Verschlüsselung

R

rakso

Well-Known Member
Hallo zusammen, ich habe mir mal PC-BSD als Desktopsystem installiert. Klappte ganz gut. Mit Verschlüsselung über keyfile.

Nun frage ich mich, wie man das keyfile auf nen bootbaren usb-stick bringt, weil solange der auf der platte liegt, macht das Ganze ja wenig Sinn?!

Code: 
[root@sun] /etc# geli status
      Name  Status  Components
ada0p4.eli  ACTIVE  ada0p4
[root@sun] /etc# gpart show
=>       34  490234685  ada0  GPT  (233G)
         34        128     1  freebsd-boot  (64k)
        162       1854        - free -  (927k)
       2016    2097152     2  freebsd-ufs  (1.0G)
    2099168   10477568     3  freebsd-swap  (5G)
   12576736  477657983     4  freebsd-zfs  (227G)

Ein Schlüssel ist auch da:
Code: 
root@sun] /boot-mount/boot/keys# ll
total 4
-rw-r--r--  1 root  wheel  64 29 Mär 16:56 ada0p4.key


edit: oder / und kann man nachträglich noch ein passwort aktivieren?
Grüße
 
Zuletzt bearbeitet:
moin
alos ich habe das so gemacht das die verschluesselte part nicht automatisch gemountet
wird beim booten sonder von einem egenen perl daemon der die usb ports ueberwacht
und nach einem bestimmten label auf einem usbstick schaut.

ist dieser speziell gelabelte stick vorhanden wird er gemountet und das dort hinterlegte
keyfile verwendet um dann die verschluesselte part zu mounten.
ist das geschehen kann der usb stick wieder rausgenommen werden.

holger
 
Ich hab es selbst noch nicht gemacht daher kommt das nun mal nur so aus dem leeren Kopf... ;)
Ich meine ein häufig verwendeter Ansatz war den Kernel zusammen mit dem Key auf einen bootfähigen Stick zu packen und von diesem zu booten. Als Systempartitionen werden jedoch die von der Festplatte eingebunden. Idealerweise sollten Kernel und Module identisch auf Stick und Festplatte vorliegen.

Du bootest dann von USB-Stick deinen Kernel in den RAM. Dein Keyfile wird angefragt und der Rechner mountet deine Festplatte ein. Damit sollte der "Käse gegessen" sein.
Aber wie gesagt, selbst hab ich es noch nicht gemacht, aber hier im Wiki sind meine ich auch Anleitungen hierzu.
 
Rakor schrieb:
Du bootest dann von USB-Stick deinen Kernel in den RAM. Dein Keyfile wird angefragt und der Rechner mountet deine Festplatte ein. Damit sollte der "Käse gegessen" sein.
Zum Vergrößern anklicken....

Ich hab das eine Weile so gemacht, war mir dann aber doch zu blöd mit dem USB-Stick. Daher bin ich dazu übergegangen dem keyfile ein Passwort mitzugeben. Das wird dann im Bootprozess an der Stelle abgefragt, an der die Partition gemounted werden soll. Funktioniert natürlich nur mit sowas wie /usr/home/myhome und nicht mit /root. Ist etwas lästig insofern, als ich während des Bootens schon ein Passwort benötige und mich dann anschließend nochmal ganz normal einloggen muss. Dafür habe ich halt den Vorteil, dass mein Heimatverzeichnis verschlüsselt ist. Für mich ein ok-Kompromiss.
 
Die Verschlüsselung der root Partition mit einer Keyfile (z.B. auf einem USB-Stick) ohne Passwort macht aus meinen Augen keinen Sinn, da wenn man z.B. den Laptop mit dieser Art verschlüsselt, um im Falle eines Diebstahles seine Daten zu schützen, ist im Regelfall auch der USB-Stick mit weg, der im Laptop steckt oder daneben liegt.

Daher lege ich hier den Guide von FreeBSDonline und die Manpage von Geli nahe, mit der man alles erreichen kann, was man sich an Verschlüsselung wünscht.

http://www.freebsdonline.com/content/view/575/531/
http://www.freebsd.org/cgi/man.cgi?query=geli&sektion=8

Meine Aufteilung ist wie folgt:
Verschlüsselte root-Partition mit Passwortabfrage beim booten.
Verschlüsselte Home-Partition mit Keyfile ohne Passwortabfrage

Eine verschlüsselte root Partiton ohne Keyfile, nur mit Passwortabfrage, lässt sich per
geli init -b ........
einrichten

Grüße,
René
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben