¿Cómo se debe configurar el cifrado de disco completo en OpenBSD?

19

¿Existe un método preferido para configurar el cifrado de disco completo en OpenBSD, similar a dm-cryptLinux?

Estoy buscando el cifrado de disco completo, ya que si alguien robara mi computadora portátil, potencialmente podría acceder a los datos almacenados en ella. Otra razón es que no siempre estoy al lado de mi computadora portátil, por lo que alguien podría comprometer la integridad de mi netbook. Estos son los dos problemas principales que me hacen creer que el cifrado de disco completo es importante para mí.

LanceBaynes
fuente
Tenías dos preguntas completamente no relacionadas. Como respondí una y nadie respondió la otra, eliminé la parte sobre Chrome de su pregunta. Siéntase libre de publicar una nueva pregunta sobre cómo ejecutar Chrome en OpenBSD.
Gilles 'SO- deja de ser malvado'
¡Desde OpenBSD 5.3 , el cifrado de disco completo está disponible! > softraid (4) RAID1 y los volúmenes de cifrado ahora son arrancables en i386 y> amd64 (cifrado de disco completo). Entonces, además del gestor de arranque, TODO está encriptado. :)
evachristine

Respuestas:

15

OpenBSD admite el cifrado de disco completo solo desde OpenBSD 5.3 . Las versiones anteriores requieren una partición de arranque de texto sin formato. No sé cuándo se modificó el instalador para admitir la instalación directa en una partición cifrada (con el gestor de arranque aún sin cifrar, por supuesto, porque algo tiene que descifrar el siguiente bit).

De todos modos, es poco útil encriptar la partición del sistema¹. Por lo tanto, sugiero instalar el sistema normalmente, luego crear una imagen de sistema de archivos encriptada y colocar allí sus datos confidenciales ( /homepartes de /var, quizás algunos archivos /etc).

Si de todos modos desea cifrar la partición del sistema (porque tiene un caso de uso especial, como un software confidencial) y no instaló un sistema cifrado originalmente, así es como puede hacerlo.

Inicie en su instalación de OpenBSD y cree un archivo que contendrá la imagen del sistema de archivos cifrados. Asegúrese de elegir un tamaño razonable, ya que será difícil cambiarlo más tarde (puede crear una imagen adicional, pero deberá ingresar la frase de contraseña por separado para cada imagen). La vnconfigpágina del manual tiene ejemplos (aunque faltan algunos pasos). En una palabra:

dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img  # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0  # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c

Agregue las entradas correspondientes a /etc/fstab:

 /ENCRYPTED.img  /dev/svnd0c  vnd rw,noauto,-k
 /dev/svnd0a     /home        ffs rw,noauto

Agregue comandos para montar el volumen cifrado y el sistema de archivos en él en el momento del arranque para /etc/rc.local:

echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home

Compruebe que todo funciona correctamente ejecutando estos comandos ( mount /dev/svnd0c && mount /home).

Tenga en cuenta que rc.localse ejecuta tarde en el proceso de arranque, por lo que no puede colocar los archivos utilizados por los servicios estándar como ssh o sendmail en el volumen cifrado. Si desea hacer eso, coloque estos comandos en su /etc/rclugar, justo después mount -a. Luego mueva las partes de su sistema de archivos que considere sensibles y muévalas al /homevolumen.

mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var

También debe cifrar su intercambio, pero OpenBSD lo hace automáticamente hoy en día.

La forma más nueva de obtener un sistema de archivos cifrado es a través del controlador de incursión de software softraid . Consulte las páginas del manual softraidy bioctlo el NAS COMO cifrado OpenBSD de Lykle de Vries para obtener más información. Las versiones recientes de OpenBSD admiten el arranque desde un volumen softraid y la instalación en un volumen softraid cayendo a un shell durante la instalación para crear el volumen.

¹ Por lo que puedo decir, el cifrado de volumen de OpenBSD está protegido por confidencialidad (con Blowfish), no por integridad . Proteger la integridad del sistema operativo es importante, pero no hay necesidad de confidencialidad. También hay formas de proteger la integridad del sistema operativo, pero están más allá del alcance de esta respuesta.

Gilles 'SO- deja de ser malvado'
fuente
¿Puede aclarar la afirmación "Proteger la integridad del sistema operativo es importante, pero no hay necesidad de confidencialidad"? ¿Quiere decir que el cifrado de volumen de OpenBSD es solo un truco de marketing o algo que no es tan importante?
3
@hhh: el cifrado de OpenBSD proporciona confidencialidad. Eso es importante para sus propios datos, no es importante para los archivos del sistema operativo que cualquiera puede descargar. (es decir, la encriptación de volumen es importante pero no la historia completa). La integridad es la defensa contra alguien que cambia sus datos de forma encubierta, o peor aún, que instala malware si tiene acceso físico a su disco, un malvado ataque de mucama . Es difícil defenderse de los malvados ataques de mucama (no sé qué ofrece OpenBSD), pero también es difícil de llevar a cabo.
Gilles 'SO- deja de ser malvado'
Esta respuesta ya no es correcta, desde OpenBSD 5.7 y versiones anteriores ya es posible instalar el sistema operativo en una partición encriptada desde el principio
Freedo
@ Libertad He actualizado mi respuesta para mencionar esta posibilidad. Aparentemente ha sido posible desde 5.3, que aún no existía cuando escribí esta respuesta.
Gilles 'SO- deja de ser malvado'
3

Softraid con la disciplina CRYPTO fue diseñado por los diseñadores de OBSD para admitir el cifrado de disco completo. También había otro método con SVND que ahora está en desuso.

usuario26533
fuente