os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity

Update to r44686:

Browse source 
Editorial review of gbde section.

Reviewed by:	bcr
Differential Revision:	https://reviews.freebsd.org/D6256
This commit is contained in:
Bjoern Heidotting 2016-05-07 11:10:14 +00:00
parent 4226a20249
commit e6d7ab7565
Notes: svn2git 2020-12-08 03:00:23 +00:00 
svn path=/head/; revision=48782
1 changed files with 91 additions and 137 deletions

228
de_DE.ISO8859-1/books/handbook/disks/chapter.xml
View file

@ -5,7 +5,7 @@
$FreeBSD$
$FreeBSDde: de-docproj/books/handbook/disks/chapter.xml,v 1.187 2012/04/26 19:32:48 bcr Exp $
basiert auf: r44648
basiert auf: r44686
-->
<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="disks">
<info><title>Speichermedien</title>
@ -877,8 +877,8 @@ scsibus1:
<para>Es gibt einige Optionen, um die Beschränkungen dieses
Standards zu überwinden. Die unter &unix; Systemen üblichen
Rock-Ridge-Erweiterungen werden durch <option>-R</option>
aktiviert und <option>-J</option> aktiviert die von Microsoft
Systemen benutzten Joliet-Erweiterungen.</para>
aktiviert und <option>-J</option> aktiviert die von
&microsoft; Systemen benutzten Joliet-Erweiterungen.</para>
<para>Für <acronym>CD</acronym>s, die nur auf &os;-Systemen verwendet werden
sollen, kann <option>-U</option> genutzt werden, um alle
@ -2610,17 +2610,31 @@ Quotas for user test:
schützen, die über erhebliche Mittel verfügen.
Dieser Schutz ist unabhängig von der Art und Weise, durch
die ein Angreifer Zugang zu einer Festplatte oder zu einem
Rechner erlangt hat. Im Gegensatz zu schwerfälligen
Systemen, die einzelne Dateien verschlüsseln,
verschlüsseln <application>gbde</application> und
<command>geli</command> transparent ganze Dateisysteme. Auf der
Festplatte werden dabei keine Daten im Klartext gespeichert.</para>
Rechner erlangt hat. Im Gegensatz zu anderen
Verschlüsselungsmethoden, bei denen einzelne Dateien
verschlüsselt werden, verschlüsseln
<application>gbde</application> und <command>geli</command>
transparent ganze Dateisysteme. Auf der Festplatte werden dabei
keine Daten im Klartext gespeichert.</para>
<sect2>
<title>Plattenverschlüsselung mit
<application>gbde</application></title>
<para>&man.gbde.8; benutzt 128-Bit <acronym>AES</acronym> im
<para>Das Ziel von &man.gbde.4; ist es, einen Angreifer vor eine
große Herausforderung zu stellen, um an die Daten einer
Festplatte zu gelangen. Falls jedoch der Rechner
kompromittiert wurde, während er im Betrieb war und das
Speichergerät aktiv verbunden war, oder wenn der Angreifer
eine gültige Passphrase kennt, bietet dieses System keinen
Schutz für die Daten der Festplatte. Daher ist es wichtig,
für die physische Sicherheit zu sorgen, während das System im
Betrieb ist. Außerdem muss die Passphrase für den
Verschlüsselungsmechanismus geschützt werden.</para>
<para>&man.gbde.4; besitzt einige Funktionen um die Daten,
die in einem Sektor gespeichert sind, zu schützen. Es benutzt
128-Bit <acronym>AES</acronym> im
<acronym>CBC</acronym>-Modus, um die Daten eines Sektors zu
verschlüsseln. Jeder Sektor einer Festplatte wird mit einem
anderen <acronym>AES</acronym>-Schlüssel verschlüsselt.
@ -2628,18 +2642,6 @@ Quotas for user test:
Schlüssel für einen Sektor aus der gegebenen Passphrase
ermittelt werden, finden Sie in &man.gbde.4;.</para>
<note>
<para>&man.sysinstall.8; kann nicht mit verschlüsselten
<application>gbde</application>-Geräten umgehen. Vor
dem Start von &man.sysinstall.8; müssen alle
<filename>*.bde</filename>-Geräte deaktiviert werden, da
&man.sysinstall.8; sonst bei der Suche nach abstürzt. Das
im Beispiel verwendete Gerät wird mit dem folgenden Befehl
