Full Disk Encryption: Und alle so: "yeah!"

[Daemotron]

Mal abgesehen davon: Der Hauptnutzen liegt IMHO darin, Daten zu schützen, die auf Medien gespeichert wurden, die mal abhanden kommen könnten (vulgo: verloren oder geklaut werden könnten). Hätten die Briten ihre CDs mit Sozialversicherungsdaten damals verschlüsselt gehabt, wäre ihrer Regierung jedenfalls ein peinlicher Skandal erspart geblieben...

 

[Athaba]

Hättest du den Link geschickt, könnte man auch lösen, wie die tatsächliche Realität aussieht. Wie immer kommt es drauf an, was genau man vor hat.

Aber gerade der Informatiker findet doch eine tiefe Befriedigung darin mit Kanonen auf Spatzen zu schießen.

 

[Frank]

@DemonLord

Es wäre nett von Dir, wenn Du ein kurzes HowTo schreiben würdest.
Damit würdest Du mir, und sicher auch anderen, einen großen Gefallen tun.

(Ich würde nämlich gerne bald eins meiner Laptops mit FreeBSD bestücken und da ich alle meine Laptops komplett verschlüssel wäre Dein HowTo sicher eine große Zeitersparnis für mich und andere.)

 

[cryptosteve]

Ich fände ein HowTo für FDE auch richtig cool. Ich setze keine Maschine mehr ohne auf und wollte mir demnächst mal FBSD9 ausführlicher angucken. Ein HOWTO für mir eine Menge Lesearbeit im Vorfeld ersparen ...

 

[DemonLord]

Kurze Info: Ich schreibe das Howto - dauert ein paar Tage. Denke mal so Dienstag.

 

[Frank]

Cool, vielen Dank!

 

[odenter]

Ich "hijacke" mal diesen Thread weil es thematisch passt.

Ich will mir demnächst einen root server mieten und probiere deshalb gerade ein paar Dinge in einer lokalen VM (VirtualBox) aus.

Aber schon mit der Plattenverschlüsselung habe ich ein Problem und google liefert nur mäßige Ergebnisse.
Ich habe eine Platte mit ~500GB.
Davon 1GB für root /
~490GB /mnt (soll verschlüsselt werden)
und den Rest /misc
swap etc. ist überflüssig, zumindest für eine minimal installation.

Zuerst hatte ich nur 1GB /, Rest /mnt. Allerdings habe ich beim Aufruf von

geli init ....

folgende Fehlermeldung bekommen:

geli: Cannot store metadata on /dev/ad0s1a: Operation not permitted.

Als Hinweis dazu habe ich gefunden das meine letzte Partition einfach etwas kleiner sein sollte. Das hat mich dann zu der Aufteilung /, /mnt und /misc gebracht.
Allerdings bekomme ich nun immernoch die gleiche Fehlermeldung. :-S

Hat jemand von euch einen Rat für mich?

 

[Crest]

ad0 = Der Master auf dem ersten IDE Bus (mit static IDs).
ad0s1 = Der erste Slice (erste MBR Partition) auf ad0.
ad0s1a = Die erste bsdlabel Partition auf ad0s1.

ad0s1a sollte per Konvention das "/" enthalten. Solange du kein extra Boot Dateisystem anlegst muss "/" unverschlüsselt sein. GEOM enthält gewisse Sicherheitsfeatures damit du dir nicht leichter als nötig in den Fuß schießt. Sollte ad0s1a gemounted sein lässt es dich nicht einfach dein Dateisystem mit einem GELI Header überschreiben.

 

[odenter]

Aaahh
Ich habe versucht meine root Partition zu verschlüsseln und nicht die zukünftige Partition. *args*

Danke

EDIT:
Verschlüsselung hat gefunzt, er fragt beim booten nach dem Passwort.

EDIT die 2te:
Hab mich übrigens hiernach gerichtet
http://forums.freebsd.org/showthread.php?t=19082

 

[Athaba]

swap etc. ist überflüssig, zumindest für eine minimal installation.

Für viele ist swap das einzig wichtige. Bist du sicher, dass du das nicht willst. Immerhin können da neben Passwörtern praktisch alle die Daten drin liegen, die sonst verschlüsselt wären.

 

[odenter]

Für viele ist swap das einzig wichtige. Bist du sicher, dass du das nicht willst. Immerhin können da neben Passwörtern praktisch alle die Daten drin liegen, die sonst verschlüsselt wären.

Damit war nicht gemeint, swap nicht zu verschlüsseln.
Bei dem was ich da mache ist ja alles verschlüsselt, ausser ein ganz kleiner Teil (/boot) auf der ursprünglichen ersten Partition.

 

[Frank]

@DemonLord

Kommt Dein Howto noch?