Работа с зашифрованными дисками в FreeBSD

FreeBSD

GBDE - GEOM Based Disk Encryption (FreeBSD >= 5.0)

GBDE шифрует содержимое секторов при помощи 128-битного AES в режиме CBC. Каждый сектор диска шифруется различным ключом AES. Код GBDE не проанализирован в достаточной степени квалифицированными криптографами, кроме того, разработчики не гарантируют что формат хранения данных GBDE не изменится в результате исправлений ошибок или иных изменений кода. Потенциальные пользователи GBDE должны быть готовы к возможной миграции их данных с помощью утилит dump(8)/restore(8) в будущем.

Для работы с GBDE ваше ядро должно быть скомпилировано с его поддержкой. Добавте следующи строки в конфигурационных файл ядра:

options GEOM_BDE

После необходимо перекомпилировать ядро.

Либо подгружать модуль gbde во время загрузки системы. Добавьте следующую строку в /boot/loader.conf:

geom_bde_load="YES"

после этого устройства gbde(4) должны поддерживаться системой.

Первичная инициализация раздела GBDE (флэшки) с помощью gbde(8):

# gbde init /dev/da0

при выполнении команды у вас попросят два раза ввести пароль.

Подключение зашифрованного устройства к системе(нужно ввести пароль):

# gbde attach /dev/da0

создадим новую файловую систему командой newfs(8):

# newfs /dev/da0.bde

Создадим каталог для монтирования:

# mkdir /mnt/cryptoflash

примонтируем эту файловую систему:

# mount /dev/da0.bde /mnt/cryptoflash

размонтируем файловую систему по окончании работы с ней:

# umount /dev/da0.bde

Отключение зашифрованного устройства:

# geli detach /dev/da0

всё, теперь флэшка может быть извлечена.

GELI (FreeBSD >= 6.0)

GELI - это новый GEOM класс для шифрования диска. Он имеет ряд новых функций, отличающих его от уже существующего класса GBDE. Сам автор не утверждает, что GELI лучше или хуже GBDE, он просто другой. Пользователям предлагается самим выбирать, какой модуль им больше подходит по функциональности.

Некоторые возможности GELI:

использование специализированного оборудования для шифрования (если доступно);

поддержка нескольких алгоритмов шифрования (AES, Blowfish и 3DES);

возможность шифрования корневого раздела файловой системы;

возможность использования двух независимых ключей;

возможность использования для временных разделов и разделов подкачки

Для работы с GELI ваше ядро должно быть скомпилировано с его поддержкой. Добавте следующи строки в конфигурационных файл ядра:

options GEOM_ELI

device crypto

После необходимо перекомпилировать ядро.

Либо подгружать модуль geli во время загрузки системы. Добавьте следующую строку в /boot/loader.conf:

geom_eli_load="YES"

после этого geli(8) должен поддерживаться системой.

Первичная инициализация раздела GELI (флэшки):

# geli init /dev/da0

при выполнении команды у вас попросят два раза ввести пароль.

Подключение зашифрованного устройства к системе(нужно ввести пароль):

# geli attach /dev/da0

создадим новую файловую систему командой newfs(8):

# newfs /dev/da0.eli

Создадим каталог для монтирования:

# mkdir /mnt/cryptoflash

примонтируем эту файловую систему:

# mount /dev/da0.eli /mnt/cryptoflash

размонтируем файловую систему по окончании работы с ней:

# umount /dev/da0.eli

Отключение зашифрованного устройства:

# geli detach /dev/da0

всё, теперь флэшка может быть извлечена.

http://www.rostovlinux.ru/content/view/288/56/#gbde
Обновлено: 12.03.2015