Index: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml =================================================================== --- head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml +++ head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/disks/chapter.xml,v 1.187 2012/04/26 19:32:48 bcr Exp $ - basiert auf: r44648 + basiert auf: r44686 --> Speichermedien @@ -877,8 +877,8 @@ Es gibt einige Optionen, um die Beschränkungen dieses Standards zu überwinden. Die unter &unix; Systemen üblichen Rock-Ridge-Erweiterungen werden durch - aktiviert und aktiviert die von Microsoft - Systemen benutzten Joliet-Erweiterungen. + aktiviert und aktiviert die von + µsoft; Systemen benutzten Joliet-Erweiterungen. Für CDs, die nur auf &os;-Systemen verwendet werden sollen, kann genutzt werden, um alle @@ -2610,17 +2610,31 @@ schützen, die über erhebliche Mittel verfügen. Dieser Schutz ist unabhängig von der Art und Weise, durch die ein Angreifer Zugang zu einer Festplatte oder zu einem - Rechner erlangt hat. Im Gegensatz zu schwerfälligen - Systemen, die einzelne Dateien verschlüsseln, - verschlüsseln gbde und - geli transparent ganze Dateisysteme. Auf der - Festplatte werden dabei keine Daten im Klartext gespeichert. + Rechner erlangt hat. Im Gegensatz zu anderen + Verschlüsselungsmethoden, bei denen einzelne Dateien + verschlüsselt werden, verschlüsseln + gbde und geli + transparent ganze Dateisysteme. Auf der Festplatte werden dabei + keine Daten im Klartext gespeichert. Plattenverschlüsselung mit <application>gbde</application> - &man.gbde.8; benutzt 128-Bit AES im + Das Ziel von &man.gbde.4; ist es, einen Angreifer vor eine + große Herausforderung zu stellen, um an die Daten einer + Festplatte zu gelangen. Falls jedoch der Rechner + kompromittiert wurde, während er im Betrieb war und das + Speichergerät aktiv verbunden war, oder wenn der Angreifer + eine gültige Passphrase kennt, bietet dieses System keinen + Schutz für die Daten der Festplatte. Daher ist es wichtig, + für die physische Sicherheit zu sorgen, während das System im + Betrieb ist. Außerdem muss die Passphrase für den + Verschlüsselungsmechanismus geschützt werden. + + &man.gbde.4; besitzt einige Funktionen um die Daten, + die in einem Sektor gespeichert sind, zu schützen. Es benutzt + 128-Bit AES im CBC-Modus, um die Daten eines Sektors zu verschlüsseln. Jeder Sektor einer Festplatte wird mit einem anderen AES-Schlüssel verschlüsselt. @@ -2628,18 +2642,6 @@ Schlüssel für einen Sektor aus der gegebenen Passphrase ermittelt werden, finden Sie in &man.gbde.4;. - - &man.sysinstall.8; kann nicht mit verschlüsselten - gbde-Geräten umgehen. Vor - dem Start von &man.sysinstall.8; müssen alle - *.bde-Geräte deaktiviert werden, da - &man.sysinstall.8; sonst bei der Suche nach abstürzt. Das - im Beispiel verwendete Gerät wird mit dem folgenden Befehl - deaktiviert: - - &prompt.root; gbde detach /dev/ad4s1c - - &os; enthält ein Kernelmodul für gbde, das wie folgt geladen werden kann: @@ -2654,14 +2656,13 @@ Das folgende Beispiel beschreibt, wie eine Partition auf einer neuen Festplatte verschlüsselt wird. Die - Partition wird in /private eingehangen. - Mit gbde könnten auch - /home und /var/mail - verschlüsselt werden. Die dazu nötigen Schritte - können allerdings in dieser Einführung - nicht behandelt werden. + Partition wird in /private + eingehangen. + Eine Partition mit <application>gbde</application> + verschlüsseln + Installieren der Festplatte @@ -2696,17 +2697,14 @@ Vorbereiten der gbde-Partition Eine von gbde benutzte - Partition muss einmalig vorbereitet werden: + Partition muss einmalig initialisiert werden, bevor + sie benutzt werden kann. Das Programm öffnet eine Vorlage + im Standard-Editor, um verschiedene Optionen zu + konfigurieren. Setzen Sie sector_size + auf 2048, wenn Sie + UFS benutzen: - &prompt.root; gbde init /dev/ad4s1c -i -L /etc/gbde/ad4s1c.lock - - &man.gbde.8; öffnet eine Vorlage im Standard-Editor, - um verschiedene Optionen einstellen zu können. - Setzen Sie sector_size auf - 2048, wenn Sie - UFS1 oder UFS2 benutzen. - - # $FreeBSD: src/sbin/gbde/template.txt,v 1.1.36.1 2009/08/03 08:13:06 kensmith Exp $ + &prompt.root; gbde init /dev/ad4s1c -i -L /etc/gbde/ad4s1c.lock# $FreeBSD: src/sbin/gbde/template.txt,v 1.1.36.1 2009/08/03 08:13:06 kensmith Exp $ # # Sector size is the smallest unit of data which can be read or written. # Making it too small decreases performance and decreases available space. @@ -2714,34 +2712,33 @@ # minimum and always safe. For UFS, use the fragment size # sector_size = 2048 -[...] +[...] - &man.gbde.8; fragt zweimal die Passphrase zum Schutz - der Daten ab. Die Passphrase muss beide Mal gleich + Sobald die Änderungen gespeichert werden, wird der + Benutzer zweimal aufgefordert, die zum Schutz der Daten + verwendete Passphrase einzugeben. Die Passphrase muss beide Mal gleich eingegeben werden. Die Sicherheit der Daten hängt allein von der Qualität der gewählten Passphrase ab. Die Auswahl einer sicheren und leicht zu merkenden Passphrase wird auf - der Webseite Diceware - Passphrase beschrieben. - - Mit gbde init wurde im Beispiel - auch die Lock-Datei /etc/gbde/ad4s1c.lock - angelegt. gbde-Lockdateien + der Webseite + http://world.std.com/~reinhold/diceware.html + beschrieben. + + Bei der Initialisierung wird eine Lock-Datei für die + gbde-Partition erstellt. In + diesem Beispiel + /etc/gbde/ad4s1c.lock. Lock-Dateien müssen die Dateiendung .lock aufweisen, damit sie von /etc/rc.d/gbde, dem Startskript von gbde, erkannt werden. - Sichern Sie die Lock-Dateien von - gbde immer zusammen mit den - verschlüsselten Dateisystemen. Ein entschlossener - Angreifer kann die Daten vielleicht auch ohne die - Lock-Datei entschlüsseln. Ohne die Lock-Datei - können Sie allerdings nicht auf die - verschlüsselten Daten zugreifen. Dies ist nur noch - mit erheblichem manuellen Aufwand möglich, der nicht - &man.gbde.8; wird. + Lock-Dateien müssen immer zusammen mit den + verschlüsselten Dateisystemen gesichert werden. Ohne + die Lock-Datei können Sie allerdings nicht auf die + verschlüsselten Daten zugreifen. @@ -2768,42 +2765,34 @@ anlegen Nachdem die verschlüsselte Partition im Kernel - eingebunden ist, kann mit &man.newfs.8; ein Dateisystem - erstellt werden. Dieses Beispiel erstellt ein - UFS2-Dateisystem mit aktivierten Soft Updates. + eingebunden ist, kann ein Dateisystem erstellt werden. + Dieses Beispiel erstellt ein + UFS-Dateisystem mit aktivierten Soft + Updates. Achten Sie darauf, die Partition mit der + Erweiterung + *.bde + zu benutzen: &prompt.root; newfs -U -O2 /dev/ad4s1c.bde - - - &man.newfs.8; muss auf einer eingebundenen - gbde-Partition ausgeführt - werden, welche durch das Suffix - *.bde - identifiziert wird. - Einhängen der verschlüsselten Partition Legen Sie einen Mountpunkt für das - verschlüsselte Dateisystem an: - - &prompt.root; mkdir /private + verschlüsselte Dateisystem an. Hängen Sie anschließend + das Dateisystem ein: - Hängen Sie das verschlüsselte Dateisystem - ein: - - &prompt.root; mount /dev/ad4s1c.bde /private + &prompt.root; mkdir /private +&prompt.root; mount /dev/ad4s1c.bde /private Überprüfen des verschlüsselten Dateisystems - Das verschlüsselte Dateisystem sollte jetzt - von &man.df.1; erkannt werden und benutzt werden - können. + Das verschlüsselte Dateisystem sollte jetzt erkannt + und benutzt werden können: &prompt.user; df -H Filesystem Size Used Avail Capacity Mounted on @@ -2816,75 +2805,40 @@ - - Einhängen eines existierenden verschlüsselten - Dateisystems - Nach jedem Neustart müssen verschlüsselte Dateisysteme dem Kernel wieder bekannt gemacht werden, auf Fehler überprüft werden und eingehangen - werden. Die dazu nötigen Befehle müssen als - root durchgeführt werden. - - - - gbde-Partition im Kernel bekannt geben - - &prompt.root; gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c.lock - - Dieses Kommando fragt nach der Passphrase, die - während der Initialisierung der verschlüsselten - gbde-Partition festgelegt - wurde. - + werden. Für die dazu nötigen Schritte fügen Sie folgende + Zeilen in /etc/rc.conf hinzu: - - Prüfen des Dateisystems - - Das verschlüsselte Dateisystem kann noch nicht - automatisch über /etc/fstab - eingehangen werden. Daher muss es vor dem Einhängen - mit &man.fsck.8; geprüft werden: - - &prompt.root; fsck -p -t ffs /dev/ad4s1c.bde - - - - Einhängen des verschlüsselten - Dateisystems + gbde_autoattach_all="YES" +gbde_devices="ad4s1c" +gbde_lockdir="/etc/gbde" - &prompt.root; mount /dev/ad4s1c.bde /private + Durch diese Argumente muss beim Systemstart auf der + Konsole die Passphrase eingegeben werden. Erst nach Eingabe + der korrekten Passphrase wird die verschlüsselte Partition + automatisch in den Verzeichnisbaum eingehängt. Weitere + Bootoptionen von gbde finden Sie + in &man.rc.conf.5;. - Das verschlüsselte Dateisystem steht danach - zur Verfügung. - - - - Mit einem Skript können verschlüsselte - Dateisysteme automatisch bekannt gegeben, geprüft - und eingehangen werden. Wir raten Ihnen allerdings - aus Sicherheitsgründen davon ab. Starten Sie das - Skript manuell an der Konsole oder in einer - &man.ssh.1;-Sitzung. - - Alternativ existiert ein - rc.d-Skript, an das über - Einträge in &man.rc.conf.5; Argumente übergeben werden - können: + - gbde_autoattach_all="YES" -gbde_devices="ad4s1c" -gbde_lockdir="/etc/gbde" + + sysinstall ist nicht + kompatibel mit + gbde-verschlüsselten Geräten. + Bevor sysinstall gestartet + wird, müssen alle *.bde Geräte vom + Kernel getrennt werden, da sonst der Kernel bei der + ersten Suche nach Geräten abstürzt. Um das verschlüsselte + Gerät aus dem Beispiel zu trennen, benutzen Sie das + folgende Kommando: - Durch diese Argumente muss beim Systemstart die - gbde-Passphrase eingegeben werden. - Erst nach Eingabe der korrekten Passphrase wird die - gbde-verschlüsselte - Partition automatisch in den Verzeichnisbaum - eingehängt. Dieses Vorgehen ist - nützlich, wenn gbde auf - einem Laptop eingesetzt wird. - + &prompt.root; gbde detach /dev/ad4s1c +