Как нужно настроить полное шифрование диска на OpenBSD?

OpenBSD поддерживает полное шифрование диска только начиная с OpenBSD 5.3. Более ранние версии требуют раздела начальной загрузки открытого текста. Я не знаю, когда установщик был изменен для поддержки прямой установки на зашифрованном разделе (с загрузчиком, все еще незашифрованным, конечно, потому что что-то должно дешифровать следующий бит).

Существует мало использования в шифровании системного раздела так или иначе ¹. Таким образом, я предлагаю установить систему обычно, затем создавая зашифрованное изображение файловой системы и помещая Ваши уязвимые данные (/home, части /var, возможно, несколько файлов в /etc) там.

Если Вы хотите зашифровать системный раздел так или иначе (потому что у Вас есть некоторый специальный вариант использования, как некоторое конфиденциальное программное обеспечение), и Вы не устанавливали зашифрованную систему первоначально, вот то, как можно сделать это.

Загрузитесь в свою установку OpenBSD и создайте файл, который будет содержать зашифрованное изображение файловой системы. Удостоверьтесь, что выбрали разумный размер, так как будет трудно измениться позже (можно создать дополнительное изображение, но необходимо будет ввести пароль отдельно для каждого изображения). vnconfig страница справочника имеет примеры (хотя они пропускают несколько шагов). Вкратце:

dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img  # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0  # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c

Добавьте соответствующие записи в /etc/fstab:

 /ENCRYPTED.img  /dev/svnd0c  vnd rw,noauto,-k
 /dev/svnd0a     /home        ffs rw,noauto

Добавьте команды для монтирования зашифрованного тома и файловой системы в нем во время начальной загрузки к /etc/rc.local:

echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home

Проверьте, что все работает правильно путем выполнения этих команд (mount /dev/svnd0c && mount /home).

Отметьте это rc.local выполняется поздно в процессе начальной загрузки, таким образом, Вы не можете поместить файлы, используемые стандартными сервисами, такими как ssh или sendmail на зашифрованном томе. Если Вы хотите сделать это, вставьте эти команды /etc/rc вместо этого, сразу после mount -a. Затем переместите части своей файловой системы, которую Вы считаете чувствительными и перемещаете их в /home объем.

mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var

Необходимо зашифровать подкачку также, но OpenBSD делает это автоматически в наше время.

Более новым способом получить зашифрованную файловую систему является через программное обеспечение совершают рейд на драйвер softraid. Посмотрите softraid и bioctl страницы справочника или Lykle de Vries's OpenBSD зашифровали ПРАКТИЧЕСКОЕ РУКОВОДСТВО NAS для получения дополнительной информации. Последние версии поддержки OpenBSD, загружающейся от softraid объема и устанавливающей на softraid объеме путем припадания до оболочки во время установки для создания объема.

¹ _{Насколько я могу сказать, шифрование объема OpenBSD защищено для конфиденциальности (с Шифром), не для целостности. Защита целостности ОС важна, но нет никакой потребности в конфиденциальности. Существуют способы защитить целостность ОС также, но они выходят за рамки этого ответа.}