From d3bf51fc7b8c31282b0cdb9bbff9237c7b891710 Mon Sep 17 00:00:00 2001 From: Dmitry Morozovsky Date: Mon, 13 Feb 2006 11:17:56 +0000 Subject: [PATCH] MFen: 1.214 -> 1.215 config/chapter.sgml 1.63 -> 1.64 desktop/chapter.sgml 1.241 -> 1.247 disks/chapter.sgml Whitespace cleanups. Obtained from: The FreeBSD Russian Documentation Project --- .../books/handbook/config/chapter.sgml | 42 +- .../books/handbook/desktop/chapter.sgml | 18 +- .../books/handbook/disks/chapter.sgml | 451 +++++++++++++++--- 3 files changed, 418 insertions(+), 93 deletions(-) diff --git a/ru_RU.KOI8-R/books/handbook/config/chapter.sgml b/ru_RU.KOI8-R/books/handbook/config/chapter.sgml index 02f21574d8..00c67dea4b 100644 --- a/ru_RU.KOI8-R/books/handbook/config/chapter.sgml +++ b/ru_RU.KOI8-R/books/handbook/config/chapter.sgml @@ -2,9 +2,9 @@ The FreeBSD Documentation Project $FreeBSD$ - $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/config/chapter.sgml,v 1.41 2006/01/07 14:09:14 gad Exp $ + $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/config/chapter.sgml,v 1.43 2006/02/13 11:15:57 marck Exp $ - Original revision: 1.214 + Original revision: 1.215 --> @@ -357,7 +357,7 @@ однако важнее всего учитывать, что их начальную конфигурацию можно задать с помощью простых стартовых скриптов. - До появления rcNG приложения должны были помещать + До появления rc.d приложения должны были помещать простой стартовый скрипт в каталог /usr/local/etc/rc.d, который затем читался скриптами инициализации системы. Эти скрипты @@ -367,7 +367,7 @@ старый стиль конфигурирования в новую систему, остаётся фактом, что для некоторых утилит сторонних производителей по-прежнему необходим скрипт, помещённый в указанный выше каталог. Незначительные - различия в скриптах зависят от того, используется ли rcNG. До + различия в скриптах зависят от того, используется ли rc.d. До версии &os; 5.1 использовались скрипты в старом стиле, и почти во всех случаях скрипты в новом стиле должны подойти так же хорошо. @@ -417,16 +417,16 @@ exit 0 подобную конфигурацию. Поищите в результатах, выдаваемых после установки более детальную информацию по конкретному приложению. Некоторые программы сторонних производителей будут включать стартовые - скрипты, позволяющие использовать приложение с rcNG; но это мы еще + скрипты, позволяющие использовать приложение с rc.d; но это мы еще обсудим в следующем разделе. Расширенное конфигурирование приложения - Теперь, когда &os; включает rcNG, конфигурирование запуска + Теперь, когда &os; включает rc.d, конфигурирование запуска приложений стало более оптимальным; фактически, оно стало более тщательным. С помощью ключевых слов, рассмотренных в разделе - rcNG, приложения теперь + rc.d, приложения теперь можно настроить для запуска после других заданных сервисов, например, DNS; можно разрешить передачу дополнительных флагов через rc.conf вместо @@ -437,8 +437,7 @@ exit 0 # # PROVIDE: utility # REQUIRE: DAEMON -# BEFORE: LOGIN -# KEYWORD: FreeBSD shutdown +# KEYWORD: shutdown # # НЕ МЕНЯЙТЕ ЗДЕСЬ ЭТИ СТАНДАРТНЫЕ ЗНАЧЕНИЯ @@ -465,8 +464,7 @@ start_cmd="echo \"Starting ${name}.