Использование стартового скрипта rc.d geli
Для удобства использования подсистемы geli в комплект базовой системы FreeBSD входит стартовый скрипт, работой которого можно управлять из rc.conf(5):
geli_devices="da2"
geli_da2_flags="-p -k /root/da2.key"
При этом дисковый раздел /dev/da2 будет сконфигурирован как провайдер geli, связан с ключевым файлом /root/da2.key, а кодовая фраза не будет использоваться (отметим, что это возможно только в том случае, если при инициализации geli init был указан ключ -P). Шифрованный провайдер geli будет отсоединен перед выключением системы.
Дополнительную информацию о конфигурации скриптов rc.d можно найти в соответствующей главе Руководства.
Шифрование области подкачки
Шифрование области подкачки в FreeBSD достаточно легко конфигурируется. Варианты конфигурации слегка различаются в зависимости от версии системы. Для шифрования разделов подкачки можно использовать утилиты gbde(8) или geli(8);. В обоих случаях используется скрипт rc.d encswap.
Предыдущий раздел, Шифрование дисковых разделов, кратко описывает различные методы криптования.
Зачем шифровать область подкачки?
Как и в случае дисковых разделов, шифрование области подкачки применяется для защиты важной информации. Возьмем, к примеру, приложение, которому требуется работать с паролями. До тех пор, пока пароли хранятся в физической памяти, все в порядке. Если же операционная система начинает выгружать отдельные участки памяти в область подкачки, чтобы освободить память для других приложений, пароли могут быть записаны на диск в открытом виде и тем самым оказаться легко доступными злоумышленнику (имеющему физический доступ к диску — прим. пер.). В таких ситуациях решением может стать шифрование раздела подкачки.
|
|
|
Подготовка
Замечание: В данном разделе мы будем считать, что разделом подкачки является ad0s1b.
До настоящего момента раздел подкачки не был зашифрован. Таким образом, на нем могут содержаться пароли или какая-либо иная важная информация в открытом виде. Чтобы избавиться от этого, заполним раздел подкачки случайными данными:
# dd if=/dev/random of=/dev/ad0s1b bs=1m
Шифрование раздела подкачки при помощи gbde(8)
В строку файла /etc/fstab, описывающую раздел подкачки, необходимо добавить суффикс .bde:
# Device Mountpoint FStype Options Dump Pass#
/dev/ad0s1b.bde none swap sw 0 0
Шифрование раздела подкачки при помощи geli(8)
Процедура при использовании geli(8) для шифрования раздела подкачки сходна с использованием gbde(8). В строку файла /etc/fstab, описывающую раздел подкачки, нужно добавить суффикс .eli:
# Device Mountpoint FStype Options Dump Pass#
/dev/ad0s1b.eli none swap sw 0 0
По умолчанию, geli(8) использует алгоритм криптования AES с длиной ключа 256 бит.
|
|
|
При необходимости эти параметры могут быть изменены в опции geli_swap_flags файла конфигурации /etc/rc.conf. Приведенная ниже строка указывает, что скрипт rc.d encswap должен использовать для криптования алгоритм Blowfish с ключом длиной 128 бит, размером сектора 4 килобайта и включенной опцией ''отсоединиться при последнем закрытии'':
geli_swap_flags="-e blowfish -l 128 -s 4096 -d"
За списком возможных опций обращайтесь к описанию команды onetime в странице справочника geli(8).
Окончательная проверка
После перезагрузки системы правильность работы шифрованного раздела подкачки может быть проверена при помощи команды swapinfo.
В случае использования gbde(8):
% swapinfo
Device 1K-blocks Used Avail Capacity
/dev/ad0s1b.bde 542720 0 542720 0%
При использовании geli(8):
% swapinfo
Device 1K-blocks Used Avail Capacity
/dev/ad0s1b.eli 542720 0 542720 0%
Примечания
1. Советы по выбору легко запоминающихся ключевых фраз можно найти на сайте Diceware Passphrase (http://world.std.com/~reinhold/diceware.html).
Глава 18.
GEOM: Модульная инфраструктура преобразования дисковых запросов
Краткий обзор
Эта глава описывает использование дисков, управляемых инфраструктурой GEOM во FreeBSD. Среди прочего, здесь описывается большая часть утилит управления RAID, использующих GEOM для настройки. В этой главе мы не будем вдаваться в подробности взаимодействия GEOM с подсистемой ввода/вывода или с программным кодом, эту информацию вы можете получить на странице справочника geom(4). Эта глава также не является подробным руководством по настройке RAID. Мы обсудим только типы RAID, поддерживаемые GEOM.
|
|
|
После прочтения этой главы вы будете знать:
• Какие типы RAID поддерживает GEOM.
• Как использовать стандартные утилиты для настройки, обслуживания и управления различными уровнями RAID.
• Как с помощью GEOM создавать зеркальные, последовательные и шифрованные дисковые последовательности, а так же последовательности из дисков, присоединённых удалённо.
• Как решать проблемы с дисками, присоединёнными к инфраструктуре GEOM.
Перед чтением этой главы вы должны:
• Понимать, как FreeBSD работает с дисками (Гл. 17).
• Уметь сконфигурировать и установить новое ядро FreeBSD (Гл. 8).
Введение в GEOM
GEOM позволяет классам — MBR, BSD labels, и так далее — получить доступ к устройству и управлять им, используя поставщиков GEOM (providers) или специальные файлы устройств, расположенные в каталоге /dev. GEOM поддерживает различные программные конфигурации RAID, и прозрачно предоставляет доступ к дискам системе и системным приложениям.
Дата добавления: 2018-10-26; просмотров: 203; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!