os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity

Update to r44694:

Browse source 
Editorial review of geli section.

Reviewed by:	bcr
Differential Revision:	https://reviews.freebsd.org/D6259
This commit is contained in:
Bjoern Heidotting 2016-05-07 16:50:39 +00:00
parent a47b09dfe8
commit 88b1281eb3
Notes: svn2git 2020-12-08 03:00:23 +00:00 
svn path=/head/; revision=48784
1 changed files with 84 additions and 105 deletions

189
de_DE.ISO8859-1/books/handbook/disks/chapter.xml
View file

@ -5,7 +5,7 @@
$FreeBSD$
$FreeBSDde: de-docproj/books/handbook/disks/chapter.xml,v 1.187 2012/04/26 19:32:48 bcr Exp $
basiert auf: r44686
basiert auf: r44694
-->
<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="disks">
<info><title>Speichermedien</title>
@ -2604,7 +2604,7 @@ Quotas for user test:
und dort die Daten analysieren.</para>
<para>Die für &os; verfügbaren kryptografischen Subsysteme,
GEOM Based Disk Encryption (<command>gbde</command>)
<acronym>GEOM</acronym> Based Disk Encryption (<command>gbde</command>)
und <command>geli</command> sind in der Lage, Daten auf
Dateisystemen auch vor hoch motivierten Angreifern zu
schützen, die über erhebliche Mittel verfügen.
@ -2617,6 +2617,11 @@ Quotas for user test:
transparent ganze Dateisysteme. Auf der Festplatte werden dabei
keine Daten im Klartext gespeichert.</para>
<para>Dieses Kapitel zeigt, wie ein verschlüsseltes Dateisystem
unter &os; erstellt wird. Zunächst wird der Ablauf für
<application>gbde</application> beschrieben und anschließend
das gleiche Beispiel für <application>geli</application>.</para>
<sect2>
<title>Plattenverschlüsselung mit
<application>gbde</application></title>
@ -2848,15 +2853,12 @@ What about bsdinstall?
</authorgroup>
</info>
<para>Mit <command>geli</command> ist eine alternative
kryptografische GEOM-Klasse verfügbar.
<command>geli</command> unterscheidet sich von
<command>gbde</command> durch unterschiedliche Fähigkeiten und
einen unterschiedlichen Ansatz für die Verschlüsselung.</para>
<para>Die wichtigsten Merkmale von &man.geli.8; sind:</para>
<para>Mit <command>geli</command> steht eine alternative
kryptografische <acronym>GEOM</acronym>-Klasse zur Verfügung.
Dieses Werkzeug unterstützt unterschiedliche Fähigkeiten und
verfolgt einen anderen Ansatz für die Verschlüsselung.
<application>geli</application> bietet die folgenden
Funktionen:</para>
<itemizedlist>
<listitem>
@ -2867,8 +2869,8 @@ What about bsdinstall?
<listitem>
<para>Die Unterstützung verschiedener kryptografischer
Algorithmen, wie beispielsweise AES, Blowfish, und
3DES.</para>
Algorithmen, wie <acronym>AES</acronym>, Blowfish, und
<acronym>3DES</acronym>.</para>
</listitem>
<listitem>
@ -2879,15 +2881,13 @@ What about bsdinstall?
</listitem>
<listitem>
<para><command>geli</command> erlaubt den Einsatz von zwei
voneinander unabhängigen Schlüsseln, etwa einem
privaten <quote>Schlüssel</quote> und einem
<quote>Unternehmens-Schlüssel</quote>.</para>
<para>Erlaubt den Einsatz von zwei voneinander unabhängigen
Schlüsseln.</para>
</listitem>
<listitem>
<para><command>geli</command> ist durch einfache
Sektor-zu-Sektor-Verschlüsselung sehr schnell.</para>
<para>Es ist durch einfache Sektor-zu-Sektor-Verschlüsselung
sehr schnell.</para>
</listitem>
<listitem>
@ -2905,70 +2905,61 @@ What about bsdinstall?
</listitem>
</itemizedlist>
<para>Weitere Merkmale von
<command>geli</command> finden Sie in &man.geli.8;.</para>
<para>Weitere Funktionen und Anwendungsbeispiele finden Sie in
&man.geli.8;.</para>
<para>Dieser Abschnitt beschreibt, wie <command>geli</command>
im &os;-Kernel aktiviert wird und wie ein
<command>geli</command>-Verschlüsselungs-Provider
angelegt wird.</para>
<para>Da der Kernel angepasst werden muss, werden
<systemitem class="username">root</systemitem>-Privilegien
benötigt.</para>
<para>Das folgende Beispiel beschreibt, wie eine
