¿Existe un método preferido para configurar el cifrado de disco completo en OpenBSD, similar a dm-crypt
Linux?
Estoy buscando el cifrado de disco completo, ya que si alguien robara mi computadora portátil, potencialmente podría acceder a los datos almacenados en ella. Otra razón es que no siempre estoy al lado de mi computadora portátil, por lo que alguien podría comprometer la integridad de mi netbook. Estos son los dos problemas principales que me hacen creer que el cifrado de disco completo es importante para mí.
security
openbsd
encryption
LanceBaynes
fuente
fuente
Respuestas:
OpenBSD admite el cifrado de disco completo solo desde OpenBSD 5.3 . Las versiones anteriores requieren una partición de arranque de texto sin formato. No sé cuándo se modificó el instalador para admitir la instalación directa en una partición cifrada (con el gestor de arranque aún sin cifrar, por supuesto, porque algo tiene que descifrar el siguiente bit).
De todos modos, es poco útil encriptar la partición del sistema¹. Por lo tanto, sugiero instalar el sistema normalmente, luego crear una imagen de sistema de archivos encriptada y colocar allí sus datos confidenciales (
/home
partes de/var
, quizás algunos archivos/etc
).Si de todos modos desea cifrar la partición del sistema (porque tiene un caso de uso especial, como un software confidencial) y no instaló un sistema cifrado originalmente, así es como puede hacerlo.
Inicie en su instalación de OpenBSD y cree un archivo que contendrá la imagen del sistema de archivos cifrados. Asegúrese de elegir un tamaño razonable, ya que será difícil cambiarlo más tarde (puede crear una imagen adicional, pero deberá ingresar la frase de contraseña por separado para cada imagen). La
vnconfig
página del manual tiene ejemplos (aunque faltan algunos pasos). En una palabra:Agregue las entradas correspondientes a
/etc/fstab
:Agregue comandos para montar el volumen cifrado y el sistema de archivos en él en el momento del arranque para
/etc/rc.local
:Compruebe que todo funciona correctamente ejecutando estos comandos (
mount /dev/svnd0c && mount /home
).Tenga en cuenta que
rc.local
se ejecuta tarde en el proceso de arranque, por lo que no puede colocar los archivos utilizados por los servicios estándar como ssh o sendmail en el volumen cifrado. Si desea hacer eso, coloque estos comandos en su/etc/rc
lugar, justo despuésmount -a
. Luego mueva las partes de su sistema de archivos que considere sensibles y muévalas al/home
volumen.También debe cifrar su intercambio, pero OpenBSD lo hace automáticamente hoy en día.
La forma más nueva de obtener un sistema de archivos cifrado es a través del controlador de incursión de software
softraid
. Consulte las páginas del manualsoftraid
ybioctl
o el NAS COMO cifrado OpenBSD de Lykle de Vries para obtener más información. Las versiones recientes de OpenBSD admiten el arranque desde un volumen softraid y la instalación en un volumen softraid cayendo a un shell durante la instalación para crear el volumen.¹ Por lo que puedo decir, el cifrado de volumen de OpenBSD está protegido por confidencialidad (con Blowfish), no por integridad . Proteger la integridad del sistema operativo es importante, pero no hay necesidad de confidencialidad. También hay formas de proteger la integridad del sistema operativo, pero están más allá del alcance de esta respuesta.
fuente
Softraid con la disciplina CRYPTO fue diseñado por los diseñadores de OBSD para admitir el cifrado de disco completo. También había otro método con SVND que ahora está en desuso.
fuente
http://geekyschmidt.com/2011/01/19/configuring-openbsd-softraid-fo-encryption es básicamente un procedimiento gráfico de cifrado de disco completo softraid. Por supuesto, nunca siga ciegamente las guías y asegúrese de que todas las configuraciones de bioctl sean correctas.
fuente