dm-crypt
Linux 와 비슷한 OpenBSD에서 전체 디스크 암호화를 설정하는 기본 방법이 있습니까?
누군가 내 노트북을 훔치는 것처럼 잠재적으로 노트북에 저장된 데이터에 액세스 할 수있는 것처럼 전체 디스크 암호화를 찾고 있습니다. 또 다른 이유는 항상 노트북 옆에 있지 않기 때문에 누군가 내 넷북의 무결성을 손상시킬 수 있기 때문입니다. 이것이 풀 디스크 암호화가 중요하다고 믿는 두 가지 주요 문제입니다.
dm-crypt
Linux 와 비슷한 OpenBSD에서 전체 디스크 암호화를 설정하는 기본 방법이 있습니까?
누군가 내 노트북을 훔치는 것처럼 잠재적으로 노트북에 저장된 데이터에 액세스 할 수있는 것처럼 전체 디스크 암호화를 찾고 있습니다. 또 다른 이유는 항상 노트북 옆에 있지 않기 때문에 누군가 내 넷북의 무결성을 손상시킬 수 있기 때문입니다. 이것이 풀 디스크 암호화가 중요하다고 믿는 두 가지 주요 문제입니다.
답변:
OpenBSD는 OpenBSD 5.3 부터 전체 디스크 암호화 만 지원합니다 . 이전 버전에는 일반 텍스트 부팅 파티션이 필요합니다. 암호화 파티션에 대한 직접 설치를 지원하기 위해 설치 프로그램이 수정 된 시점을 모르겠습니다 (부트 로더는 물론 다음 비트의 암호를 해독해야하기 때문에 여전히 암호화되지 않은 상태 임).
어쨌든 시스템 파티션 암호화에는 거의 쓸모가 없습니다 ¹. 따라서 시스템을 정상적으로 설치 한 다음 암호화 된 파일 시스템 이미지를 생성하고 민감한 데이터 ( /home
, 일부 /var
, 아마도 일부 파일 /etc
)를 거기에 두는 것이 좋습니다 .
어쨌든 시스템 파티션을 암호화하려면 (일부 기밀 소프트웨어와 같은 특별한 사용 사례가 있기 때문에) 암호화 된 시스템을 원래 설치하지 않은 경우 다음과 같이하십시오.
OpenBSD 설치로 부팅하고 암호화 된 파일 시스템 이미지를 포함 할 파일을 만듭니다. 나중에 변경하기 어려우므로 적당한 크기를 선택해야합니다 (추가 이미지를 만들 수는 있지만 각 이미지에 대해 별도로 암호를 입력해야합니다). vnconfig
(그들은 몇 가지 단계를 놓치고 있지만) 매뉴얼 페이지 예제가 있습니다. 간단히 말해서 :
dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0 # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c
해당 항목을 /etc/fstab
다음에 추가하십시오 .
/ENCRYPTED.img /dev/svnd0c vnd rw,noauto,-k
/dev/svnd0a /home ffs rw,noauto
부팅시 암호화 된 볼륨과 파일 시스템을 마운트하는 명령을 추가하십시오 /etc/rc.local
.
echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home
다음 명령을 실행하여 모든 것이 올바르게 작동하는지 확인하십시오 ( mount /dev/svnd0c && mount /home
).
참고 rc.local
당신은 암호화 된 볼륨에 SSH 또는 센드 메일과 표준 서비스에서 사용하는 파일을 넣을 수 있도록 부팅 과정에서 늦게 실행됩니다. 그렇게하려면 /etc/rc
대신 이 명령을 대신에 넣으십시오 mount -a
. 그런 다음 민감한 것으로 생각되는 파일 시스템의 일부를 /home
볼륨으로 이동하십시오 .
mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var
스왑도 암호화해야하지만 OpenBSD는 요즘 자동으로 그렇게합니다.
암호화 된 파일 시스템을 얻는 새로운 방법 은 소프트웨어 RAID 드라이버를 사용하는 것 softraid
입니다. 자세한 내용은 softraid
and bioctl
매뉴얼 페이지 또는 Lykle de Vries의 OpenBSD 암호화 NAS HOWTO 를 참조하십시오. 최신 버전의 OpenBSD 는 설치 중에 셸에 놓아 볼륨을 생성하여 softraid 볼륨에서 부팅하고 softraid 볼륨으로 설치하는 것을 지원합니다 .
¹ OpenBSD의 볼륨 암호화 는 무결성이 아니라 기밀성 (Blowfish)으로 보호됩니다 . OS의 무결성을 보호하는 것이 중요하지만 기밀성이 필요하지 않습니다. OS의 무결성을 보호하는 방법도 있지만이 답변의 범위를 벗어납니다.
있으며, SoftRAID 크립토 분야로는 전체 디스크 암호화를 지원하는 관측치 디자이너가 의도되었다. 더 이상 사용되지 않는 SVND와 함께 다른 방법이 있습니다.
http://geekyschmidt.com/2011/01/19/configuring-openbsd-softraid-fo-encryption 은 기본적으로 softraid 전체 디스크 암호화의 그래픽 방법입니다. 물론 맹목적으로 안내를 따르지 않고 모든 bioctl 설정이 올바른지 확인하십시오.