Wie sollte man die Festplattenverschlüsselung unter OpenBSD einrichten?

19

Gibt es eine bevorzugte Methode zum Einrichten der Festplattenverschlüsselung unter OpenBSD, ähnlich wie dm-cryptunter Linux?

Ich suche nach einer Festplattenverschlüsselung, als könnte jemand mein Notebook stehlen und auf die darauf gespeicherten Daten zugreifen. Ein weiterer Grund ist, dass ich nicht immer in der Nähe meines Notebooks bin, sodass jemand die Integrität meines Netbooks gefährden kann. Dies sind die beiden Hauptprobleme, die mich glauben machen, dass die Festplattenverschlüsselung für mich wichtig ist.

LanceBaynes
quelle
Sie hatten zwei völlig unabhängige Fragen. Da ich einen beantwortet habe und noch keiner den anderen beantwortet hat, habe ich den Teil über Chrome aus Ihrer Frage entfernt. Sie können gerne eine neue Frage zum Ausführen von Chrome unter OpenBSD stellen.
Gilles 'SO - hör auf böse zu sein'
Ab OpenBSD 5.3 ist die vollständige Disk-Verschlüsselung verfügbar! > softraid (4) RAID1- und Crypto-Volumes können jetzt auf i386 und> amd64 (vollständige Festplattenverschlüsselung) gestartet werden. Neben dem Bootloader ist also ALLES verschlüsselt. :)
evachristine

Antworten:

15

OpenBSD unterstützt erst seit OpenBSD 5.3 die Festplattenverschlüsselung . Frühere Versionen erfordern eine Klartext-Bootpartition. Ich weiß nicht, wann das Installationsprogramm geändert wurde, um die direkte Installation auf einer verschlüsselten Partition zu unterstützen (wobei der Bootloader natürlich immer noch unverschlüsselt ist, da das nächste Bit entschlüsselt werden muss).

Das Verschlüsseln der Systempartition hat ohnehin wenig Sinn¹. Ich empfehle daher, das System normal zu installieren, dann ein verschlüsseltes Dateisystem-Image zu erstellen und Ihre vertraulichen Daten ( /homeTeile /var, vielleicht einige Dateien /etc) dort abzulegen.

Wenn Sie die Systempartition trotzdem verschlüsseln möchten (weil Sie einen speziellen Anwendungsfall haben, z. B. eine vertrauliche Software) und ursprünglich kein verschlüsseltes System installiert haben, gehen Sie wie folgt vor.

Booten Sie Ihre OpenBSD-Installation und erstellen Sie eine Datei, die das verschlüsselte Dateisystem-Image enthält. Stellen Sie sicher, dass Sie eine angemessene Größe wählen, da sich diese später nur schwer ändern lässt (Sie können ein zusätzliches Bild erstellen, müssen jedoch die Passphrase für jedes Bild separat eingeben). Die vnconfigManpage enthält Beispiele (obwohl einige Schritte fehlen). In einer Nussschale:

dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img  # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0  # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c

Fügen Sie entsprechende Einträge hinzu zu /etc/fstab:

 /ENCRYPTED.img  /dev/svnd0c  vnd rw,noauto,-k
 /dev/svnd0a     /home        ffs rw,noauto

Fügen Sie Befehle hinzu, um das verschlüsselte Volume und das darin enthaltene Dateisystem beim Start bereitzustellen /etc/rc.local:

echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home

Überprüfen Sie, ob alles korrekt funktioniert, indem Sie diese Befehle ausführen ( mount /dev/svnd0c && mount /home).

Beachten Sie, dass rc.localder Startvorgang zu spät ausgeführt wird, sodass Sie keine Dateien, die von den Standarddiensten wie ssh oder sendmail verwendet werden, auf dem verschlüsselten Volume ablegen können. Wenn Sie das tun möchten, geben Sie diese Befehle /etc/rcstattdessen direkt danach ein mount -a. Verschieben Sie dann die Teile Ihres Dateisystems, die Sie für vertraulich halten, und verschieben Sie sie auf das /homeVolume.

mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var

Sie sollten Ihren Swap auch verschlüsseln, aber OpenBSD macht das heutzutage automatisch.

Der neuere Weg, ein verschlüsseltes Dateisystem zu erhalten, führt über den Software-RAID-Treiber softraid . Siehe die softraidund bioctlman - Seiten oder Lykle de Vries OpenBSD verschlüsselte NAS HOWTO für weitere Informationen. Neuere Versionen von OpenBSD unterstützen das Booten von einem Softraid-Volume und das Installieren auf einem Softraid-Volume, indem Sie während der Installation auf eine Shell ziehen, um das Volume zu erstellen.

¹ Soweit ich das beurteilen kann, ist OpenBSDs Volumenverschlüsselung aus Gründen der Vertraulichkeit (mit Blowfish) und nicht der Integrität geschützt . Der Schutz der Integrität des Betriebssystems ist wichtig, Vertraulichkeit ist jedoch nicht erforderlich. Es gibt auch Möglichkeiten, die Integrität des Betriebssystems zu schützen, diese gehen jedoch über den Rahmen dieser Antwort hinaus.

Gilles 'SO - hör auf böse zu sein'
quelle
Können Sie die Aussage klarstellen, dass der Schutz der Integrität des Betriebssystems wichtig ist, aber keine Vertraulichkeit erforderlich ist? Meinst du damit, dass OpenBSDs Volumenverschlüsselung nur ein Marketing-Trick oder gar nichts Wichtiges ist?
Weitere Informationen
3
@hhh: OpenBSDs Verschlüsselung bietet Vertraulichkeit. Das ist wichtig für Ihre eigenen Daten, nicht wichtig für die Betriebssystemdateien, die jeder herunterladen kann. (Das heißt, die Volumenverschlüsselung ist wichtig, aber nicht die ganze Geschichte.) Integrität ist der Schutz vor unbemerkter Änderung Ihrer Daten oder, noch schlimmer, vor der Installation von Malware, wenn diese physischen Zugriff auf Ihre Festplatte hat - ein böser Dienstmädchenangriff . Böse Dienstmädchen-Angriffe sind schwer zu verteidigen (ich weiß nicht, was OpenBSD zu bieten hat), aber auch schwer durchzuführen.
Gilles 'SO- hör auf böse zu sein'
Diese Antwort ist nicht mehr korrekt. Unter OpenBSD 5.7 und früheren Versionen ist es bereits möglich, das Betriebssystem von Anfang an in einer verschlüsselten Partition zu installieren
Freedo
@Freedom Ich habe meine Antwort aktualisiert, um diese Möglichkeit zu erwähnen. Anscheinend ist es seit 5.3 möglich, was zu dem Zeitpunkt, als ich diese Antwort schrieb, noch nicht existierte.
Gilles 'SO - hör auf, böse
3

Softraid mit der CRYPTO-Disziplin war von den OBSD-Designern dazu gedacht, die Verschlüsselung auf der gesamten Festplatte zu unterstützen. Es gab auch eine andere Methode mit SVND, die mittlerweile veraltet ist.

user26533
quelle