되므로 ssh 또는 sendmail과 같은 표준 서비스에서 사용하는 파일을 암호화된 볼륨에 넣을 수 없습니다. 이렇게 하려면 /etc/rc나중에 이 명령을 입력하세요 mount -a. 그런 다음 중요하다고 생각되는 파일 시스템 부분을 /home볼륨으로 이동합니다.

mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var

스왑 영역도 암호화해야 하지만 OpenBSD는 이제 이 작업을 자동으로 수행합니다.

암호화된 파일 시스템을 얻는 새로운 방법은 다음과 같습니다.소프트웨어 RAID 드라이버를 통해 softraid. 보다softraid그리고bioctl맨 페이지 또는Lykle de Vries의 OpenBSD CryptoNAS HOWTO더 많은 정보를 알고 싶습니다. 최신 버전의 OpenBSD는 소프트레이드 볼륨에서의 부팅을 지원합니다.설치하다설치 중에 셸을 입력하여 볼륨을 생성하고 Softrai 볼륨에 추가합니다.

¹ _{내가 아는 한 OpenBSD는볼륨 암호화기밀로 보호됩니다(Blowfish의 경우).똑바로. 운영 체제의 무결성을 보호하는 것은 중요하지만 비밀을 유지할 필요는 없습니다. 운영 체제의 무결성을 보호하는 방법도 있지만 이 답변의 범위를 벗어납니다.}

Answer