OpenBSD는 OpenBSD 5.3 부터 전체 디스크 암호화 만 지원합니다 . 이전 버전에는 일반 텍스트 부팅 파티션이 필요합니다. 암호화 파티션에 대한 직접 설치를 지원하기 위해 설치 프로그램이 수정 된 시점을 모르겠습니다 (부트 로더는 물론 다음 비트의 암호를 해독해야하기 때문에 여전히 암호화되지 않은 상태 임).
어쨌든 시스템 파티션 암호화에는 거의 쓸모가 없습니다 ¹. 따라서 시스템을 정상적으로 설치 한 다음 암호화 된 파일 시스템 이미지를 생성하고 민감한 데이터 ( /home, 일부 /var, 아마도 일부 파일 /etc)를 거기에 두는 것이 좋습니다 .
어쨌든 시스템 파티션을 암호화하려면 (일부 기밀 소프트웨어와 같은 특별한 사용 사례가 있기 때문에) 암호화 된 시스템을 원래 설치하지 않은 경우 다음과 같이하십시오.
OpenBSD 설치로 부팅하고 암호화 된 파일 시스템 이미지를 포함 할 파일을 만듭니다. 나중에 변경하기 어려우므로 적당한 크기를 선택해야합니다 (추가 이미지를 만들 수는 있지만 각 이미지에 대해 별도로 암호를 입력해야합니다). vnconfig(그들은 몇 가지 단계를 놓치고 있지만) 매뉴얼 페이지 예제가 있습니다. 간단히 말해서 :
dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0 # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c
해당 항목을 /etc/fstab다음에 추가하십시오 .
/ENCRYPTED.img /dev/svnd0c vnd rw,noauto,-k
/dev/svnd0a /home ffs rw,noauto
부팅시 암호화 된 볼륨과 파일 시스템을 마운트하는 명령을 추가하십시오 /etc/rc.local.
echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home
다음 명령을 실행하여 모든 것이 올바르게 작동하는지 확인하십시오 ( mount /dev/svnd0c && mount /home).
참고 rc.local당신은 암호화 된 볼륨에 SSH 또는 센드 메일과 표준 서비스에서 사용하는 파일을 넣을 수 있도록 부팅 과정에서 늦게 실행됩니다. 그렇게하려면 /etc/rc대신 이 명령을 대신에 넣으십시오 mount -a. 그런 다음 민감한 것으로 생각되는 파일 시스템의 일부를 /home볼륨으로 이동하십시오 .
mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var
스왑도 암호화해야하지만 OpenBSD는 요즘 자동으로 그렇게합니다.
암호화 된 파일 시스템을 얻는 새로운 방법 은 소프트웨어 RAID 드라이버를 사용하는 것 softraid 입니다. 자세한 내용은 softraidand bioctl매뉴얼 페이지 또는 Lykle de Vries의 OpenBSD 암호화 NAS HOWTO 를 참조하십시오. 최신 버전의 OpenBSD 는 설치 중에 셸에 놓아 볼륨을 생성하여 softraid 볼륨에서 부팅하고 softraid 볼륨으로 설치하는 것을 지원합니다 .
¹
OpenBSD의 볼륨 암호화 는 무결성이 아니라 기밀성 (Blowfish)으로 보호됩니다 . OS의 무결성을 보호하는 것이 중요하지만 기밀성이 필요하지 않습니다. OS의 무결성을 보호하는 방법도 있지만이 답변의 범위를 벗어납니다.