OpenBSD --> Alix

soul_rebel

ist immer auf der flucht
So...
Nach langer Warterei ist das Board inklusive Komponenten am Start...
Nach ziemlich umständlicher Nullmodemkabelbeschaffung und darauf folgender Frickelei habe ich inzwischen das BIOS meiner ALIX ausversehen downgegradet und jetzt auch wieder auf seinen ursprünglichen (aktuellen) Zustand gebracht. :rolleyes:

Jetzt kann es ans eingemachte gehen. Zur Installation habe ich die CF-Karte in einen Adapter in eine WS gepackt und mir das Install-Iso für 4.3 gezogen.

Aus dem Alix-Board-Thread habe ich auch eine Anleitung [1] für OpenBSD, aber da es leichte Abweichungen in meinem Setup gibt und ich die arme CF-karte durch mehrmalige Installationen nicht strapazieren will, kommen hier ein paar Fragen:

Erstmal der Einsatzzweck: Router, Firewall, DHCP- und Nameserver, Mailserver; alles privat.

Die Dienste selbst bekomme ich denke ich eingerichtet, alles außer Mailserver habe ich schon gemacht. Aber das Setup insgesamt ist mir noch nicht ganz klar.

Ich hab eine 2GB-CF-Karte und einen 8GB USB-Stick. Die CF-Karte soll Betriebsystem und Applikationen beherbergen. Der USB-Stick soll verschlüsselt werden und das komplette /var beherbergen. Das mounten des USB-Sticks soll nicht automatisch (beim Start) passieren und der Mailserver auch nicht automatisch gestartet werden. Bevor der Stick da ist könnten die anderen Dienste ja ein /var im Ramdisk benutzen...
* Grundsätzlich suche ich noch eine gute Anleitung zum Partitionsverschlüsseln unter OpenBSD, in der FAQ finde ich irgendwie nichts dazu... (wird z.B. crypto-device für Verschlüsselung unterstützt?)
* Wie schlagt ihr vor, dass ich das /var im RAMDISK zu dem /var auf dem USB-Stick wechsle, wenn der USB-STICK decryptet und eingehangen wird? Ich habe bei OpenBSD irgendwie weder unionfs noch nullfs gefunden....
Die einzige sauber Möglichkeit scheint mir zu sein, alle Dienste anzuhalten, USB-Stick decrypten, an /var2 einhängen, /var über /var2 kopieren, /var aushängen, /var2 aushängen, USB-Stick auf /var mounten, alle Dienste neustarten, Mailserver starten...
(irgendwie obskur...)
* Muss /dev wirklich auch in eine RAMDISK? Ich dachte, dass ist eh virtuell und schreibt nicht wirklich was auf die CF-Karte?
* Wie schlagt ihr allgemein die Partitionierung vor? Was mache ich mit den 2GB auf der Karte? Brauch ich ein eigenes /usr oder /usr/local wenn die eh read-only gemountet sind? Sollte ich eine kleine FAT16-Partition zum BIOS flashen da lassen?

Danke für Tipps!


[1] http://marc.info/?l=openbsd-misc&m=120353262911869&w=2
 
Hm die genannten Quellen beschreiben aber immer das erstellen von verschlüsselten Dateisystemen in Dateien. Das brauch ich aber garnicht, ich will einfach eine Partition verschlüsseln.

Außerdem ist immer von Blowfish die Rede. Auf dem Board befindet sich aber ein AES-Crypto-Prozessor der von OpenBSD unterstützt wird und den ich gern dafür verwenden würde! Zur Not würde es auch ohne gehen, aber schön wäre es schon.

Wie stelle ich das nun an?
 
ob AES geht, weiss ich nicht. aber eine anleitung zur einrichtung von vnconfig auf ner kompletten disk findest du hier. der neue weg (.old weglassen) wird dann irgendwann über softraid und bioctl führen (am ende der manpage beschrieben); allerdings ist das noch experimental (läuft aber eigentlich ganz gut; kann nicht automatisch gestartet werden (mit nem selbstbau-skript vielleicht); es gibt momentan keine möglichkeit, mit fsck die platte zu checken -> du könntest mit dd die metadaten sichern und evtl. zurückspielen, oder du hast nen gutes backup für den fall, dass dir das system mal abstürzt oder einfriert ;).
 
Last edited:
soul_rebel: was meinst du mit "Dateisystem in Datei" ? Also alles was mit vnconfig zu tun hat willst du nicht oder wie?
Hier wäre auch nochmal eins mit vnconfig, weils da draussen entweder kein Howto ohne gibt oder es einfach nciht möglich ist.
 
ob AES geht, weiss ich nicht. aber eine anleitung zur einrichtung von vnconfig auf ner kompletten disk findest du hier. der neue weg (.old weglassen) wird dann irgendwann über softraid und bioctl führen (am ende der manpage beschrieben); allerdings ist das noch experimental (läuft aber eigentlich ganz gut;
Hm, bioctl sieht interessant aus, allerdings sind die Nachteile nicht zu verachten. Außerdem ist die Crypto-Funktion in 4.3 noch nicht verfügbar (zumindest laut manpage).
soul_rebel: was meinst du mit "Dateisystem in Datei" ? Also alles was mit vnconfig zu tun hat willst du nicht oder wie?
Hier wäre auch nochmal eins mit vnconfig, weils da draussen entweder kein Howto ohne gibt oder es einfach nciht möglich ist.
Hm, laut makenoobs erstem link, kann man mit vnconfig auch direkt auf partitionen arbeiten ohne vorher ein "cryptfile" anzulegen, wie dies alle tutorials auf geektechnique vorschlagen.

Das werde ich dann erst mal machen, denke ich.

Schade trotzdem, dass ich die crypto-engine nicht verwenden kann.
 
Ich würde /var auf der RAMDISK lassen und die Dienste die ihre Daten im normalen /var ablegen wenns geht auf den verschlüsselten USB-Stick umbiegen.

Bei mir landet /var/log /var/tmp auf der RAMDISK (Stichwort: Datenvermeidung) und mysql, httpd, ports-db usw. aufm USB-Stick.

System: FreeBSD
 
man könnte es auch per skript/cronjob aus dem mfs auf die platte verschieben/syncen; dann ist auch der geschwindigkeitsnachteil weg
 
Ja im moment liegt /var und /dev im Speicher. /var wird einmal wöchentlich oder beim runterfahren nach /schreibbar/var gesynct, wovon beim starten das mfs generiert wird.

Jetzt überleg ich nur wie ich möglichst optimal das mit dem USB-Stick löse. Bei laufendem Betrieb das /var auszutauschen ist nicht so einfach...
 
Back
Top