D6259.id16018.diff
No OneTemporary
Actions

Size

12 KB

Referenced Files

None

Subscribers

None

D6259.id16018.diff
View Options

	Index: disks/chapter.xml
	===================================================================
	--- disks/chapter.xml
	+++ disks/chapter.xml
	@@ -5,7 +5,7 @@

	$FreeBSD$
	$FreeBSDde: de-docproj/books/handbook/disks/chapter.xml,v 1.187 2012/04/26 19:32:48 bcr Exp $
	- basiert auf: r44686
	+ basiert auf: r44694
	-->
	<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="disks">
	<info><title>Speichermedien</title>
	@@ -2604,7 +2604,7 @@
	und dort die Daten analysieren.</para>

	<para>Die für &os; verfügbaren kryptografischen Subsysteme,
	- GEOM Based Disk Encryption (<command>gbde</command>)
	+ <acronym>GEOM</acronym> Based Disk Encryption (<command>gbde</command>)
	und <command>geli</command> sind in der Lage, Daten auf
	Dateisystemen auch vor hoch motivierten Angreifern zu
	schützen, die über erhebliche Mittel verfügen.
	@@ -2617,6 +2617,11 @@
	transparent ganze Dateisysteme. Auf der Festplatte werden dabei
	keine Daten im Klartext gespeichert.</para>

	+ <para>Dieses Kapitel zeigt, wie ein verschlüsseltes Dateisystem
	+ unter &os; erstellt wird. Zunächst wird der Ablauf für
	+ <application>gbde</application> beschrieben und anschließend
	+ das gleiche Beispiel für <application>geli</application>.</para>
	+
	<sect2>
	<title>Plattenverschlüsselung mit
	<application>gbde</application></title>
	@@ -2848,16 +2853,13 @@
	</authorgroup>
	</info>

	-
	+ <para>Mit <command>geli</command> steht eine alternative
	+ kryptografische <acronym>GEOM</acronym>-Klasse zur Verfügung.
	+ Dieses Werkzeug unterstützt unterschiedliche Fähigkeiten und
	+ verfolgt einen anderen Ansatz für die Verschlüsselung.
	+ <application>geli</application> bietet die folgenden
	+ Funktionen:</para>

	- <para>Mit <command>geli</command> ist eine alternative
	- kryptografische GEOM-Klasse verfügbar.
	- <command>geli</command> unterscheidet sich von
	- <command>gbde</command> durch unterschiedliche Fähigkeiten und
	- einen unterschiedlichen Ansatz für die Verschlüsselung.</para>
	-
	- <para>Die wichtigsten Merkmale von &man.geli.8; sind:</para>
	-
	<itemizedlist>
	<listitem>
	<para>Die Nutzung des &man.crypto.9;-Frameworks. Wenn das
	@@ -2867,8 +2869,8 @@

	<listitem>
	<para>Die Unterstützung verschiedener kryptografischer
	- Algorithmen, wie beispielsweise AES, Blowfish, und
	- 3DES.</para>
	+ Algorithmen, wie <acronym>AES</acronym>, Blowfish, und
	+ <acronym>3DES</acronym>.</para>
	</listitem>

	<listitem>
	@@ -2879,15 +2881,13 @@
	</listitem>

	<listitem>
	- <para><command>geli</command> erlaubt den Einsatz von zwei
	- voneinander unabhängigen Schlüsseln, etwa einem
	- privaten <quote>Schlüssel</quote> und einem
	- <quote>Unternehmens-Schlüssel</quote>.</para>
	+ <para>Erlaubt den Einsatz von zwei voneinander unabhängigen
	+ Schlüsseln.</para>
	</listitem>

	<listitem>
	- <para><command>geli</command> ist durch einfache
	- Sektor-zu-Sektor-Verschlüsselung sehr schnell.</para>
	+ <para>Es ist durch einfache Sektor-zu-Sektor-Verschlüsselung
	+ sehr schnell.</para>
	</listitem>

