in 0.00 s
Ich weiß nicht, wieviele von euch sich schon Gedanken über crypted Filesysteme gemacht haben. Im großen und Ganzen will man das ja schon, angefangen von was passiert, wenn jemand einfach den Rechner mitnimmt
(egal ob Diebstahl, oder Law Enforcement), bis hin zur bequemen Gewissheit, dass man sich keine Gedanken machen muss, wenn man die Platte verschenkt, oder gar zur Reparatur einschickt.
Fangen wir heute mit dem einfachsten Teil an: Crypto-Swap. Man kann sich nie sicher sein, welche interessanten Daten alle im Swap-Bereich landen, also verschlüsseln wir es einfach.
Swap hat die schöne Eigenschaft, das man ihn nach einem Reboot eh nicht mehr lesen können muss, also kann man auch bei jedem Neustart einfach einen neuen, zufälligen Key erzeugen.
Bequemerweise kann FreeBSD (ab 5.x) das alles selbst. Übrig bleiben zwei
einfache Schritte:
gbde_devices="auto" in die /etc/rc.conf einfügen, und .bde an den Namen des Swap-Devices in der %/etc/fstab anhängen
Schnell erledigt ist das mit diesen beiden Zeilen Shell:
echo 'gbde_devices="auto"' >>/etc/rc.conf perl -pi.bak -ae '$F[3]=~/sw/&&s!^([\w/]+)(\.bde)?!$1.bde!' /etc/fstab
Los, macht's am besten gleich, dann habt ihr schon beim nächsten reboot dieses wohlige crypto-gefühl :-)
Wenn ihr das erledigt habt, kommt hier demnächst auch Teil 2.
– Sec (wieder zurück aus dem Urlaub)
Nur den Key zu deinen Cryptofilesystemen sollte man nicht verlieren, sonst kann - bisher zum Glück erst in UK - eine Erzwingungshaft zur Schlueselherausgabe angeordnet werden.
OK, ich wollte was vergleichbares das ich auf Basis von NetBSD & cgd(4) benutze schon immer mal dokumentieren, aber dieser Eintrag (v.a. das "Teil 1" :-) war dann doch mal Grund genug dafuer: http://www.feyrer.de/NetBSD/blog.html/nb_20060823_2311.html
Enjoy!
- Hubert
arved: Kerneldumps funktionieren damit nicht mehr, da der Schlüssel nicht mehr bekannt ist, wenn der Dump beim Neustart gespeichert werden soll.
Ansonsten gibt es zu diesem Thema auch einen Abschnitt im Handbuch: http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/swap-encrypting.html
arved wrote on Tue, 22 Aug 2006 17:00
Bloede Frage, funktionieren Kerneldumps bzw. savecore damit noch?