Comment configurer le chiffrement complet du disque sur OpenBSD?

19

Existe-t-il une méthode préférée pour configurer le chiffrement du disque complet sous OpenBSD, similaire à dm-cryptsous Linux?

Je recherche un chiffrement complet du disque, car si quelqu'un volait mon ordinateur portable, il pourrait potentiellement accéder aux données qui y sont stockées. Une autre raison est que je ne suis pas toujours à côté de mon ordinateur portable, donc quelqu'un pourrait potentiellement compromettre l'intégrité de mon netbook. Ce sont les deux principaux problèmes qui me font croire que le chiffrement complet du disque est important pour moi.

LanceBaynes
la source
Vous aviez deux questions complètement indépendantes. Comme j'ai répondu à l'une et que personne n'a encore répondu à l'autre, j'ai supprimé la partie concernant Chrome de votre question. N'hésitez pas à publier une nouvelle question sur l'exécution de Chrome sur OpenBSD.
Gilles 'SO- arrête d'être méchant'
Depuis OpenBSD 5.3 , le cryptage complet du disque est disponible! > softraid (4) Les volumes RAID1 et crypto sont désormais amorçables sur i386 et> amd64 (chiffrement complet du disque). Ainsi, en plus du chargeur de démarrage, TOUT est incrusté. :)
evachristine

Réponses:

15

OpenBSD prend en charge le chiffrement intégral du disque uniquement depuis OpenBSD 5.3 . Les versions antérieures nécessitent une partition de démarrage en texte clair. Je ne sais pas quand le programme d'installation a été modifié pour prendre en charge l'installation directe sur une partition cryptée (avec le chargeur de démarrage toujours non crypté bien sûr, car quelque chose doit décrypter le bit suivant).

De toute façon, le cryptage de la partition système est peu utile¹. Je suggère donc d'installer le système normalement, puis de créer une image de système de fichiers cryptée et d'y mettre vos données sensibles ( /home, des parties de /var, peut-être quelques fichiers /etc).

Si vous voulez quand même crypter la partition système (car vous avez un cas d'utilisation spécial, comme certains logiciels confidentiels), et que vous n'avez pas installé de système crypté à l'origine, voici comment vous pouvez le faire.

Démarrez dans votre installation OpenBSD et créez un fichier qui contiendra l'image du système de fichiers chiffrée. Assurez-vous de choisir une taille raisonnable car il sera difficile de changer plus tard (vous pouvez créer une image supplémentaire, mais vous devrez saisir la phrase secrète séparément pour chaque image). La vnconfigpage de manuel contient des exemples (bien qu'il leur manque quelques étapes). En un mot:

dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img  # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0  # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c

Ajoutez les entrées correspondantes à /etc/fstab:

 /ENCRYPTED.img  /dev/svnd0c  vnd rw,noauto,-k
 /dev/svnd0a     /home        ffs rw,noauto

Ajoutez des commandes pour monter le volume chiffré et le système de fichiers qu'il contient au démarrage pour /etc/rc.local:

echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home

Vérifiez que tout fonctionne correctement en exécutant ces commandes ( mount /dev/svnd0c && mount /home).

Notez qu'il rc.localest exécuté tard dans le processus de démarrage, vous ne pouvez donc pas placer de fichiers utilisés par les services standard tels que ssh ou sendmail sur le volume chiffré. Si vous voulez le faire, placez ces commandes à la /etc/rcplace, juste après mount -a. Déplacez ensuite les parties de votre système de fichiers que vous considérez comme sensibles et déplacez-les vers le /homevolume.

mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var

Vous devriez également crypter votre swap, mais OpenBSD le fait automatiquement de nos jours.

La nouvelle façon d'obtenir un système de fichiers crypté consiste à utiliser le pilote de raid logiciel softraid . Consultez les pages de manuel softraidet bioctlou le HOWTO NAS chiffré OpenBSD de Lykle de Vries pour plus d'informations. Les versions récentes d'OpenBSD prennent en charge le démarrage à partir d'un volume softraid et l' installation sur un volume softraid en passant à un shell pendant l'installation pour créer le volume.

¹ Autant que je sache, le chiffrement de volume d'OpenBSD est protégé pour la confidentialité (avec Blowfish), pas pour l' intégrité . La protection de l'intégrité du système d'exploitation est importante, mais la confidentialité n'est pas nécessaire. Il existe également des moyens de protéger l'intégrité du système d'exploitation, mais ils dépassent le cadre de cette réponse.

Gilles 'SO- arrête d'être méchant'
la source
Pouvez-vous clarifier la déclaration "La protection de l'intégrité du système d'exploitation est importante, mais il n'y a pas besoin de confidentialité"? Voulez-vous dire que le chiffrement de volume d'OpenBSD n'est qu'un gadget marketing ou une chose pas si importante?
En savoir plus sur l'intégrité: unix.stackexchange.com/questions/9998/…
3
@hhh: le chiffrement d'OpenBSD assure la confidentialité. C'est important pour vos propres données, pas important pour les fichiers OS que n'importe qui peut télécharger. (c.-à-d. que l'augmentation du volume est importante mais pas toute l'histoire.) L'intégrité est une défense contre quelqu'un qui modifie secrètement vos données, ou pire, installe des logiciels malveillants s'ils ont un accès physique à votre disque - une attaque malveillante . Les attaques contre les mauvaises filles sont difficiles à défendre (je ne sais pas ce que OpenBSD a à offrir), mais aussi difficiles à réaliser.
Gilles 'SO- arrête d'être méchant'
Cette réponse n'est plus correcte, sur OpenBSD 5.7 et versions antérieures il est déjà possible d'installer OS dans une partition cryptée depuis le début
Freedo
@Freedom J'ai mis à jour ma réponse pour mentionner cette possibilité. Apparemment, cela a été possible depuis la 5.3, qui n'existait pas encore lorsque j'ai écrit cette réponse.
Gilles 'SO- arrête d'être méchant'
3

Softraid avec la discipline CRYPTO a été conçu par les concepteurs OBSD pour prendre en charge le chiffrement complet du disque. Il y avait aussi une autre méthode avec SVND qui est maintenant obsolète.

user26533
la source