Schlüsseldatei erzeugt wird, die als Teil des Master-Keys für
den Verschlüsselungs-Provider verwendet wird, der unter
<filename>/private</filename> in den Verzeichnisbaum
eingehängt wird. Die Schlüsseldatei liefert zufällige Daten,
die für die Verschlüsselung des Master-Keys benutzt werden.
Zusätzlich wird der Master-Key durch eine Passphrase
geschützt. Die Sektorgröße des Providers beträgt 4&nbsp;KB.
Das Beispiel beschreibt, wie Sie einen
<command>geli</command>-Provider aktivieren, ein vom ihm
verwaltetes Dateisystem erzeugen, es mounten, mit ihm arbeiten
und wie Sie es schließlich wieder unmounten und den Provider
deaktivieren.</para>
<procedure>
<title>Eine Partition mit <command>geli</command>
verschlüsseln</title>
<step>
<title>Aufnahme der <command>geli</command>-Unterstützung
in Ihre Kernelkonfigurationsdatei</title>
<title>Laden der
<command>geli</command>-Unterstützung</title>
<para>Stellen Sie bei einer angepassten
Kernelkonfigurationsdatei sicher, dass diese Zeile
enthalten ist:</para>
<programlisting>options GEOM_ELI
device crypto</programlisting>
<para>Alternativ kann auch das
<command>geli</command>-Kernelmodul beim Systemstart
geladen werden, indem folgende Zeile in
<filename>/boot/loader.conf</filename> eingefügt
wird:</para>
<para>Die Unterstützung für <command>geli</command> ist
bereits im <filename>GENERIC</filename> enthalten. Damit
das Modul automatisch beim Booten geladen wird, fügen Sie
folgende Zeile in <filename>/boot/loader.conf</filename>
ein:</para>
<programlisting>geom_eli_load="YES"</programlisting>
<para>Ab sofort wird &man.geli.8; vom Kernel
unterstützt.</para>
<para>Um das Modul direkt zu laden:</para>
<screen>&prompt.root; <userinput>kldload geom_eli</userinput></screen>
<para>Stellen Sie bei einer angepassten
Kernelkonfigurationsdatei sicher, dass diese Zeilen
enthalten sind:</para>
<programlisting>options GEOM_ELI
device crypto</programlisting>
</step>
<step>
<title>Erzeugen des Master-Keys</title>
<para>Das folgende Beispiel beschreibt, wie eine
Schlüsseldatei erzeugt wird, die als Teil des
Master-Keys für den Verschlüsselungs-Provider
verwendet wird, der unter <filename>/private</filename>
in den Verzeichnisbaum eingehängt wird. Die
Schlüsseldatei liefert zufällige Daten, die für die
Verschlüsselung des Master-Keys benutzt werden.
Zusätzlich wird der Master-Key durch eine Passphrase
geschützt. Die Sektorgröße des Providers beträgt
4&nbsp;KB. Das Beispiel beschreibt, wie Sie einen
<command>geli</command>-Provider aktivieren, ein vom ihm
verwaltetes Dateisystem erzeugen, es mounten, mit ihm
arbeiten und wie Sie es schließlich wieder unmounten
und den Provider deaktivieren.</para>
<para>Um eine bessere Leistung zu erzielen, wird eine
größere Sektorgröße, beispielsweise 4&nbsp;KB,
empfohlen.</para>
<para>Der Master-Key wird durch eine Passphrase sowie, den
Daten der Schlüsseldatei aus
<filename>/dev/random</filename> geschützt.
Die Sektorgröße des Providers
<filename>/dev/<replaceable>da2</replaceable>.eli</filename>
beträgt 4&nbsp;KB.</para>
<para>Die folgenden Befehle erzeugen einen Master-Key
(<filename>/root/da2.key</filename>), der durch eine
Passphrase geschützt ist. Die Datenquelle für die
Schlüsseldatei ist <filename>/dev/random</filename>. Um
eine bessere Leistung zu erzielen beträgt die Sektorgröße
des Providers (<filename>/dev/da2.eli</filename>)
4&nbsp;KB:</para>
<screen>&prompt.root; <userinput>dd if=/dev/random of=/root/da2.key bs=64 count=1</userinput>
&prompt.root; <userinput>geli init -s 4096 -K /root/da2.key /dev/da2</userinput>
@ -2982,9 +2973,8 @@ Reenter new passphrase:</screen>
<para>Wird für die Schlüsseldatei
<quote>-</quote> angegeben, wird dafür die
Standardeingabe verwendet. Das folgende Beispiel zeigt,
dass auch mehr als eine Schlüsseldatei verwendet werden
kann:</para>
