ZFS, geli, verschlüsselung

R

rakso

Well-Known Member
hallo! ich möchte meine kenntnisse mal auf den aktuellen stand bringen, da hat sich ja einiges getan ;-)

wie installiert man freebsd auf ZFS mit verschlüsselung? habe ein howto aus 2007 ( chruetertee.ch ) gefunden, aber da hat sich in der zeit sicherlich einiges vereinfacht.


gruß
rakso
 
Bei der ZFS installation schon. ZFS on Root ist jetzt ohne Umwege möglich mit GPT Partitionstabelle solange der Pool der / enthält nur aus einem vdev besteht. ZFS lebt oberhalb von GEOM bzw. zu großen Teilen der Funktionalität insb. RAID an GEOM vorbei d.h. Du kannst nicht dein RAID selbst verschlüsselen sondern nur die einzelnen Platten, was einen höhren Overhead zur Folge hat. Die Lösung ist also:
- Platten GPT Paritionieren
- Auf die gewünschten Platten den Bootloader
- Einen kleinen Pool aus einem ZFS Mirror als / oder mindestens /boot anlegen
- Den Rest verschlüsseln
- System dort installieren (kernel und loader sowie die zum Booten nötigen Module müssen in einem unverschlüsselten /boot liegen).
- So glücklich werden wie man es halt mit dem erhöhten Overhead werden kann.

Es gibt/gab unter OpenSolaris den Anfang einer Verschlüsselung als Teil von ZFS. Wie weit das unter OpenSolaris ist weiß ich nicht, aber bei FreeBSD ist davon nocht nichts angekommen. Leider.
 
danke für deine antwort. aber ich muss gestehen und feststellen, dass ich kein wort verstanden habe :) muss mich also erst noch kräftig einlesen. ohje
 
Wenn ich nachher Zeit finde könnte ich mal ne VM aufsetzen mit ZFS auf GELI um die einzelnen Befehle korrekt zu haben, wobei es im Wiki schon einen Artikel in die Richtung gibt: ZFS + GELI + USB boot.
 
Zuletzt bearbeitet:
Wobei ich immer noch nicht verstanden habe, warum man beim Geli-Modell nicht es auch unterstützt, den Kernel einfach auf ner unverschlüsselten Partition liegen zu lassen und den ganzen Rest verschlüsselt. Ich hab meine Daten nicht nur unter /home liegen sondern auch in /usr/local (konfigs) und /var...
Ausserdem ist die Bootpartition viel schneller zu verifizierenn, als wenn man nur /home verschlüsselt. Darüber hinaus könnte man mit dem TPM auch /boot schützen.
 
FreeBSD hat keinen TPM support. Der Kernel muss unverschlüsselt vorliegen, weil der Bootloader keinen GELI verschlüsseltes Device entschlüsseln kann. Dieser muss unverschlüsselt sein, weil das BIOS keinen verschlüsselten Bootloader zur ausführung bringen kann.
 
bis 2.7.4. kann ich das howto nachvollziehen. dann fehlte mir wohl das richtige installationsmedium, ich brenne grad die 8.0R DVD. es war kein /dist/8.0-RELEASE verzeichnis dabei.

das howto von chruetertee.ch ist nichtmehr up2date, weil dort noch nicht auf gpart verwendet wird.

zu 2.5: die erste partition muss nach 34 bytes starten, zwischen den einzelnen partitionen müssen auch immer 34 bytes sein?



warum ist bei ad14 eine andere größe ??
"-s 1953525101 -t freebsd-zfs ad14". bei 10 und 12: 1953522988

dort wird ja alles verschlüsselt und von usb gebootet, ich will aber von platte booten, brauche ich dann also

ad2p1: swap
ad2p2: zfs /boot unverschlüsselt
ad2p3: zfs, z.b. gelabelt als "tank" mit usr, var, tmp, home ...


wär also schon echt super wenn du zeit für ein erweitertes "geli zfs disk boot" howto finden kannst, freuen sich auch noch andere drüber :) danke!!

Crest schrieb:
Wenn ich nachher Zeit finde könnte ich mal ne VM aufsetzen mit ZFS auf GELI um die einzelnen Befehle korrekt zu haben, wobei es im Wiki schon einen Artikel in die Richtung gibt: ZFS + GELI + USB boot.
Zum Vergrößern anklicken....


edit:
jetzt habe ich p1 = swap, p2 = 1GB , p3 = 600 GB mit zpool create -m /tank tank ad2p3.eli und zfs create tank/usr , tank/var usw.

* wie macht man das unverschlüsseltes /boot auf p2 ?
* zum installieren: was hat es mit /fixed auf sich? das howto ist an dieser stelle leider nicht korrekt, dieses verzeichnis wurde so nie angelegt. muss man nicht p3 ( mit den system-verzeichnissen von tank/*) nehmen?
 
Zuletzt bearbeitet:
crest: Das ist mir bekannt, aber:
Mir ist nicht nachvollziehbar, warum man nicht in den Bootloader eingebaut hat, bzw. es nicht vorhat, GELI-Support in den Bootloader mit einzubauen. Weiterhin muss man boot auch nicht verschlüsseln, man speichert den hashwert von /boot in einem PCR des TPM und man ist glücklich, weil integrität von /boot gegeben ist damit...
 
warte noch immer auf ein funktionierendes howto... damit wäre auch vielen nderen geholfen!. danke:)
 
danke.
ich habe damals schon wirklich stundenlang gesucht und nichts passenderes gefunden.
 
Crest, darf ich auf dein angebot von oben zurückkommen ud dich nach einem kompletten aktuellen howto fragen?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben