Index: disks/chapter.xml =================================================================== --- disks/chapter.xml +++ disks/chapter.xml @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/disks/chapter.xml,v 1.187 2012/04/26 19:32:48 bcr Exp $ - basiert auf: r44686 + basiert auf: r44694 --> Speichermedien @@ -2604,7 +2604,7 @@ und dort die Daten analysieren. Die für &os; verfügbaren kryptografischen Subsysteme, - GEOM Based Disk Encryption (gbde) + GEOM Based Disk Encryption (gbde) und geli sind in der Lage, Daten auf Dateisystemen auch vor hoch motivierten Angreifern zu schützen, die über erhebliche Mittel verfügen. @@ -2617,6 +2617,11 @@ transparent ganze Dateisysteme. Auf der Festplatte werden dabei keine Daten im Klartext gespeichert. + Dieses Kapitel zeigt, wie ein verschlüsseltes Dateisystem + unter &os; erstellt wird. Zunächst wird der Ablauf für + gbde beschrieben und anschließend + das gleiche Beispiel für geli. + Plattenverschlüsselung mit <application>gbde</application> @@ -2848,16 +2853,13 @@ - + Mit geli steht eine alternative + kryptografische GEOM-Klasse zur Verfügung. + Dieses Werkzeug unterstützt unterschiedliche Fähigkeiten und + verfolgt einen anderen Ansatz für die Verschlüsselung. + geli bietet die folgenden + Funktionen: - Mit geli ist eine alternative - kryptografische GEOM-Klasse verfügbar. - geli unterscheidet sich von - gbde durch unterschiedliche Fähigkeiten und - einen unterschiedlichen Ansatz für die Verschlüsselung. - - Die wichtigsten Merkmale von &man.geli.8; sind: - Die Nutzung des &man.crypto.9;-Frameworks. Wenn das @@ -2867,8 +2869,8 @@ Die Unterstützung verschiedener kryptografischer - Algorithmen, wie beispielsweise AES, Blowfish, und - 3DES. + Algorithmen, wie AES, Blowfish, und + 3DES. @@ -2879,15 +2881,13 @@ - geli erlaubt den Einsatz von zwei - voneinander unabhängigen Schlüsseln, etwa einem - privaten Schlüssel und einem - Unternehmens-Schlüssel. + Erlaubt den Einsatz von zwei voneinander unabhängigen + Schlüsseln. - geli ist durch einfache - Sektor-zu-Sektor-Verschlüsselung sehr schnell. + Es ist durch einfache Sektor-zu-Sektor-Verschlüsselung + sehr schnell. @@ -2905,71 +2905,62 @@ - Weitere Merkmale von - geli finden Sie in &man.geli.8;. + Weitere Funktionen und Anwendungsbeispiele finden Sie in + &man.geli.8;. - Dieser Abschnitt beschreibt, wie geli - im &os;-Kernel aktiviert wird und wie ein - geli-Verschlüsselungs-Provider - angelegt wird. + Das folgende Beispiel beschreibt, wie eine + Schlüsseldatei erzeugt wird, die als Teil des Master-Keys für + den Verschlüsselungs-Provider verwendet wird, der unter + /private in den Verzeichnisbaum + eingehängt wird. Die Schlüsseldatei liefert zufällige Daten, + die für die Verschlüsselung des Master-Keys benutzt werden. + Zusätzlich wird der Master-Key durch eine Passphrase + geschützt. Die Sektorgröße des Providers beträgt 4 KB. + Das Beispiel beschreibt, wie Sie einen + geli-Provider aktivieren, ein vom ihm + verwaltetes Dateisystem erzeugen, es mounten, mit ihm arbeiten + und wie Sie es schließlich wieder unmounten und den Provider + deaktivieren. - Da der Kernel angepasst werden muss, werden - root-Privilegien - benötigt. + + Eine Partition mit <command>geli</command> + verschlüsseln - - Aufnahme der <command>geli</command>-Unterstützung - in Ihre Kernelkonfigurationsdatei + Laden der + <command>geli</command>-Unterstützung + Die Unterstützung für geli ist + bereits im GENERIC enthalten. Damit + das Modul automatisch beim Booten geladen wird, fügen Sie + folgende Zeile in /boot/loader.conf + ein: + + geom_eli_load="YES" + + Um das Modul direkt zu laden: + + &prompt.root; kldload geom_eli + Stellen Sie bei einer angepassten - Kernelkonfigurationsdatei sicher, dass diese Zeile - enthalten ist: + Kernelkonfigurationsdatei sicher, dass diese Zeilen + enthalten sind: options GEOM_ELI device crypto - - Alternativ kann auch das - geli-Kernelmodul beim Systemstart - geladen werden, indem folgende Zeile in - /boot/loader.conf eingefügt - wird: - - geom_eli_load="YES" - - Ab sofort wird &man.geli.8; vom Kernel - unterstützt. Erzeugen des Master-Keys - Das folgende Beispiel beschreibt, wie eine - Schlüsseldatei erzeugt wird, die als Teil des - Master-Keys für den Verschlüsselungs-Provider - verwendet wird, der unter /private - in den Verzeichnisbaum eingehängt wird. Die - Schlüsseldatei liefert zufällige Daten, die für die - Verschlüsselung des Master-Keys benutzt werden. - Zusätzlich wird der Master-Key durch eine Passphrase - geschützt. Die Sektorgröße des Providers beträgt - 4 KB. Das Beispiel beschreibt, wie Sie einen - geli-Provider aktivieren, ein vom ihm - verwaltetes Dateisystem erzeugen, es mounten, mit ihm - arbeiten und wie Sie es schließlich wieder unmounten - und den Provider deaktivieren. + Die folgenden Befehle erzeugen einen Master-Key + (/root/da2.key), der durch eine + Passphrase geschützt ist. Die Datenquelle für die + Schlüsseldatei ist /dev/random. Um + eine bessere Leistung zu erzielen beträgt die Sektorgröße + des Providers (/dev/da2.eli) + 4 KB: - Um eine bessere Leistung zu erzielen, wird eine - größere Sektorgröße, beispielsweise 4 KB, - empfohlen. - - Der Master-Key wird durch eine Passphrase sowie, den - Daten der Schlüsseldatei aus - /dev/random geschützt. - Die Sektorgröße des Providers - /dev/da2.eli - beträgt 4 KB. - &prompt.root; dd if=/dev/random of=/root/da2.key bs=64 count=1 &prompt.root; geli init -s 4096 -K /root/da2.key /dev/da2 Enter new passphrase: @@ -2982,9 +2973,8 @@ Wird für die Schlüsseldatei - angegeben, wird dafür die - Standardeingabe verwendet. Das folgende Beispiel zeigt, - dass auch mehr als eine Schlüsseldatei verwendet werden - kann: + Standardeingabe verwendet. Das folgende Kommando erzeugt + beispielsweise drei Schlüsseldateien: &prompt.root; cat keyfile1 keyfile2 keyfile3 | geli init -K - /dev/da2 @@ -2993,12 +2983,15 @@ Aktivieren des Providers mit dem erzeugten Schlüssel + Um den Provider zu aktivieren, geben Sie die + Schlüsseldatei, den Namen des Laufwerks und die Passphrase + an: + &prompt.root; geli attach -k /root/da2.key /dev/da2 Enter passphrase: - Dadurch wird die (Normaltext-)Gerätedatei - /dev/da2.eli - angelegt. + Dadurch wird ein neues Gerät mit der Erweiterung + .eli angelegt: &prompt.root; ls /dev/da2* /dev/da2 /dev/da2.eli @@ -3007,12 +3000,16 @@ Das neue Dateisystem erzeugen + Als nächstes muss das Gerät mit dem + UFS-Dateisystem formatiert und an einen + vorhandenen Mountpunkt eingehängt werden: + &prompt.root; dd if=/dev/random of=/dev/da2.eli bs=1m &prompt.root; newfs /dev/da2.eli -&prompt.root; mount /dev/da2.eli /private +&prompt.root; mount /dev/da2.eli /private - Das verschlüsselte Dateisystem wird nun von - &man.df.1; angezeigt und kann ab sofort eingesetzt werden. + Das verschlüsselte Dateisystem sollte jetzt erkannt + und benutzt werden können: &prompt.root; df -H Filesystem Size Used Avail Capacity Mounted on @@ -3022,12 +3019,9 @@ /dev/ad0s1d 989M 1.5M 909M 0% /tmp /dev/ad0s1e 3.9G 1.3G 2.3G 35% /var /dev/da2.eli 150G 4.1K 138G 0% /private - + - - Das Dateisystem unmounten und den Provider deaktivieren - Wenn Sie nicht mehr mit dem verschlüsselten Dateisystem arbeiten und die unter /private eingehängte Partition daher nicht mehr benötigen, sollten @@ -3037,26 +3031,16 @@ &prompt.root; umount /private &prompt.root; geli detach da2.eli - - - Weitere Informationen zum Einsatz von - geli finden Sie in &man.geli.8;. + &os; verfügt über ein rc.d-Skript, + das dass Einhängen von verschlüsselten Geräten beim Booten + deutlich vereinfacht. Für dieses Beispiel, fügen Sie + folgende Zeilen in /etc/rc.conf + hinzu: - - Der Einsatz des <filename>geli</filename>- - <filename>rc.d</filename>-Skripts + geli_devices="da2" +geli_da2_flags="-k /root/da2.key" - geli verfügt über ein - rc.d-Skript, - das den Einsatz von geli - deutlich vereinfacht. Es folgt nun ein Beispiel, in dem - geli über die Datei - &man.rc.conf.5; konfiguriert wird: - - geli_devices="da2" -geli_da2_flags="-k /root/da2.key" - Dies konfiguriert /dev/da2 als geli-Provider mit dem Master-Key /root/da2.key. Das System wird den @@ -3073,11 +3057,6 @@ wenn Sie wissen möchten, wie Sie ein Dateisystem konfigurieren, sodass es beim booten automatisch gestartet wird. - - Weitere Informationen zur Konfiguration der - rc.d-Skripten - finden Sie im Abschnitt rc.d des Handbuchs. -