カスタム検索

2014年09月28日

FreeBSD 10.0R で geliで暗号化 その3

いよいよ、暗号化パーテーションを作成します。
暗号化パーティションを作成します。
まずは、パーティションを作成します。

# gpart add -a 8 -t freebsd-ufs -l system ada0

利用状況の推定を困難にするためとディスクチェックのため、先程作成したパーティションを乱数で埋めます。
容量が多いとかなり時間がかかりますダッシュ(走り出すさま)

# dd if=/dev/random of=/dev/ada0p4 bs=1m

次善の策として、ワンタイムパスワードの暗号化ボリュームを作成して、暗号化ボリュームを0フィルしても、いいかな

# geli onetime -l 128 -s 4096 /dev/ada0p4
# dd if=/dev/zero of=/dev/ada0p4.eli bs=1m
# geli detach /dev/ada0p4

と、こんな感じです。
FreeBSD Create ebcrypted volume FreeBSD Filling random data
次に暗号鍵やメタ情報のバックアップを保存するために先程作成したブートパーティションをマウントします。

# mount /dev/ada0p2 /mnt

暗号鍵を作成します。

# dd if=/dev/random of=/mnt/ada0.key bs=64 count=1

暗号化パーティションを作成します。
作成した暗号鍵を使用して、暗号化パーティションを初期化します。
  • 性能向上のためセクタサイズを4KBに「-s 4096」
  • ブート時にパスワード問い合わせを行う「-b」
  • 128bit暗号化「-l 128」
  • メタデータのバックアップを「/mnt/ada0p4.meta」にとる「-B /mnt/ada0p4.meta」
  • 暗号鍵ファイル「/mnt/ada0.key」を使用する「-K /mnt/ada0.key」
といったオプションを指定します。パスワードの問い合わせがあるのでパスワードを入力します。
それから、作成した暗号化ボリュームをアタッチします。
  • 暗号鍵ファイル「/mnt/ada0.Key」の指定「-k /mnt/ada0.key」
とオプションを指定します。忘れるとスクリーンショットのようにアタッチできませんたらーっ(汗)

# geli init -b -l 128 -s 4096 -B /mnt/ada0p4.meta -K /mnt/ada0.key /dev/ada0p4
# geli attach -k /mnt/ada0p4.key /dev/ada0p4

FreeBSD Create and init and format encrypted volme
続いて、暗号化ボリュームをフォーマットします。
  • soft updatesを有効化「-U」
  • soft updates journalingを有効化「-j」
オプションを指定しています。
あと、POSIX aclの有効化もここでしておいた方がいいようです。「tunefs ...」
それと、暗号鍵ファイルとメタデータのバックアップのためにしようしたブート用ボリュームのマウントを一旦解除します。

# newfs -U ーj /dev/ada0p4.eli
# tunefs -a enable /dev/ada0p4.eli
# umount /mnt

FreeBSD Create and init and format encrypted volmeFreeBSD init encrypted volume
ちょっと長くなったので続きます。
posted by にゃおたん at 07:48| Comment(0) | TrackBack(0) | PC
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/103974261
※ブログオーナーが承認したトラックバックのみ表示されます。

この記事へのトラックバック