\"; /usr/bin/nice -5 ${command} ${utility_fla run_rc_command "$1" Этот скрипт будет гарантировать, что указанное приложение - utility будет запущено перед сервисом - login, но после сервиса + utility будет запущено после сервиса daemon. Он также предоставляет метод для создания и отслеживания файла идентификатора процесса, PID. @@ -480,11 +478,7 @@ run_rc_command "$1" командной строки, включать стандартные функции из файла /etc/rc.subr, обеспечивает совместимость с утилитой &man.rcorder.8; и упрощает конфигурирование с помощью - файла rc.conf. По сути, этот сценарий - можно даже поместить в каталог - /etc/rc.d. Это, однако, - потенциально может сбить с толку утилиту &man.mergemaster.8; - при обновлениях программного обеспечения. + файла rc.conf. @@ -694,7 +688,7 @@ HOME=/var/log - + @@ -720,7 +714,7 @@ HOME=/var/log &prompt.root; /etc/rc.d/sshd restart Эта процедура похожа для других сервисов. Конечно, сервисы - обычно запускаются автоматически, как указано в &man.rc.conf.5;. + обычно запускаются автоматически при загрузке системы, как указано в &man.rc.conf.5;. Например, включение даемона Network Address Translation при запуске выполняется простым добавлением следующей строки в /etc/rc.conf: @@ -774,11 +768,12 @@ $sshd_enable=YES &prompt.root; /etc/rc.d/sshd status sshd is running as pid 433. - Возможна также перегрузка () сервиса. + В некоторых случаях возможна также перегрузка () сервиса. Скрипт, запущенный с этим параметром, попытается отправить сервису сигнал, вызывающий перезагрузку файлов настройки. В большинстве случаев это означает отправку сервису сигнала - SIGHUP. + SIGHUP. Следует помнить, что эту функцию + поддерживают не все сервисы. Система rc.d используется не только для сетевых серверов, она отвечает также за большую часть инициализации @@ -820,11 +815,6 @@ sshd is running as pid 433. файл будет запущен до указанных сервисов. - - - KEYWORD: &os; или NetBSD. Используется для функций, - зависящих от версии *BSD. - Используя этот метод, администратор может легко контролировать @@ -2100,7 +2090,7 @@ device_probe_and_attach: cbb0 attach returned 12 автоматически клонирующим; вы просто используйте device pty в вашем конфигурационном файле. - + diff --git a/ru_RU.KOI8-R/books/handbook/desktop/chapter.sgml b/ru_RU.KOI8-R/books/handbook/desktop/chapter.sgml index a69c93571c..1f88cf70c5 100644 --- a/ru_RU.KOI8-R/books/handbook/desktop/chapter.sgml +++ b/ru_RU.KOI8-R/books/handbook/desktop/chapter.sgml @@ -2,9 +2,9 @@ The FreeBSD Russian Documentation Project $FreeBSD$ - $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/desktop/chapter.sgml,v 1.18 2006/01/30 18:28:28 gad Exp $ + $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/desktop/chapter.sgml,v 1.19 2006/02/13 11:02:41 marck Exp $ - Original revision: 1.63 + Original revision: 1.64 --> @@ -188,9 +188,8 @@ Mozilla - Mozilla это возможно наиболее - подходящий браузер для десктопа FreeBSD. Он современный, - стабильный и полностью портирован на FreeBSD. Его достоинство + Mozilla это наиболее современный и + стабильный браузер; он полностью портирован на FreeBSD. Его достоинство в высокой совместимости со стандартами HTML. В нем есть почтовая и новостная программы. В нем даже найдется редактор HTML, если вам потребуется самостоятельно написать несколько веб-страничек. @@ -331,9 +330,12 @@ Opera это очень быстрый, - полноценный и совместимый со стандартами браузер. Он поставляется - в двух вариантах: родная для FreeBSD версия и версия, - запускаемая в режиме эмуляции Linux. + полноценный и совместимый со стандартами браузер. Он также идет в + комплекте с почтовой и новостной программами, клиентом IRC, модулем + чтения RSS/Atom и другими. Несмотря на все это, браузер + Opera относительно легок и быстр. Он + поставляется в двух вариантах: родная для FreeBSD версия + и версия, запускаемая в режиме эмуляции Linux. Для работы в сети с помощью FreeBSD версии Opera установите diff --git