Existe-t-il une méthode préférée pour configurer le chiffrement du disque complet sous OpenBSD, similaire à dm-crypt
sous Linux?
Je recherche un chiffrement complet du disque, car si quelqu'un volait mon ordinateur portable, il pourrait potentiellement accéder aux données qui y sont stockées. Une autre raison est que je ne suis pas toujours à côté de mon ordinateur portable, donc quelqu'un pourrait potentiellement compromettre l'intégrité de mon netbook. Ce sont les deux principaux problèmes qui me font croire que le chiffrement complet du disque est important pour moi.
security
openbsd
encryption
LanceBaynes
la source
la source
Réponses:
OpenBSD prend en charge le chiffrement intégral du disque uniquement depuis OpenBSD 5.3 . Les versions antérieures nécessitent une partition de démarrage en texte clair. Je ne sais pas quand le programme d'installation a été modifié pour prendre en charge l'installation directe sur une partition cryptée (avec le chargeur de démarrage toujours non crypté bien sûr, car quelque chose doit décrypter le bit suivant).
De toute façon, le cryptage de la partition système est peu utile¹. Je suggère donc d'installer le système normalement, puis de créer une image de système de fichiers cryptée et d'y mettre vos données sensibles (
/home
, des parties de/var
, peut-être quelques fichiers/etc
).Si vous voulez quand même crypter la partition système (car vous avez un cas d'utilisation spécial, comme certains logiciels confidentiels), et que vous n'avez pas installé de système crypté à l'origine, voici comment vous pouvez le faire.
Démarrez dans votre installation OpenBSD et créez un fichier qui contiendra l'image du système de fichiers chiffrée. Assurez-vous de choisir une taille raisonnable car il sera difficile de changer plus tard (vous pouvez créer une image supplémentaire, mais vous devrez saisir la phrase secrète séparément pour chaque image). La
vnconfig
page de manuel contient des exemples (bien qu'il leur manque quelques étapes). En un mot:Ajoutez les entrées correspondantes à
/etc/fstab
:Ajoutez des commandes pour monter le volume chiffré et le système de fichiers qu'il contient au démarrage pour
/etc/rc.local
:Vérifiez que tout fonctionne correctement en exécutant ces commandes (
mount /dev/svnd0c && mount /home
).Notez qu'il
rc.local
est exécuté tard dans le processus de démarrage, vous ne pouvez donc pas placer de fichiers utilisés par les services standard tels que ssh ou sendmail sur le volume chiffré. Si vous voulez le faire, placez ces commandes à la/etc/rc
place, juste aprèsmount -a
. Déplacez ensuite les parties de votre système de fichiers que vous considérez comme sensibles et déplacez-les vers le/home
volume.Vous devriez également crypter votre swap, mais OpenBSD le fait automatiquement de nos jours.
La nouvelle façon d'obtenir un système de fichiers crypté consiste à utiliser le pilote de raid logiciel
softraid
. Consultez les pages de manuelsoftraid
etbioctl
ou le HOWTO NAS chiffré OpenBSD de Lykle de Vries pour plus d'informations. Les versions récentes d'OpenBSD prennent en charge le démarrage à partir d'un volume softraid et l' installation sur un volume softraid en passant à un shell pendant l'installation pour créer le volume.¹ Autant que je sache, le chiffrement de volume d'OpenBSD est protégé pour la confidentialité (avec Blowfish), pas pour l' intégrité . La protection de l'intégrité du système d'exploitation est importante, mais la confidentialité n'est pas nécessaire. Il existe également des moyens de protéger l'intégrité du système d'exploitation, mais ils dépassent le cadre de cette réponse.
la source
Softraid avec la discipline CRYPTO a été conçu par les concepteurs OBSD pour prendre en charge le chiffrement complet du disque. Il y avait aussi une autre méthode avec SVND qui est maintenant obsolète.
la source
http://geekyschmidt.com/2011/01/19/configuring-openbsd-softraid-fo-encryption est essentiellement un mode d'emploi graphique du chiffrement complet du disque softraid. Bien sûr, ne suivez jamais aveuglément les guides et assurez-vous que tous les paramètres bioctl sont corrects.
la source