	<listitem>
	@@ -2905,71 +2905,62 @@
	</listitem>
	</itemizedlist>

	- <para>Weitere Merkmale von
	- <command>geli</command> finden Sie in &man.geli.8;.</para>
	+ <para>Weitere Funktionen und Anwendungsbeispiele finden Sie in
	+ &man.geli.8;.</para>

	- <para>Dieser Abschnitt beschreibt, wie <command>geli</command>
	- im &os;-Kernel aktiviert wird und wie ein
	- <command>geli</command>-Verschlüsselungs-Provider
	- angelegt wird.</para>
	+ <para>Das folgende Beispiel beschreibt, wie eine
	+ Schlüsseldatei erzeugt wird, die als Teil des Master-Keys für
	+ den Verschlüsselungs-Provider verwendet wird, der unter
	+ <filename>/private</filename> in den Verzeichnisbaum
	+ eingehängt wird. Die Schlüsseldatei liefert zufällige Daten,
	+ die für die Verschlüsselung des Master-Keys benutzt werden.
	+ Zusätzlich wird der Master-Key durch eine Passphrase
	+ geschützt. Die Sektorgröße des Providers beträgt 4 KB.
	+ Das Beispiel beschreibt, wie Sie einen
	+ <command>geli</command>-Provider aktivieren, ein vom ihm
	+ verwaltetes Dateisystem erzeugen, es mounten, mit ihm arbeiten
	+ und wie Sie es schließlich wieder unmounten und den Provider
	+ deaktivieren.</para>

	- <para>Da der Kernel angepasst werden muss, werden
	- <systemitem class="username">root</systemitem>-Privilegien
	- benötigt.</para>
	+ <procedure>
	+ <title>Eine Partition mit <command>geli</command>
	+ verschlüsseln</title>

	- <procedure>
	<step>
	- <title>Aufnahme der <command>geli</command>-Unterstützung
	- in Ihre Kernelkonfigurationsdatei</title>
	+ <title>Laden der
	+ <command>geli</command>-Unterstützung</title>

	+ <para>Die Unterstützung für <command>geli</command> ist
	+ bereits im <filename>GENERIC</filename> enthalten. Damit
	+ das Modul automatisch beim Booten geladen wird, fügen Sie
	+ folgende Zeile in <filename>/boot/loader.conf</filename>
	+ ein:</para>
	+
	+ <programlisting>geom_eli_load="YES"</programlisting>
	+
	+ <para>Um das Modul direkt zu laden:</para>
	+
	+ <screen>&prompt.root; <userinput>kldload geom_eli</userinput></screen>
	+
	<para>Stellen Sie bei einer angepassten
	- Kernelkonfigurationsdatei sicher, dass diese Zeile
	- enthalten ist:</para>
	+ Kernelkonfigurationsdatei sicher, dass diese Zeilen
	+ enthalten sind:</para>

	<programlisting>options GEOM_ELI
	device crypto</programlisting>
	-
	- <para>Alternativ kann auch das
	- <command>geli</command>-Kernelmodul beim Systemstart
	- geladen werden, indem folgende Zeile in
	- <filename>/boot/loader.conf</filename> eingefügt
	- wird:</para>
	-
	- <programlisting>geom_eli_load="YES"</programlisting>
	-
	- <para>Ab sofort wird &man.geli.8; vom Kernel
	- unterstützt.</para>
	</step>