a/ru_RU.KOI8-R/books/handbook/disks/chapter.sgml b/ru_RU.KOI8-R/books/handbook/disks/chapter.sgml index 370f60ba19..e0aa05930f 100644 --- a/ru_RU.KOI8-R/books/handbook/disks/chapter.sgml +++ b/ru_RU.KOI8-R/books/handbook/disks/chapter.sgml @@ -2,9 +2,9 @@ The FreeBSD Russian Documentation Project $FreeBSD$ - $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/disks/chapter.sgml,v 1.76 2005/08/16 10:55:09 marck Exp $ + $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/disks/chapter.sgml,v 1.78 2006/02/13 11:15:58 marck Exp $ - Original revision: 1.241 + Original revision: 1.247 --> @@ -286,8 +286,8 @@ Использование <application>Sysinstall</application> Вы можете использовать простые меню утилиты - sysinstall (/stand/sysinstall - во &os; версий, более старых, чем 5.2) для разбиения на разделы и + sysinstall (/stand/sysinstall + во &os; версий, более старых, чем 5.2) для разбиения на разделы и разметки нового диска. Войдите как пользователь root или воспользуйтесь командой su. Запустите команду @@ -309,8 +309,8 @@ команды W. А теперь выйдите из редактора FDISK, нажав q. В этот момент вам будет задан вопрос о Master Boot Record (главной - загрузочной записи). Так как вы добавляете диск к уже работающей - системе, выберите None. + загрузочной записи). Так как вы добавляете диск к уже работающей + системе, выберите None. @@ -807,10 +807,11 @@ ar0: ATA RAID1 subdisks: ad4 ad6 status: DEGRADED - Сначала вам нужно отключить диск от массива, чтобы его можно - было без последствий извлечь: + Сначала вам нужно отключить канал контроллера ATA, содержащий + отказавший диск, чтобы его можно было без последствий + извлечь: - &prompt.root; atacontrol detach 3 + &prompt.root; atacontrol detach ata3 @@ -818,13 +819,19 @@ ar0: ATA RAID1 subdisks: ad4 ad6 status: DEGRADED - Повторно подключите диск в качестве резервного: + Повторно подключите канал дискового контроллера: - &prompt.root; atacontrol attach 3 + &prompt.root; atacontrol attach ata3 Master: ad6 <MAXTOR 6L080J4/A93.0500> ATA/ATAPI rev 5 Slave: no device present + + Добавьте новый диск к массиву в качестве резервного: + + &prompt.root; atacontrol addspare ar0 ad6 + + Перестройте массив: @@ -832,11 +839,7 @@ Slave: no device present - Команда перестроения будет работать, пока не закончит. Однако - имеется возможность открыть другой терминал (комбинацией клавиш - Alt - Fn) и - проверить состояние дел при помощи следующей команды: + Проверить состояние дел можно при помощи следующей команды: &prompt.root; dmesg | tail -10 [выдача удалена] @@ -1323,17 +1326,19 @@ scsibus1: /dev/acd0t03 и так далее. Удостоверьтесь, что соответствующий файл имеется в каталоге - /dev. + /dev. При его отсутствии следует + принудительно перечитать оглавление диска: + + &prompt.root; dd if=/dev/acd0 of=/dev/null count=1 + + В версиях &os; 4.X номера треков не предваряются нулем. + В случае отсутствия нужных файлов устройств, создайте их при + помощи команды MAKEDEV: &prompt.root; cd /dev &prompt.root; sh MAKEDEV acd0t99 - - - Во FreeBSD 5.0 &man.devfs.5; будет автоматически создавать - объекты в каталоге /dev и управлять ими, так - что использовать MAKEDEV не - обязательно. + @@ -1973,7 +1978,7 @@ cd0: Attempt to query device size failed: NOT READY, Medium not present - tray c Иногда записи в каталоге /dev необходимо создавать повторно. Для этого выполните следующее: - &prompt.root; cd /dev && ./MAKEDEV "fd*" + &prompt.root; cd /dev && ./MAKEDEV "fd*" @@ -2440,6 +2445,102 @@ sa0(ncr1:4:0): Logical unit is in process of becoming ready + + + + + Lowell + Gilbert + Первоначально написано + + + + + + Стратегии резервного копирования + + При разработке плана резервного копирования первым делом надо + продумать методы защиты от следующих проблем: + + + + Отказ жесткого диска + + + Случайное удаление файлов + + + Повреждение содержимого файлов + + + Полное уничтожение компьютера (например, при пожаре), при + котором погибнут также резервные копии, физически находящиеся + рядом. + + + + Вполне возможно, что для ваших нужд нет единой стратегии, наилучшим + образом покрывающей все описанные проблемы; более того, скорее всего, + ее и не может быть (разве что для персональных систем, где ценность + данных очень низка). + + Вот несколько наиболее распространенных технологий, применяемых + для резервного копирования: + + + + Архивация системы целиком с копированием на какой-либо надежный + внешний носитель и размещение его вдалеке от основной системы. + При этом вы защищены от всех перечисленных проблемы, однако этот + метод требует много времени и неудобен в процессе восстановления. + Вы можете хранить резервные копии рядом или даже смонтированными, + однако все равно столкнетесь с неудобствами при восстановлении, + в особенности для непривилегированных пользователей. + + + + Снэпшоты файловых систем. Помогают только от случайного + удаления файлов, но как раз в этом случае + очень полезны и эффективны. + + + + Полные копии файловых систем или дисков (например, периодический + запуск программы rsync для машины целиком). + + Для защиты от отказа жестких дисков этот способ обычно несколько + уступает RAID; для восстановления случайно + удаленных файлов может быть сравним по удобству со снэпшотами + UFS, в зависимости от вашей ситуации. + + + + RAID. Минимизирует или исключает вовсе + простои при отказе жестких дисков. При этом средняя частота + таких отказов увеличивается (поскольку количество дисков больше), + но разбираться с ними становится много спокойнее. + + + + Проверка отпечатков файлов (fingerprints). Для этого весьма + полезна утилита &man.mtree.8;. Не являясь собственно технологией + резервного копирования, этот метод помогает выяснять, когда вам + пока обращаться к резервным копиям. В особенности это важно для + "оффлайновых" резервных копий. + + + + Довольно легко придумать и другие стратегии резервного копирования; + многие из них будут композициями уже упомянутых. Наличие специальных + требований, как правило, приводит к специализированным же технологиям + (например, резервное копирование базы данных, как правило, требует + использования методов, специфичных для соответствующей СУБД). + Главным остается знание опасностей потери данных, от которых вы хотите + себя оградить, и методов защиты от них. + + Основы технологии резервного копирования @@ -2598,9 +2699,9 @@ targetuser@targetmachine.example.com dd of=/mybigfiles/dump-usr-l0.gz &prompt.root; for f in directory_list; do -find $f >> backup.list +find $f >> backup.list done -&prompt.root; cpio -v -o --format=newc < backup.list | ssh user@host "cat > backup_device" +&prompt.root; cpio -v -o --format=newc < backup.list | ssh user@host "cat > backup_device" Где directory_list это список директорий, c которых Вы хотите создать резервные копии, @@ -2794,7 +2895,7 @@ targetuser@targetmachine.example.com dd of=/mybigfiles/dump-usr-l0.gz Скрипт для создания загрузочной дискеты - /mnt/sbin/init -gzip -c -best /sbin/fsck > /mnt/sbin/fsck -gzip -c -best /sbin/mount > /mnt/sbin/mount -gzip -c -best /sbin/halt > /mnt/sbin/halt -gzip -c -best /sbin/restore > /mnt/sbin/restore +gzip -c -best /sbin/init > /mnt/sbin/init +gzip -c -best /sbin/fsck > /mnt/sbin/fsck +gzip -c -best /sbin/mount > /mnt/sbin/mount +gzip -c -best /sbin/halt > /mnt/sbin/halt +gzip -c -best /sbin/restore > /mnt/sbin/restore -gzip -c -best /bin/sh > /mnt/bin/sh -gzip -c -best /bin/sync > /mnt/bin/sync +gzip -c -best /bin/sh > /mnt/bin/sh +gzip -c -best /bin/sync > /mnt/bin/sync cp /root/.profile /mnt/root @@ -2922,18 +3023,18 @@ cd / # # create minimum filesystem table # -cat > /mnt/etc/fstab < /mnt/etc/passwd < /mnt/etc/master.passwd < floppy. После вывода приглашения вставьте fixit.flp. restore и другие нужные вам программы находятся в каталоге /mnt2/rescue (/mnt2/stand во &os; версий, предшествующих - 5.2). + class="directory">/mnt2/rescue (/mnt2/stand во &os; версий, предшествующих + 5.2). Восстановите по отдельности каждую файловую систему. @@ -3764,17 +3865,18 @@ rquotad/1 dgram rpc/udp wait root /usr/libexec/rpc.rquotad rpc.rquotad другую машину для копирования и дальнейшего анализа важных данных. Вне зависимости от того, как атакующий завладел жёстким диском или - выключенным компьютером, технология gbde (GEOM - Based Disk Encryption - шифрование диска на уровне GEOM) может защитить + выключенным компьютером, технологии gbde (GEOM + Based Disk Encryption - шифрование диска на уровне GEOM) и + криптографическая подсистема geli &os; могут защитить данные файловой системы компьютера даже против очень заинтересованной атакующей стороны с достаточными ресурсами. В отличие от громоздких систем шифрования, которые шифруют отдельные файлы, - gbde шифрует в прозрачном режиме файловую + gbde и geli шифруют в прозрачном режиме файловую систему в целом, при этом данные в открытом виде на диск никогда не записываются. - Включение gbde в ядре + Шифрование диска при помощи gbde @@ -3800,21 +3902,20 @@ rquotad/1 dgram rpc/udp wait root /usr/libexec/rpc.rquotad rpc.rquotad Включите поддержку &man.gbde.4; в конфигурационный файл ядра - При помощи вашего любимого текстового редактора добавьте + Добавьте следующую строку в файл конфигурации вашего ядра: options GEOM_BDE - Выполните конфигурацию, компиляцию и установку нового ядра + Перестройте ядро FreeBSD. Этот процесс описан в . Перезагрузитесь, запустив новое ядро. - - + Подготовка зашифрованного жёсткого диска В следующем примере предполагается, что в вашу систему вы @@ -3983,9 +4084,9 @@ for-->FreeBSD: src/sbin/gbde/template.txt,v 1.1 2002/10/20 11:16:13 phk Exp $ /dev/ad4s1c.bde 150G 4.1K 138G 0% /private - + - + Монтирование имеющихся зашифрованных файловых систем После каждой загрузки для каждой защищённой файловой системы перед @@ -4000,7 +4101,7 @@ for-->FreeBSD: src/sbin/gbde/template.txt,v 1.1 2002/10/20 11:16:13 phk Exp $ &prompt.root; gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c Будет выдан запрос на ввод ключевой фразы, выбранной на этапе - инициализации зашифрованного раздела gbde. + инициализации зашифрованного раздела gbde. @@ -4023,18 +4124,31 @@ for-->FreeBSD: src/sbin/gbde/template.txt,v 1.1 2002/10/20 11:16:13 phk Exp $ - + Автоматическое монтирование зашифрованных разделов Для автоматического подключения, проверки и монтирования - зашифрованного раздела можно создать скрипт, но во соображениям + зашифрованного раздела можно создать скрипт, но по соображениям безопасности в этом скрипте пароля для &man.gbde.8; быть не должно. Поэтому рекомендуется запускать такие скрипты вручную, а пароль задавать с консоли или сеанса &man.ssh.1;. - - - + Начиная с версии &os; 5.2-RELEASE, базовая