OpenBSD สนับสนุนการเข้ารหัสเต็มรูปแบบดิสก์เท่านั้นตั้งแต่OpenBSD 5.3 เวอร์ชันก่อนหน้านี้ต้องการพาร์ติชันสำหรับเริ่มระบบ cleartext ฉันไม่ทราบว่าเมื่อใดที่ตัวติดตั้งได้รับการแก้ไขเพื่อรองรับการติดตั้งโดยตรงไปยังพาร์ติชันที่เข้ารหัส (โดยที่ bootloader ยังไม่ได้เข้ารหัสแน่นอนเพราะมีบางสิ่งที่ต้องถอดรหัสบิตถัดไป)
มีประโยชน์เล็กน้อยในการเข้ารหัสพาร์ติชันระบบอย่างไรก็ตาม ดังนั้นฉันขอแนะนำให้ติดตั้งระบบตามปกติจากนั้นสร้างอิมเมจระบบไฟล์ที่เข้ารหัสและใส่ข้อมูลที่ละเอียดอ่อนของคุณ ( /homeบางส่วนของ/varอาจเป็นไฟล์บางไฟล์/etc) ที่นั่น
หากคุณต้องการเข้ารหัสพาร์ติชันระบบต่อไป (เนื่องจากคุณมีกรณีการใช้งานพิเศษเช่นซอฟต์แวร์ที่เป็นความลับ) และคุณไม่ได้ติดตั้งระบบที่เข้ารหัสไว้ตั้งแต่แรกนี่เป็นวิธีที่คุณทำได้
บูตเข้าสู่การติดตั้ง OpenBSD ของคุณและสร้างไฟล์ที่จะมีอิมเมจระบบไฟล์ที่เข้ารหัส ตรวจสอบให้แน่ใจว่าได้เลือกขนาดที่เหมาะสมเนื่องจากจะยากที่จะเปลี่ยนแปลงในภายหลัง (คุณสามารถสร้างภาพเพิ่มเติมได้ แต่คุณจะต้องป้อนข้อความรหัสผ่านแยกต่างหากสำหรับแต่ละภาพ) vnconfigหน้าคนมีตัวอย่าง (แม้พวกเขากำลังขาดหายไปไม่กี่ขั้นตอน) โดยสังเขป:
dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0 # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c
เพิ่มรายการที่สอดคล้องกับ/etc/fstab:
/ENCRYPTED.img /dev/svnd0c vnd rw,noauto,-k
/dev/svnd0a /home ffs rw,noauto
เพิ่มคำสั่งเพื่อเมานต์โวลุ่มที่เข้ารหัสและระบบไฟล์ในขณะบู๊ตเพื่อ/etc/rc.local:
echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home
ตรวจสอบว่าทุกอย่างทำงานอย่างถูกต้องโดยใช้คำสั่งเหล่านี้ ( mount /dev/svnd0c && mount /home)
โปรดทราบว่าrc.localมีการดำเนินการล่าช้าในกระบวนการบู๊ตดังนั้นคุณจึงไม่สามารถวางไฟล์ที่ใช้โดยบริการมาตรฐานเช่น ssh หรือ sendmail ในโวลุ่มที่เข้ารหัส หากคุณต้องการทำเช่นนั้นให้ใส่คำสั่งเหล่านี้/etc/rcแทนหลังจากmount -aนั้น จากนั้นย้ายส่วนต่าง ๆ ของระบบไฟล์ที่คุณพิจารณาว่ามีความละเอียดอ่อนและย้ายไปยัง/homeระดับเสียง
mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var
คุณควรเข้ารหัส swap ของคุณเช่นกัน แต่ OpenBSD ทำเช่นนั้นโดยอัตโนมัติในปัจจุบัน
วิธีใหม่ในการรับระบบไฟล์ที่เข้ารหัสคือผ่านไดร์เวอร์ซอฟต์แวร์ตรวจค้น softraidข้อมูล ดูsoftraidและbioctlหน้าคนหรือOpenBSD ของเข้ารหัส Lykn de Vries NAS HOWTOสำหรับข้อมูลเพิ่มเติม เวอร์ชันล่าสุดของ OpenBSD รองรับการบูทจากโวลุ่ม soft กลัวและการติดตั้งไปยังวอลลุ่ม softraid โดยวางลงในเชลล์ระหว่างการติดตั้งเพื่อสร้างโวลุ่ม
¹
เท่าที่ผมสามารถบอกได้ OpenBSD ของการเข้ารหัสไดรฟ์ได้รับการคุ้มครองสำหรับการรักษาความลับ (กับปักเป้า) ไม่ได้สำหรับความสมบูรณ์ การปกป้องความถูกต้องของระบบปฏิบัติการเป็นสิ่งสำคัญ แต่ไม่จำเป็นต้องมีการรักษาความลับ มีวิธีที่จะปกป้องความถูกต้องของระบบปฏิบัติการด้วยเช่นกัน แต่มันก็อยู่นอกเหนือขอบเขตของคำตอบนี้