	<step>
	<title>Erzeugen des Master-Keys</title>

	- <para>Das folgende Beispiel beschreibt, wie eine
	- Schlüsseldatei erzeugt wird, die als Teil des
	- Master-Keys für den Verschlüsselungs-Provider
	- verwendet wird, der unter <filename>/private</filename>
	- in den Verzeichnisbaum eingehängt wird. Die
	- Schlüsseldatei liefert zufällige Daten, die für die
	- Verschlüsselung des Master-Keys benutzt werden.
	- Zusätzlich wird der Master-Key durch eine Passphrase
	- geschützt. Die Sektorgröße des Providers beträgt
	- 4 KB. Das Beispiel beschreibt, wie Sie einen
	- <command>geli</command>-Provider aktivieren, ein vom ihm
	- verwaltetes Dateisystem erzeugen, es mounten, mit ihm
	- arbeiten und wie Sie es schließlich wieder unmounten
	- und den Provider deaktivieren.</para>
	+ <para>Die folgenden Befehle erzeugen einen Master-Key
	+ (<filename>/root/da2.key</filename>), der durch eine
	+ Passphrase geschützt ist. Die Datenquelle für die
	+ Schlüsseldatei ist <filename>/dev/random</filename>. Um
	+ eine bessere Leistung zu erzielen beträgt die Sektorgröße
	+ des Providers (<filename>/dev/da2.eli</filename>)
	+ 4 KB:</para>

	- <para>Um eine bessere Leistung zu erzielen, wird eine
	- größere Sektorgröße, beispielsweise 4 KB,
	- empfohlen.</para>
	-
	- <para>Der Master-Key wird durch eine Passphrase sowie, den
	- Daten der Schlüsseldatei aus
	- <filename>/dev/random</filename> geschützt.
	- Die Sektorgröße des Providers
	- <filename>/dev/<replaceable>da2</replaceable>.eli</filename>
	- beträgt 4 KB.</para>
	-
	<screen>&prompt.root; <userinput>dd if=/dev/random of=/root/da2.key bs=64 count=1</userinput>
	&prompt.root; <userinput>geli init -s 4096 -K /root/da2.key /dev/da2</userinput>
	Enter new passphrase:
	@@ -2982,9 +2973,8 @@

	<para>Wird für die Schlüsseldatei
	<quote>-</quote> angegeben, wird dafür die
	- Standardeingabe verwendet. Das folgende Beispiel zeigt,
	- dass auch mehr als eine Schlüsseldatei verwendet werden
	- kann:</para>
	+ Standardeingabe verwendet. Das folgende Kommando erzeugt
	+ beispielsweise drei Schlüsseldateien:</para>

	<screen>&prompt.root; <userinput>cat keyfile1 keyfile2 keyfile3 \| geli init -K - /dev/da2</userinput></screen>
	</step>
	@@ -2993,12 +2983,15 @@
	<title>Aktivieren des Providers mit dem erzeugten
	Schlüssel</title>

	+ <para>Um den Provider zu aktivieren, geben Sie die
	+ Schlüsseldatei, den Namen des Laufwerks und die Passphrase
	+ an:</para>
	+
	<screen>&prompt.root; <userinput>geli attach -k /root/da2.key /dev/da2</userinput>
	Enter passphrase:</screen>

	- <para>Dadurch wird die (Normaltext-)Gerätedatei
	- <filename>/dev/da2.eli</filename>
	- angelegt.</para>
	+ <para>Dadurch wird ein neues Gerät mit der Erweiterung
	+ <filename>.eli</filename> angelegt:</para>

	<screen>&prompt.root; <userinput>ls /dev/da2*</userinput>
	/dev/da2 /dev/da2.eli</screen>
	@@ -3007,12 +3000,16 @@
	<step>
	<title>Das neue Dateisystem erzeugen</title>

	+ <para>Als nächstes muss das Gerät mit dem
	+ <acronym>UFS</acronym>-Dateisystem formatiert und an einen
	+ vorhandenen Mountpunkt eingehängt werden:</para>
	+
	<screen>&prompt.root; <userinput>dd if=/dev/random of=/dev/da2.eli bs=1m</userinput>
	&prompt.root; <userinput>newfs /dev/da2.eli</userinput>
	-&prompt.root; <userinput>mount /dev/da2.eli /private</userinput></screen>
	+&prompt.root; <userinput>mount /dev/da2.eli <replaceable>/private</replaceable></userinput></screen>