система содержит + скрипт rc.d для автоматического монтирования шифрованных разделов. + Его аргументы могут быть указаны в файле &man.rc.conf.5;: + + gbde_autoattach_all="YES" +gbde_devices="ad4s1c" + + При этом ключевая фраза для gbde + должна быть введена на этапе загрузки. После введения ключевой + фразы зашифрованный раздел будет смонтирован автоматически. + Такой подход может быть очень удобным для использования + gbde на ноутбуках. + + + + Криптографическая защита, применяемая в gbde &man.gbde.8; шифрует содержимое секторов при помощи 128-битного @@ -4043,9 +4157,9 @@ for-->FreeBSD: src/sbin/gbde/template.txt,v 1.1 2002/10/20 11:16:13 phk Exp $ gbde, включая алгоритм генерации ключей для секторов из ключевой фразы, вводимой пользователем, можно найти на страницах справочной системы о &man.gbde.4;. - + - + Вопросы совместимости &man.sysinstall.8; несовместим с устройствами, зашифрованными @@ -4062,6 +4176,225 @@ for-->FreeBSD: src/sbin/gbde/template.txt,v 1.1 2002/10/20 11:16:13 phk Exp $ подсистему &man.geom.4;, то вы не можете использовать тома vinum с gbde. + + + + + + + + Daniel + Gerzo + Предоставлено + + + + + + Шифрование дисков при помощи <command>geli</command> + + Начиная с версии 6.0 &os; поддерживается новый класс GEOM — + geli. В настоящий момент он поддерживается + &a.pjd;. Класс Geli отличается от + gbde; он предоставляет другой комплекс + возможностей и использует иную схему криптования. + + Наиболее значимыми особенностями &man.geli.8; являются: + + + + Использование инфраструктуры &man.crypto.9;: при наличии + аппаратной криптографической поддержки, geli + автоматически использует ее. + + + Поддержка разнообразных криптоалгоритмов (в настоящее время + AES, Blowfish и 3DES). + + + Поддержка шифрованного корневого раздела. Для загрузки + в такой ситуации потребуется ввести ключевую фразу. + + + Поддержка двух независимых ключей шифрования (например, + основного ключа и ключа + компании). + + + Высокая скорость работы geli за счет + простого криптования сектор-сектор. + + + Поддержка архивирования основных ключей. При необходимости + текущие ключи могут быть уничтожены, а в дальнейшем доступ к + данным восстановлен при помощи архивированных ключей. + + + Поддержка криптования файловых систем случайным одноразовым + ключом — например, для разделов подкачки или временных + файловых систем. + + + + Другие возможности класса geli описаны в его + странице справочника: &man.geli.8;. + + Несколько следующих страниц будут посвящены описанию процесса + конфигурации geli в ядре &os; и создания + нового криптографического провайдера geli. + В завершение, мы продемонстрируем, как создать шифрованный раздел + подкачки при помощи geli. + + Для того чтобы использовать geli, вам + потребуется &os; версии 6.0-RELEASE или более поздней. Поскольку + необходимо внести изменения в конфигурацию ядра, потребуются также + привилегии суперпользователя. + + + + Изменение конфигурацию ядра: включение + <command>geli</command> + + Добавьте в конфигурационный файл ядра следующие строки: + + options GEOM_ELI +device crypto + + Перестройте ядро, как описано в разделе . + + Помимо этого, поддержка geli может быть + активирована модулем ядра на этапе загрузки. Для этого добавьте + в файл /boot/loader.conf строку: + + geom_eli_load="YES" + + Теперь ядро должно поддерживать &man.geli.8;. + + + + Генерация главного ключа + + Предлагаемый пример описывает процесс генерации ключевого + файла, который послужит частью главного ключа для шифрованного + провайдера, монтируемого