OpenBSD admite el cifrado de disco completo solo desde OpenBSD 5.3 . Las versiones anteriores requieren una partición de arranque de texto sin formato. No sé cuándo se modificó el instalador para admitir la instalación directa en una partición cifrada (con el gestor de arranque aún sin cifrar, por supuesto, porque algo tiene que descifrar el siguiente bit).
De todos modos, es poco útil encriptar la partición del sistema¹. Por lo tanto, sugiero instalar el sistema normalmente, luego crear una imagen de sistema de archivos encriptada y colocar allí sus datos confidenciales ( /home
partes de /var
, quizás algunos archivos /etc
).
Si de todos modos desea cifrar la partición del sistema (porque tiene un caso de uso especial, como un software confidencial) y no instaló un sistema cifrado originalmente, así es como puede hacerlo.
Inicie en su instalación de OpenBSD y cree un archivo que contendrá la imagen del sistema de archivos cifrados. Asegúrese de elegir un tamaño razonable, ya que será difícil cambiarlo más tarde (puede crear una imagen adicional, pero deberá ingresar la frase de contraseña por separado para cada imagen). La vnconfig
página del manual tiene ejemplos (aunque faltan algunos pasos). En una palabra:
dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0 # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c
Agregue las entradas correspondientes a /etc/fstab
:
/ENCRYPTED.img /dev/svnd0c vnd rw,noauto,-k
/dev/svnd0a /home ffs rw,noauto
Agregue comandos para montar el volumen cifrado y el sistema de archivos en él en el momento del arranque para /etc/rc.local
:
echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home
Compruebe que todo funciona correctamente ejecutando estos comandos ( mount /dev/svnd0c && mount /home
).
Tenga en cuenta que rc.local
se ejecuta tarde en el proceso de arranque, por lo que no puede colocar los archivos utilizados por los servicios estándar como ssh o sendmail en el volumen cifrado. Si desea hacer eso, coloque estos comandos en su /etc/rc
lugar, justo después mount -a
. Luego mueva las partes de su sistema de archivos que considere sensibles y muévalas al /home
volumen.
mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var
También debe cifrar su intercambio, pero OpenBSD lo hace automáticamente hoy en día.
La forma más nueva de obtener un sistema de archivos cifrado es a través del controlador de incursión de software softraid
. Consulte las páginas del manual softraid
y bioctl
o el NAS COMO cifrado OpenBSD de Lykle de Vries para obtener más información. Las versiones recientes de OpenBSD admiten el arranque desde un volumen softraid y la instalación en un volumen softraid cayendo a un shell durante la instalación para crear el volumen.
¹
Por lo que puedo decir, el cifrado de volumen de OpenBSD está protegido por confidencialidad (con Blowfish), no por integridad . Proteger la integridad del sistema operativo es importante, pero no hay necesidad de confidencialidad. También hay formas de proteger la integridad del sistema operativo, pero están más allá del alcance de esta respuesta.