	- <para>Das verschlüsselte Dateisystem wird nun von
	- &man.df.1; angezeigt und kann ab sofort eingesetzt werden.</para>
	+ <para>Das verschlüsselte Dateisystem sollte jetzt erkannt
	+ und benutzt werden können:</para>

	<screen>&prompt.root; <userinput>df -H</userinput>
	Filesystem Size Used Avail Capacity Mounted on
	@@ -3022,12 +3019,9 @@
	/dev/ad0s1d 989M 1.5M 909M 0% /tmp
	/dev/ad0s1e 3.9G 1.3G 2.3G 35% /var
	/dev/da2.eli 150G 4.1K 138G 0% /private</screen>
	-
	</step>
	+ </procedure>

	- <step>
	- <title>Das Dateisystem unmounten und den Provider deaktivieren</title>
	-
	<para>Wenn Sie nicht mehr mit dem verschlüsselten
	Dateisystem arbeiten und die unter <filename>/private</filename> eingehängte
	Partition daher nicht mehr benötigen, sollten
	@@ -3037,26 +3031,16 @@

	<screen>&prompt.root; <userinput>umount /private</userinput>
	&prompt.root; <userinput>geli detach da2.eli</userinput></screen>
	- </step>
	- </procedure>

	- <para>Weitere Informationen zum Einsatz von
	- <command>geli</command> finden Sie in &man.geli.8;.</para>
	+ <para>&os; verfügt über ein <filename>rc.d</filename>-Skript,
	+ das dass Einhängen von verschlüsselten Geräten beim Booten
	+ deutlich vereinfacht. Für dieses Beispiel, fügen Sie
	+ folgende Zeilen in <filename>/etc/rc.conf</filename>
	+ hinzu:</para>

	- <sect3>
	- <title>Der Einsatz des <filename>geli</filename>-
	- <filename>rc.d</filename>-Skripts</title>
	+ <programlisting>geli_devices="<replaceable>da2</replaceable>"
	+geli_da2_flags="-k /root/<replaceable>da2.key</replaceable>"</programlisting>

	- <para><command>geli</command> verfügt über ein
	- <filename>rc.d</filename>-Skript,
	- das den Einsatz von <command>geli</command>
	- deutlich vereinfacht. Es folgt nun ein Beispiel, in dem
	- <command>geli</command> über die Datei
	- &man.rc.conf.5; konfiguriert wird:</para>
	-
	- <programlisting>geli_devices="da2"
	-geli_da2_flags="-k /root/da2.key"</programlisting>
	-
	<para>Dies konfiguriert <filename>/dev/da2</filename> als
	<command>geli</command>-Provider mit dem Master-Key
	<filename>/root/da2.key</filename>. Das System wird den
	@@ -3073,11 +3057,6 @@
	<xref linkend="mount-unmount"/> wenn Sie wissen möchten,
	wie Sie ein Dateisystem konfigurieren, sodass es beim
	booten automatisch gestartet wird.</para>
	-
	- <para>Weitere Informationen zur Konfiguration der
	- <filename>rc.d</filename>-Skripten
	- finden Sie im Abschnitt <link linkend="configtuning-rcd">rc.d</link> des Handbuchs.</para>
	- </sect3>
	</sect2>
	</sect1>

File Metadata

Mime Type: text/plain
Expires: Tue, Apr 21, 8:08 AM (15 h, 58 m)
Storage Engine: blob
Storage Format: Raw Data
Storage Handle: 31898638
Default Alt Text: D6259.id16018.diff (12 KB)

D6259.id16018.diffNo OneTemporaryActions

D6259.id16018.diffView Options

File Metadata

Event Timeline

D6259.id16018.diff
No OneTemporary
Actions

D6259.id16018.diff
View Options