в каталог /private. При помощи содержимого + ключевого файла создается набор случайных данных, которым + зашифровывается главный ключ. Кроме того, он будет защищен + кодовой фразой. Размер сектора провайдера будет составлять + 4kB. Наконец, мы обсудим, как присоединиться к провайдеру + geli, создать на базе его файловую систему, + как ее смонтировать и работать с ней, и, в заключение, как + корректно завершить работу. + + Больший чем обычно размер сектора (как в нашем примере, 4 кБ) + рекомендуется для увеличения производительности. + + Главный ключ будет защищен кодовой фразой; данные для + ключевого файла берутся из /dev/random. + Размер сектора создаваемого нами шифрованного провайдера + /dev/da2.eli — 4кБ. + + &prompt.root; dd if=/dev/random of=/root/da2.key bs=64 count=1 +&prompt.root; geli init -s 4096 -K /root/da2.key /dev/da2 +Enter new passphrase: +Reenter new passphrase: + + Использование одновременно кодовой фразы и ключевого файла + не обязательно: любой из этих методов защиты главного ключа может + применяться независимо. + + Если в качестве имени ключевого файла указан -, + используется стандартный ввод. Это позволяет использовать более + одного ключевого файла: + + &prompt.root; cat keyfile1 keyfile2 keyfile3 | geli init -K - /dev/da2 + + + + Свяжите сгенерированный ключ с провайдером + + &prompt.root; geli attach -k /root/da2.key /dev/da2 +Enter passphrase: + + Созданный при этом файл дискового устройства будет называться + /dev/da2.eli. + + &prompt.root; ls /dev/da2* +/dev/da2 /dev/da2.eli + + + + Создайте новую файловую систему + + &prompt.root; dd if=/dev/random of=/dev/da2.eli bs=1m +&prompt.root; newfs /dev/da2.eli +&prompt.root; mount /dev/da2.eli /private + + Зашифрованная файловая система будет видна в выводе утилиты + &man.df.1; и готова к использованию: + + &prompt.root; df -H +Filesystem Size Used Avail Capacity Mounted on +/dev/ad0s1a 248M 89M 139M 38% / +/devfs 1.0K 1.0K 0B 100% /dev +/dev/ad0s1f 7.7G 2.3G 4.9G 32% /usr +/dev/ad0s1d 989M 1.5M 909M 0% /tmp +/dev/ad0s1e 3.9G 1.3G 2.3G 35% /var +/dev/da2.eli 150G 4.1K 138G 0% /private + + + + + Размонтирование и деактивация провайдера + + После завершения работы с шифрованным разделом, когда + содержимое каталога /private + больше не нужно, будет разумным отключить раздел от + системы. + + &prompt.root; umount /private +&prompt.root; geli detach da2.eli + + + + Дополнительную информацию о &man.geli.8; можно найти на + соответствующей странице справочника. + + + Шифрование раздела подкачки + + Данный пример описывает создание шифрованного при помощи + geli раздела подкачки. + + &prompt.root; dd if=/dev/random of=/dev/ad0s1b bs=1m +&prompt.root; geli onetime -d -a 3des ad0s1b +&prompt.root; swapon /dev/ad0s1b.eli + + + + Использование стартового скрипта <filename>rc.d</filename> + <filename>geli</filename> + + Для удобства использования подсистемы geli + в комплект базовой системы &os; входит стартовый скрипт, работой + которого можно управлять из &man.rc.conf.5;: + + geli_devices="da2" +geli_da2_flags="-p -k /root/da2.key" + + При этом дисковый раздел /dev/da2 будет + сконфигурирован как провайдер geli, связан с + ключевым файлом /root/da2.key, а кодовая + фраза не будет использоваться (отметим, что это возможно только + в том случае, если при инициализации geli был + указан ключ -P). Шифрованный провайдер geli + будет отсоединен перед выключением системы. + + Дополнительную информацию о конфигурации скриптов rc.d можно + найти в соответствующей + главе Руководства. +