FreeBSD 7.0 geli Partition
- Ersteller BoS
- Erstellt am
FreeBSDuser
Well-Known Member
Die Sache mit der Swap ist klar, nur das /usr /var /tmp etc alle ne eigene haben.
Hier kurze Erklärung wie ich es immer mache (nur /home encrypted):
1. Partitionen erstellen:
10G root
40G home
2. Ich installe ne FreeBSD Base in /home, root nach /mnt mounten.
3. src.conf + kernel + make.conf anpassen
4. world und kernel bauen
5. world und kernen installen mit DESTDIR=/mnt
6. make distribution mit DESTDIR=/mnt
7. src.conf, make.conf und kernelconfig ins neue System übernehmen.
8. fstab erstellen & anpassen (läuft alles über glabels)
9. neustarten, home wipen, geli initen, /home mounten, passwd root
10. rc.conf & loader.conf anpassen
feddich
Wenn / verschlüsselt werden soll:
Partitionen:
512M bootroot
10G / verschlüsselt
40G /home verschlüsselt
so: bootroot ist ein subset von / und wird bei veränderungen gesynct, vom Kernel wird aber das verschlüsselte / als / gemountet, und das bootroot nur wenn es gesynct werden muss.
Hier kurze Erklärung wie ich es immer mache (nur /home encrypted):
1. Partitionen erstellen:
10G root
40G home
2. Ich installe ne FreeBSD Base in /home, root nach /mnt mounten.
3. src.conf + kernel + make.conf anpassen
4. world und kernel bauen
5. world und kernen installen mit DESTDIR=/mnt
6. make distribution mit DESTDIR=/mnt
7. src.conf, make.conf und kernelconfig ins neue System übernehmen.
8. fstab erstellen & anpassen (läuft alles über glabels)
9. neustarten, home wipen, geli initen, /home mounten, passwd root
10. rc.conf & loader.conf anpassen
feddich
Wenn / verschlüsselt werden soll:
Partitionen:
512M bootroot
10G / verschlüsselt
40G /home verschlüsselt
so: bootroot ist ein subset von / und wird bei veränderungen gesynct, vom Kernel wird aber das verschlüsselte / als / gemountet, und das bootroot nur wenn es gesynct werden muss.
bsdagent
Auch im #bsdforen.de Chat
Morgen
Joar, dass was du aber ansprichst, ist eher die wahl des File Systems bezüglich /, /var, /tmp, /usr und /home. Das ist allgemein eine geschmagssache, ob man ein /var, /tmp und /usr direkt im / File System integriert oder extra File Systeme für diese erstellt.
Meine vorgehensweise richtet sich allgemein an FreeBSD-Handbuch und sysinstall. sysinstall erzeugt mit Taste A automatische die File Systeme nach diesem schema (ausser /home).
Aber über geschmack kann man streiten
.
FreeBSD mit Disc1 installieren erfordert ca. 50% mehr Speicher für das Installationsmedium.
Doch währe deine vorgehensweise für mich interresant, wenn du bereit wärst, diese für mich exakter aufzuschreiben
.
Damit meine ich, schrit für schrit mit allen eingegebenen Befehlen. Natürlich ist es nicht nötig, mir 1:1 zu erklären, was du mit sysinstall machst, grobe züge reichen.
Gruss
bsdagent
Joar, dass was du aber ansprichst, ist eher die wahl des File Systems bezüglich /, /var, /tmp, /usr und /home. Das ist allgemein eine geschmagssache, ob man ein /var, /tmp und /usr direkt im / File System integriert oder extra File Systeme für diese erstellt.
Meine vorgehensweise richtet sich allgemein an FreeBSD-Handbuch und sysinstall. sysinstall erzeugt mit Taste A automatische die File Systeme nach diesem schema (ausser /home).
Aber über geschmack kann man streiten
.FreeBSD mit Disc1 installieren erfordert ca. 50% mehr Speicher für das Installationsmedium.
Doch währe deine vorgehensweise für mich interresant, wenn du bereit wärst, diese für mich exakter aufzuschreiben
.Damit meine ich, schrit für schrit mit allen eingegebenen Befehlen. Natürlich ist es nicht nötig, mir 1:1 zu erklären, was du mit sysinstall machst, grobe züge reichen
.Gruss
bsdagent
Schaut euch mal die GEOM Klasse SHSEC an, kontrolliert durch "gshsec(8)". Die Manpage erhält auch gleich ein Beispiel. Mit dieser kann man ein USB-Stick so preparieren, dass er den auf ihn abgelegten Schlüssel direkt nach dem Einstecken in /dev/shsec/schluesselname ablegt. Von dort kann er eingelesen werden, ohne das man was mounten muss. Zieht man den Stick ab, verschwindet der Schlüssel einfach aus dem System. Mit so einem Konstruckt kann man mit dem USB-Stick als Schlüssel eine Reihe verschlüsselter Geräte einhängen, ohne ein Passwort zu tippen. Natürlich darf der USB-Stick nicht in fremde Hände gelangen.
BoS
Well-Known Member
UPDATE:
das verschlüsseln der 3 HDDS war kein Problem - nur die o.g. Sachen sind wieder aufgetreten, warum auch immer - es gibt auf dem System keine Möglichkeit, das mounten automatisch zu erledigen (mittlerweile auch nicht mit script
)
Ich habe da warscheinlich auf das falsche Pferd gesetzt
kann geschlossen werden
BoS
das verschlüsseln der 3 HDDS war kein Problem - nur die o.g. Sachen sind wieder aufgetreten, warum auch immer - es gibt auf dem System keine Möglichkeit, das mounten automatisch zu erledigen (mittlerweile auch nicht mit script
)Ich habe da warscheinlich auf das falsche Pferd gesetzt
kann geschlossen werden
BoS
Zuletzt bearbeitet: