Bagaimana seharusnya seseorang mengatur enkripsi disk penuh pada OpenBSD?

19

Apakah ada metode yang disukai untuk mengatur enkripsi disk penuh di bawah OpenBSD, mirip dengan dm-cryptdi Linux?

Saya sedang mencari enkripsi disk penuh, seolah-olah seseorang mencuri notebook saya, mereka berpotensi mengakses data yang tersimpan di dalamnya. Alasan lain adalah saya tidak selalu berada di samping notebook saya, sehingga seseorang berpotensi membahayakan integritas netbook saya. Ini adalah dua masalah utama yang membuat saya percaya bahwa enkripsi full-disk penting bagi saya.

security openbsd encryption LanceBaynes
sumber
Anda memiliki dua pertanyaan yang sama sekali tidak terkait. Karena saya menjawab satu dan belum ada yang menjawab yang lain, saya menghapus bagian tentang Chrome dari pertanyaan Anda. Jangan ragu untuk mengirim pertanyaan baru tentang menjalankan Chrome di OpenBSD.
Gilles 'SO- stop being evil'
Terima kasih! - unix.stackexchange.com/questions/9723/google-chrome-on-openbsd
LanceBaynes
Dari OpenBSD 5.3 , enkripsi disk lengkap tersedia! > softraid (4) RAID1 dan volume crypto sekarang dapat di-boot di i386 dan> amd64 (enkripsi disk penuh). Jadi selain bootloader, SEMUANYA dienkripsi. :)
evachristine

Jawaban:

15

OpenBSD mendukung enkripsi disk penuh hanya sejak OpenBSD 5.3 . Versi sebelumnya membutuhkan partisi boot cleartext. Saya tidak tahu kapan installer dimodifikasi untuk mendukung instalasi langsung ke partisi terenkripsi (dengan bootloader masih belum terenkripsi tentu saja, karena sesuatu harus mendekripsi bit berikutnya).

Ada sedikit gunanya mengenkripsi partisi sistem¹. Jadi saya sarankan menginstal sistem secara normal, kemudian membuat gambar filesystem terenkripsi dan meletakkan data sensitif Anda ( /home, bagian dari /var, mungkin beberapa file di /etc) di sana.

Jika Anda tetap ingin mengenkripsi partisi sistem (karena Anda memiliki beberapa kasus penggunaan khusus, seperti beberapa perangkat lunak rahasia), dan Anda tidak menginstal sistem terenkripsi pada awalnya, inilah cara Anda dapat melakukannya.

Boot ke instalasi OpenBSD Anda dan buat file yang akan berisi gambar sistem file terenkripsi. Pastikan untuk memilih ukuran yang masuk akal karena akan sulit untuk mengubah nanti (Anda dapat membuat gambar tambahan, tetapi Anda harus memasukkan frasa sandi secara terpisah untuk setiap gambar). The vnconfighalaman manual memiliki contoh (meskipun mereka hilang beberapa langkah). Pendeknya:

dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img  # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0  # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c

Tambahkan entri yang sesuai ke /etc/fstab:

 /ENCRYPTED.img  /dev/svnd0c  vnd rw,noauto,-k
 /dev/svnd0a     /home        ffs rw,noauto

Tambahkan perintah untuk memasang volume terenkripsi dan sistem file di dalamnya pada saat boot ke /etc/rc.local:

echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home

Periksa apakah semuanya berfungsi dengan benar dengan menjalankan perintah ini ( mount /dev/svnd0c && mount /home).

Catatan yang rc.localdieksekusi terlambat dalam proses boot, jadi Anda tidak bisa meletakkan file yang digunakan oleh layanan standar seperti ssh atau sendmail pada volume terenkripsi. Jika Anda ingin melakukannya, masukkan perintah-perintah ini /etc/rcsebagai gantinya, tepat setelahnya mount -a. Kemudian pindahkan bagian-bagian sistem file yang Anda anggap sensitif dan pindahkan ke /homevolume.

mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var

Anda harus mengenkripsi swap Anda juga, tetapi OpenBSD melakukannya secara otomatis saat ini.

Cara yang lebih baru untuk mendapatkan filesystem terenkripsi adalah melalui driver raid perangkat lunak softraid . Lihat halaman manual softraiddan bioctlatau OpenBD terenkripsi Lykle de Vries NAS HOWTO untuk informasi lebih lanjut. Versi terbaru dari OpenBSD mendukung boot dari volume softraid dan menginstal ke volume softraid dengan menjatuhkan ke shell selama instalasi untuk membuat volume.

¹ Sejauh yang saya tahu, enkripsi volume OpenBSD dilindungi untuk kerahasiaan (dengan Blowfish), bukan untuk integritas . Melindungi integritas OS adalah penting, tetapi tidak perlu untuk kerahasiaan. Ada beberapa cara untuk melindungi integritas OS juga, tetapi mereka berada di luar cakupan jawaban ini.

Gilles 'SANGAT berhenti menjadi jahat'
sumber
Bisakah Anda mengklarifikasi pernyataan "Melindungi integritas OS itu penting, tetapi tidak perlu untuk kerahasiaan"? Apakah maksud Anda bahwa enkripsi volume OpenBSD hanya memasarkan gimmick atau bukan hal yang penting?
Lebih lanjut tentang integritas: unix.stackexchange.com/questions/9998/…
3
@hhh: Enkripsi OpenBSD memberikan kerahasiaan. Itu penting untuk data Anda sendiri, tidak penting untuk file OS yang dapat diunduh siapa pun. (yaitu penyandian volume adalah penting tetapi bukan keseluruhan cerita.) Integritas adalah pertahanan terhadap seseorang yang secara diam-diam mengubah data Anda, atau lebih buruk lagi, memasang malware jika mereka memiliki akses fisik ke disk Anda - serangan pelayan jahat . Serangan maid jahat sulit dipertahankan (saya tidak tahu apa yang ditawarkan OpenBSD), tetapi juga sulit dilakukan.
Gilles 'SO- berhenti bersikap jahat'
Jawaban ini tidak lebih benar, pada OpenBSD 5.7 dan sebelumnya sudah dimungkinkan untuk menginstal OS di partisi terenkripsi sejak awal
Freedo
@ Kebebasan Saya telah memperbarui jawaban saya untuk menyebutkan kemungkinan ini. Rupanya sudah mungkin sejak 5.3, yang belum ada ketika saya menulis jawaban ini.
Gilles 'SANGAT berhenti jahat'
3

Ketakutan dengan disiplin CRYPTO dimaksudkan oleh perancang OBSD untuk mendukung enkripsi disk penuh. Ada metode lain juga dengan SVND yang sekarang sudah usang.

pengguna26533
sumber