Bearbeiten von „FreeBSD/System verschlüsseln mit geli(8)“
Aus UUGRN
Warnung: Du bist nicht angemeldet. Deine IP-Adresse wird bei Bearbeitungen öffentlich sichtbar. Melde dich an oder erstelle ein Benutzerkonto, damit Bearbeitungen deinem Benutzernamen zugeordnet werden.
Die Bearbeitung kann rückgängig gemacht werden. Bitte prüfe den Vergleich unten, um sicherzustellen, dass du dies tun möchtest, und speichere dann unten deine Änderungen, um die Bearbeitung rückgängig zu machen.
Aktuelle Version | Dein Text | ||
Zeile 2: | Zeile 2: | ||
Der hier beschriebene Ansatz unterscheidet sich von [https://www.bsdwiki.de/System_verschlüsseln_mit_geli(8) diesem Artikel] grundlegend dadurch, dass der Bootloader und der Kernel nicht auf eiem USB-Stick oder externen Bootmedium abgelegt ist sondern unverschlüsselt auf der Platte liegt. | Der hier beschriebene Ansatz unterscheidet sich von [https://www.bsdwiki.de/System_verschlüsseln_mit_geli(8) diesem Artikel] grundlegend dadurch, dass der Bootloader und der Kernel nicht auf eiem USB-Stick oder externen Bootmedium abgelegt ist sondern unverschlüsselt auf der Platte liegt. | ||
− | |||
− | |||
− | |||
− | |||
− | |||
== Zielsetzung == | == Zielsetzung == | ||
Zeile 33: | Zeile 28: | ||
;2 Slices (=Partitionen) mit Typ 165 (=FreeBSD) anlegen: | ;2 Slices (=Partitionen) mit Typ 165 (=FreeBSD) anlegen: | ||
:* ca 5GB für /dev/ad0s1 | :* ca 5GB für /dev/ad0s1 | ||
− | :* Rest für /dev/ | + | :* Rest für /dev/ad0s1 |
:* BootLoader in MBR installieren | :* BootLoader in MBR installieren | ||
Zeile 72: | Zeile 67: | ||
Wir legen nun auf /dev/ad0s2 einen geli-Layer. Das "-b" sorgt dafür, dass der Kernel vor dem Mounten von / nach der Passphrase fragt! | Wir legen nun auf /dev/ad0s2 einen geli-Layer. Das "-b" sorgt dafür, dass der Kernel vor dem Mounten von / nach der Passphrase fragt! | ||
<pre> | <pre> | ||
− | # | + | # geom init -b /dev/ad0s2 |
− | |||
</pre> | </pre> | ||
Hier eine nicht zu einfache Passphrase verwenden und gut merken! | Hier eine nicht zu einfache Passphrase verwenden und gut merken! | ||
Zeile 106: | Zeile 100: | ||
* ein standard-Label schreiben: | * ein standard-Label schreiben: | ||
<pre> | <pre> | ||
− | # bsdlabel - | + | # bsdlabel -e /dev/ad0s2.eli |
</pre> | </pre> | ||
Zeile 147: | Zeile 141: | ||
* bsdlabel schreiben: | * bsdlabel schreiben: | ||
<pre> | <pre> | ||
− | # bsdlabel -R | + | # bsdlabel -R /tmp/bsdlabel_ad0s2.eli |
</pre> | </pre> | ||
− | bsdlabel | + | bsdlabel erreichnet die richtigen Größen für size und offset. |
Die beiden Schritte ließen sich auch zu "bsdlabel -e" zusammenführen, hier geht allerdings dann die Datei verloren (falls man es modifiziert neu versuchen will). | Die beiden Schritte ließen sich auch zu "bsdlabel -e" zusammenführen, hier geht allerdings dann die Datei verloren (falls man es modifiziert neu versuchen will). | ||
Zeile 320: | Zeile 314: | ||
... dass /dev/ufs/USR und /dev/ufs/VAR Labels auf /dev/ad0s2.eli sind und somit verschlüsselt sind. | ... dass /dev/ufs/USR und /dev/ufs/VAR Labels auf /dev/ad0s2.eli sind und somit verschlüsselt sind. | ||
− | == Nachbetrachtungen == | + | === Nachbetrachtungen === |
− | === Im Maintenance-System === | + | |
+ | ==== Im Maintenance-System ==== | ||
* Will man (einmalig) direkt in Maintenance-System booten, kann man auch die Passphrase absichtlich mehrfach falsch eingeben oder den Parameter im Bootmenü ändern. | * Will man (einmalig) direkt in Maintenance-System booten, kann man auch die Passphrase absichtlich mehrfach falsch eingeben oder den Parameter im Bootmenü ändern. | ||
Zeile 331: | Zeile 326: | ||
Auf der Konsole werden hier alle Filesysteme angezeigt, die auf ad0s2 liegen, diese können wir normale Filesysteme verwendet werden. | Auf der Konsole werden hier alle Filesysteme angezeigt, die auf ad0s2 liegen, diese können wir normale Filesysteme verwendet werden. | ||
− | === Im Normalsystem === | + | ==== Im Normalsystem ==== |
* Will man das Maintenance-System bearbeiten, so kann das einfach gemountet werden: | * Will man das Maintenance-System bearbeiten, so kann das einfach gemountet werden: | ||
<pre> | <pre> | ||
Zeile 352: | Zeile 347: | ||
== Weblinks == | == Weblinks == | ||
− | |||
* [https://www.bsdwiki.de/System_verschlüsseln_mit_geli(8) System verschlüsseln mit geli(8)] bei bsdwiki.de, verfolgt den Ansatz, dass die ganze Platte verschlüsselt wird und ersatzweise von einem USB-Stick gebootet wird. | * [https://www.bsdwiki.de/System_verschlüsseln_mit_geli(8) System verschlüsseln mit geli(8)] bei bsdwiki.de, verfolgt den Ansatz, dass die ganze Platte verschlüsselt wird und ersatzweise von einem USB-Stick gebootet wird. | ||