OpenBSD에서 전체 디스크 암호화를 어떻게 설정해야합니까?


19

dm-cryptLinux 와 비슷한 OpenBSD에서 전체 디스크 암호화를 설정하는 기본 방법이 있습니까?

누군가 내 노트북을 훔치는 것처럼 잠재적으로 노트북에 저장된 데이터에 액세스 할 수있는 것처럼 전체 디스크 암호화를 찾고 있습니다. 또 다른 이유는 항상 노트북 옆에 있지 않기 때문에 누군가 내 넷북의 무결성을 손상시킬 수 있기 때문입니다. 이것이 풀 디스크 암호화가 중요하다고 믿는 두 가지 주요 문제입니다.


완전히 관련이없는 두 가지 질문이 있습니다. 하나의 답변에 아직 아무도 답변하지 않았으므로 귀하의 질문에서 Chrome에 대한 부분을 제거했습니다. OpenBSD에서 Chrome을 실행하는 것에 대한 새로운 질문을 게시하십시오.
Gilles 'SO- 악의를 멈춰라'


OpenBSD 5.3 부터 완전한 디스크 암호화가 가능합니다! > softraid (4) i386 및> amd64 (전체 디스크 암호화)에서 RAID1 및 암호화 볼륨을 부팅 할 수 있습니다. 따라서 부트 로더 외에도 모든 것이 암호화되어 있습니다. :)
evachristine

답변:


15

OpenBSD는 OpenBSD 5.3 부터 전체 디스크 암호화 만 지원합니다 . 이전 버전에는 일반 텍스트 부팅 파티션이 필요합니다. 암호화 파티션에 대한 직접 설치를 지원하기 위해 설치 프로그램이 수정 된 시점을 모르겠습니다 (부트 로더는 물론 다음 비트의 암호를 해독해야하기 때문에 여전히 암호화되지 않은 상태 임).

어쨌든 시스템 파티션 암호화에는 거의 쓸모가 없습니다 ¹. 따라서 시스템을 정상적으로 설치 한 다음 암호화 된 파일 시스템 이미지를 생성하고 민감한 데이터 ( /home, 일부 /var, 아마도 일부 파일 /etc)를 거기에 두는 것이 좋습니다 .

어쨌든 시스템 파티션을 암호화하려면 (일부 기밀 소프트웨어와 같은 특별한 사용 사례가 있기 때문에) 암호화 된 시스템을 원래 설치하지 않은 경우 다음과 같이하십시오.

OpenBSD 설치로 부팅하고 암호화 된 파일 시스템 이미지를 포함 할 파일을 만듭니다. 나중에 변경하기 어려우므로 적당한 크기를 선택해야합니다 (추가 이미지를 만들 수는 있지만 각 이미지에 대해 별도로 암호를 입력해야합니다). vnconfig(그들은 몇 가지 단계를 놓치고 있지만) 매뉴얼 페이지 예제가 있습니다. 간단히 말해서 :

dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img  # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0  # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c

해당 항목을 /etc/fstab다음에 추가하십시오 .

 /ENCRYPTED.img  /dev/svnd0c  vnd rw,noauto,-k
 /dev/svnd0a     /home        ffs rw,noauto

부팅시 암호화 된 볼륨과 파일 시스템을 마운트하는 명령을 추가하십시오 /etc/rc.local.

echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home

다음 명령을 실행하여 모든 것이 올바르게 작동하는지 확인하십시오 ( mount /dev/svnd0c && mount /home).

참고 rc.local당신은 암호화 된 볼륨에 SSH 또는 센드 메일과 표준 서비스에서 사용하는 파일을 넣을 수 있도록 부팅 과정에서 늦게 실행됩니다. 그렇게하려면 /etc/rc대신 이 명령을 대신에 넣으십시오 mount -a. 그런 다음 민감한 것으로 생각되는 파일 시스템의 일부를 /home볼륨으로 이동하십시오 .

mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var

스왑도 암호화해야하지만 OpenBSD는 요즘 자동으로 그렇게합니다.

암호화 된 파일 시스템을 얻는 새로운 방법 은 소프트웨어 RAID 드라이버를 사용하는 것 softraid 입니다. 자세한 내용은 softraidand bioctl매뉴얼 페이지 또는 Lykle de Vries의 OpenBSD 암호화 NAS HOWTO 를 참조하십시오. 최신 버전의 OpenBSD 는 설치 중에 셸에 놓아 볼륨을 생성하여 softraid 볼륨에서 부팅하고 softraid 볼륨으로 설치하는 것을 지원합니다 .

¹ OpenBSD의 볼륨 암호화무결성이 아니라 기밀성 (Blowfish)으로 보호됩니다 . OS의 무결성을 보호하는 것이 중요하지만 기밀성이 필요하지 않습니다. OS의 무결성을 보호하는 방법도 있지만이 답변의 범위를 벗어납니다.


"OS의 무결성을 보호하는 것이 중요하지만 기밀성이 필요하지 않다"는 문구를 명확하게 설명 할 수 있습니까? OpenBSD의 볼륨 암호화는 마케팅 특수 효과 또는 중요하지 않은 것입니까?

무결성에 대한 자세한 내용 : unix.stackexchange.com/questions/9998/…

3
@hhh : OpenBSD의 암호화는 기밀성을 제공합니다. 누구나 다운로드 할 수있는 OS 파일에는 중요하지 않고 자신의 데이터에 중요합니다. (즉, 볼륨 암호화는 중요하지만 전체 스토리는 아닙니다.) 무결성은 데이터를 은밀하게 변경하거나 디스크에 물리적으로 액세스 할 수있는 악성 프로그램 ( 악의 가정부 공격)을 설치하는 사람을 방어하는 것 입니다. 악의적 인 하녀 공격은 방어하기가 어렵지만 (OpenBSD가 무엇을 제공 해야할지 모르겠습니다) 수행하기도 어렵습니다.
Gilles 'SO- 악한 중지'

이 대답은 더 이상 정확하지 않습니다. OpenBSD 5.7 이전 버전에서는 이미 시작된 이후로 암호화 된 파티션에 OS를 설치할 수 있습니다
Freedo

@Freedom이 가능성을 언급하기 위해 답변을 업데이트했습니다. 5.3 이후 가능했을 것입니다.이 답변을 쓸 때 아직 존재하지 않았습니다.
Gilles 'SO- 악마 그만'

3

있으며, SoftRAID 크립토 분야로는 전체 디스크 암호화를 지원하는 관측치 디자이너가 의도되었다. 더 이상 사용되지 않는 SVND와 함께 다른 방법이 있습니다.


당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.