Standardeingabe verwendet. Das folgende Kommando erzeugt
beispielsweise drei Schlüsseldateien:</para>
<screen>&prompt.root; <userinput>cat keyfile1 keyfile2 keyfile3 | geli init -K - /dev/da2</userinput></screen>
</step>
@ -2993,12 +2983,15 @@ Reenter new passphrase:</screen>
<title>Aktivieren des Providers mit dem erzeugten
Schlüssel</title>
<para>Um den Provider zu aktivieren, geben Sie die
Schlüsseldatei, den Namen des Laufwerks und die Passphrase
an:</para>
<screen>&prompt.root; <userinput>geli attach -k /root/da2.key /dev/da2</userinput>
Enter passphrase:</screen>
<para>Dadurch wird die (Normaltext-)Gerätedatei
<filename>/dev/da2.eli</filename>
angelegt.</para>
<para>Dadurch wird ein neues Gerät mit der Erweiterung
<filename>.eli</filename> angelegt:</para>
<screen>&prompt.root; <userinput>ls /dev/da2*</userinput>
/dev/da2 /dev/da2.eli</screen>
@ -3007,12 +3000,16 @@ Enter passphrase:</screen>
<step>
<title>Das neue Dateisystem erzeugen</title>
<para>Als nächstes muss das Gerät mit dem
<acronym>UFS</acronym>-Dateisystem formatiert und an einen
vorhandenen Mountpunkt eingehängt werden:</para>
<screen>&prompt.root; <userinput>dd if=/dev/random of=/dev/da2.eli bs=1m</userinput>
&prompt.root; <userinput>newfs /dev/da2.eli</userinput>
&prompt.root; <userinput>mount /dev/da2.eli /private</userinput></screen>
&prompt.root; <userinput>mount /dev/da2.eli <replaceable>/private</replaceable></userinput></screen>
<para>Das verschlüsselte Dateisystem wird nun von
&man.df.1; angezeigt und kann ab sofort eingesetzt werden.</para>
<para>Das verschlüsselte Dateisystem sollte jetzt erkannt
und benutzt werden können:</para>
<screen>&prompt.root; <userinput>df -H</userinput>
Filesystem Size Used Avail Capacity Mounted on
@ -3022,11 +3019,8 @@ Filesystem Size Used Avail Capacity Mounted on
/dev/ad0s1d 989M 1.5M 909M 0% /tmp
/dev/ad0s1e 3.9G 1.3G 2.3G 35% /var
/dev/da2.eli 150G 4.1K 138G 0% /private</screen>
</step>
<step>
<title>Das Dateisystem unmounten und den Provider deaktivieren</title>
</procedure>
<para>Wenn Sie nicht mehr mit dem verschlüsselten
Dateisystem arbeiten und die unter <filename>/private</filename> eingehängte
@ -3037,25 +3031,15 @@ Filesystem Size Used Avail Capacity Mounted on
<screen>&prompt.root; <userinput>umount /private</userinput>
&prompt.root; <userinput>geli detach da2.eli</userinput></screen>
</step>
</procedure>
<para>Weitere Informationen zum Einsatz von
<command>geli</command> finden Sie in &man.geli.8;.</para>
<para>&os; verfügt über ein <filename>rc.d</filename>-Skript,
das dass Einhängen von verschlüsselten Geräten beim Booten
deutlich vereinfacht. Für dieses Beispiel, fügen Sie
folgende Zeilen in <filename>/etc/rc.conf</filename>
hinzu:</para>
<sect3>
<title>Der Einsatz des <filename>geli</filename>-
<filename>rc.d</filename>-Skripts</title>
<para><command>geli</command> verfügt über ein
<filename>rc.d</filename>-Skript,
das den Einsatz von <command>geli</command>
deutlich vereinfacht. Es folgt nun ein Beispiel, in dem
<command>geli</command> über die Datei
&man.rc.conf.5; konfiguriert wird:</para>
<programlisting>geli_devices="da2"
geli_da2_flags="-k /root/da2.key"</programlisting>
<programlisting>geli_devices="<replaceable>da2</replaceable>"
geli_da2_flags="-k /root/<replaceable>da2.key</replaceable>"</programlisting>
<para>Dies konfiguriert <filename>/dev/da2</filename> als
<command>geli</command>-Provider mit dem Master-Key
@ -3073,11 +3057,6 @@ geli_da2_flags="-k /root/da2.key"</programlisting>
<xref linkend="mount-unmount"/> wenn Sie wissen möchten,
wie Sie ein Dateisystem konfigurieren, sodass es beim
booten automatisch gestartet wird.</para>
<para>Weitere Informationen zur Konfiguration der
<filename>rc.d</filename>-Skripten
finden Sie im Abschnitt <link linkend="configtuning-rcd">rc.d</link> des Handbuchs.</para>
</sect3>
</sect2>
</sect1>