Come si dovrebbe impostare la crittografia dell'intero disco su OpenBSD?

19

Esiste un metodo preferito per impostare la crittografia dell'intero disco in OpenBSD, simile a quello dm-cryptin Linux?

Sto cercando la crittografia dell'intero disco, come se qualcuno dovesse rubare il mio notebook che potrebbe potenzialmente accedere ai dati memorizzati su di esso. Un altro motivo è che non sono sempre vicino al mio notebook, quindi qualcuno potrebbe potenzialmente compromettere l'integrità del mio netbook. Questi sono i due problemi principali che mi fanno credere che la crittografia dell'intero disco sia importante per me.

security  openbsd  encryption 
LanceBaynes
fonte
Hai avuto due domande completamente indipendenti. Poiché ho risposto a uno e nessuno ha ancora risposto all'altro, ho rimosso la parte relativa a Chrome dalla tua domanda. Sentiti libero di pubblicare una nuova domanda sull'esecuzione di Chrome su OpenBSD.
Gilles 'SO- smetti di essere malvagio' il
LanceBaynes
Da OpenBSD 5.3 è disponibile la crittografia completa del disco! > softraid (4) I volumi RAID1 e crypto sono ora avviabili su i386 e> amd64 (crittografia del disco completo). Quindi oltre al bootloader, TUTTO è criptato. :)
evacristina,

Risposte:

15

OpenBSD supporta la crittografia dell'intero disco solo da OpenBSD 5.3 . Le versioni precedenti richiedono una partizione di avvio in chiaro. Non so quando il programma di installazione è stato modificato per supportare l'installazione diretta in una partizione crittografata (ovviamente con il bootloader non crittografato, perché qualcosa deve decrittografare il bit successivo).

È comunque poco utile crittografare la partizione di sistema¹. Quindi suggerisco di installare normalmente il sistema, quindi di creare un'immagine del filesystem crittografata e di inserire lì i tuoi dati sensibili ( /homeparti di /var, forse alcuni file /etc).

Se vuoi crittografare comunque la partizione di sistema (perché hai un caso d'uso speciale, come un software riservato) e non hai installato un sistema crittografato in origine, ecco come puoi farlo.

Avvia l'installazione di OpenBSD e crea un file che conterrà l'immagine del filesystem crittografata. Assicurati di scegliere una dimensione ragionevole poiché sarà difficile cambiare in seguito (puoi creare un'immagine aggiuntiva, ma dovrai inserire la passphrase separatamente per ogni immagine). La vnconfigpagina man contiene esempi (anche se mancano alcuni passaggi). In breve:

dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img  # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0  # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c

Aggiungi voci corrispondenti a /etc/fstab:

 /ENCRYPTED.img  /dev/svnd0c  vnd rw,noauto,-k
 /dev/svnd0a     /home        ffs rw,noauto

Aggiungi comandi per montare il volume crittografato e il filesystem in esso all'avvio per /etc/rc.local:

echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home

Verifica che tutto funzioni correttamente eseguendo questi comandi ( mount /dev/svnd0c && mount /home).

Si noti che rc.localviene eseguito in ritardo nel processo di avvio, quindi non è possibile inserire i file utilizzati dai servizi standard come ssh o sendmail sul volume crittografato. Se vuoi farlo, inserisci invece questi comandi /etc/rc, subito dopo mount -a. Quindi sposta le parti del tuo filesystem che ritieni sensibili e spostale sul /homevolume.

mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var

Dovresti crittografare anche lo swap, ma OpenBSD lo fa automaticamente al giorno d'oggi.

Il modo più recente per ottenere un filesystem crittografato è attraverso il driver del raid software softraid . Per ulteriori informazioni, consultare le pagine man softraide il HOWTO NAS crittografato OpenBSD di Lykle de Vries . Le versioni recenti di OpenBSD supportano l'avvio da un volume software e l' installazione su un volume software passando a una shell durante l'installazione per creare il volume.bioctl

¹ Per quanto ne so, la crittografia del volume di OpenBSD è protetta per riservatezza (con Blowfish), non per integrità . La protezione dell'integrità del sistema operativo è importante, ma non è necessaria la riservatezza. Esistono modi per proteggere anche l'integrità del sistema operativo, ma vanno oltre lo scopo di questa risposta.

Gilles 'SO- smetti di essere cattivo'
fonte
Potete chiarire l'affermazione "La protezione dell'integrità del sistema operativo è importante, ma non è necessaria la riservatezza"? Vuoi dire che la crittografia del volume di OpenBSD è solo una trovata di marketing o una cosa non così importante?
Maggiori informazioni sull'integrità: unix.stackexchange.com/questions/9998/…
3
@hhh: la crittografia di OpenBSD garantisce la riservatezza. Questo è importante per i tuoi dati, non è importante per i file del sistema operativo che chiunque può scaricare. (vale a dire la crittografia del volume è importante ma non la storia completa.) L'integrità è la difesa contro qualcuno che modifica di nascosto i tuoi dati, o peggio, installa malware se hanno accesso fisico al tuo disco - un attacco malvagio da cameriera . Gli attacchi di malvagità sono difficili da difendere (non so cosa OpenBSD ha da offrire), ma anche difficili da realizzare.
Gilles 'SO- smetti di essere malvagio'
Questa risposta non è più corretta, su OpenBSD 5.7 e precedenti è già possibile installare il sistema operativo in una partizione crittografata dall'inizio
Freedo
@Freedom Ho aggiornato la mia risposta per menzionare questa possibilità. Apparentemente è possibile dalla 5.3, che non esisteva ancora quando ho scritto questa risposta.
Gilles 'SO- smetti di essere malvagio' il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.