全盘加密安装OpenBSD
全盘加密安装OpenBSDhttp://www.openbsd.org/plus.html
All softraid(4) boot(8) support is now enabled by default, including support for booting from crypto volumes. Can be completely enabled or disabled at compile time.
2012年11月之后的current,已经支持从加密卷启动系统。
启动安装盘,在(I)nstall, (U)pgrade, (S)hell 提示那里, 选 Shell。
以下步骤仅供参考,请仔细阅读相关文章和手册之后再操作!
将实体磁盘初始化
# fdisk -iy sd0
Writing MBR at offset 0.
看看初始化后的磁盘信息
# fdisk sd0
# disklabel -E sd0
仅添加一个分区a,fstype项目输入大写RAID
If device nodes for the disk do not already exist in /dev, they must be created first:
# cd /dev
# ls sd* 看看情况,可能需要运行以下命令
# sh ./MAKEDEV sd1
创建加密虚拟盘
# bioctl -c C -l /dev/sd0a softraid0
enter passphrase
此时可能会显示发现新磁盘的信息
scsibus3 at softraid0: 1 targets
sd1 at scsibus3 targ 0 lun 0: <OPENBSD, SR CRYPTO, 004> SCSI2 0/direct fixed
sd1: 56899MB, 512 bytes/sec, 116529312 sec total
初始化加密虚拟盘,
# fdisk -iy sd1
# install
按正常方式安装操作系统。
---
man softraid
可以参考旧文章,这些文章的写作背景是“OpenBSD不支持从加密卷启动”
http://www.undeadly.org/cgi?action=article&sid=20110530221728
http://brycv.com/blog/2012/encrypted-root-filesystem-using-softraid-4-on-openbsd-with-an-slc-ssd/
http://vinvin.dyndns.org/projects/softraid.html 欢迎分享 ^_^ :emn31: 针对楼主的材料,我详细补充一下。
softraid 这个东西就是说,bioctl 这个命令可以将几个硬盘上的不同分区组合成一个 raid,规则可以是并联或者镜像等。bioctl 的其中一项功能是把某个分区加密,对应的秘钥盘(key disk)用 -k 参数指明,如果没有指定秘钥盘的话,就需要一个口令。
生成的 softraid 对于系统来说就像是一个新硬盘(已经被加密),具体名称由bioctl命令的输入给定,可以在这个硬盘上安装操作系统, 机器启动后将引导这个系统。
我刚才在虚拟机上用 5.2发布版验证了一下,设定秘钥盘,安装完系统后,将系统启动内核写入原先硬盘的boot分区,再将这个系统的启动程序 boot 和 biosboot 文件写入softraid硬盘的启动代码。机器挂接秘钥盘,系统启动正常,取出秘钥盘,系统启动不了。
我不设定秘钥盘,设定一个口令,系统启动失败。
-------------- 有空再继续深究失败的原因,以上写得有点杂乱。等到搞定后在真机上部署-------------- 顶一个,支持 本帖最后由 f5b 于 2012-11-09 15:48 编辑
vity 发表于 2012-11-09 11:52 static/image/common/back.gif
针对楼主的材料,我详细补充一下。
softraid 这个东西就是说,bioctl 这个命令可以将几个硬盘上的不同分 ...
我不设定秘钥盘,设定一个口令,系统启动失败。
2012年11月之后的current(snapshot),才支持从加密卷启动系统,也就是说,current版本才支持免密钥盘口令方式从加密卷启动。
之前的版本/bsd文件必须在非加密卷中才可以系统系统。 看来OpenBSD用softraid替换raidframe是有目的的。就是为了使biosboot支持raid启动。在5.3中预计将加入raid设备的系统安装。 回复 5# f5b
好的,多谢 这个可以试一下。
不知道freebsd可不可以这么搞。
页:
[1]