deaktiviert:</para>
<screen>&prompt.root; <userinput>gbde detach /dev/ad4s1c</userinput></screen>
</note>
<para>&os; enthält ein Kernelmodul für
<application>gbde</application>, das wie folgt geladen werden
kann:</para>
@ -2654,14 +2656,13 @@ Quotas for user test:
<para>Das folgende Beispiel beschreibt, wie eine Partition
auf einer neuen Festplatte verschlüsselt wird. Die
Partition wird in <filename>/private</filename> eingehangen.
Mit <application>gbde</application> könnten auch
<filename>/home</filename> und <filename>/var/mail</filename>
verschlüsselt werden. Die dazu nötigen Schritte
können allerdings in dieser Einführung
nicht behandelt werden.</para>
Partition wird in <filename>/private</filename>
eingehangen.</para>
<procedure>
<title>Eine Partition mit <application>gbde</application>
verschlüsseln</title>
<step>
<title>Installieren der Festplatte</title>
@ -2696,17 +2697,14 @@ Quotas for user test:
<title>Vorbereiten der gbde-Partition</title>
<para>Eine von <application>gbde</application> benutzte
Partition muss einmalig vorbereitet werden:</para>
Partition muss einmalig initialisiert werden, bevor
sie benutzt werden kann. Das Programm öffnet eine Vorlage
im Standard-Editor, um verschiedene Optionen zu
konfigurieren. Setzen Sie <varname>sector_size</varname>
auf <literal>2048</literal>, wenn Sie
<acronym>UFS</acronym> benutzen:</para>
<screen>&prompt.root; <userinput>gbde init /dev/ad4s1c -i -L /etc/gbde/ad4s1c.lock</userinput></screen>
<para>&man.gbde.8; öffnet eine Vorlage im Standard-Editor,
um verschiedene Optionen einstellen zu können.
Setzen Sie <varname>sector_size</varname> auf
<literal>2048</literal>, wenn Sie
UFS1 oder UFS2 benutzen.</para>
<programlisting># &dollar;FreeBSD: src/sbin/gbde/template.txt,v 1.1.36.1 2009/08/03 08:13:06 kensmith Exp $
<screen>&prompt.root; <userinput>gbde init /dev/ad4s1c -i -L /etc/gbde/ad4s1c.lock</userinput># &dollar;FreeBSD: src/sbin/gbde/template.txt,v 1.1.36.1 2009/08/03 08:13:06 kensmith Exp $
#
# Sector size is the smallest unit of data which can be read or written.
# Making it too small decreases performance and decreases available space.
@ -2714,34 +2712,33 @@ Quotas for user test:
# minimum and always safe. For UFS, use the fragment size
#
sector_size = 2048
[...]</programlisting>
[...]</screen>
<para>&man.gbde.8; fragt zweimal die Passphrase zum Schutz
der Daten ab. Die Passphrase muss beide Mal gleich
<para>Sobald die Änderungen gespeichert werden, wird der
Benutzer zweimal aufgefordert, die zum Schutz der Daten
verwendete Passphrase einzugeben. Die Passphrase muss beide Mal gleich
eingegeben werden. Die Sicherheit der Daten hängt allein
von der Qualität der gewählten Passphrase ab. Die Auswahl
einer sicheren und leicht zu merkenden Passphrase wird auf
der Webseite <link xlink:href="http://world.std.com/~reinhold/diceware.html">Diceware
Passphrase</link> beschrieben.</para>
der Webseite <link
xlink:href="http://world.std.com/~reinhold/diceware.html">
http://world.std.com/~reinhold/diceware.html</link>
beschrieben.</para>
<para>Mit <command>gbde init</command> wurde im Beispiel
auch die Lock-Datei <filename>/etc/gbde/ad4s1c.lock</filename>
angelegt. <application>gbde</application>-Lockdateien
<para>Bei der Initialisierung wird eine Lock-Datei für die
<application>gbde</application>-Partition erstellt. In
diesem Beispiel
<filename>/etc/gbde/ad4s1c.lock</filename>. Lock-Dateien
müssen die Dateiendung <quote>.lock</quote> aufweisen,
damit sie von <filename>/etc/rc.d/gbde</filename>, dem
Startskript von <application>gbde</application>, erkannt
werden.</para>
<caution>
<para>Sichern Sie die Lock-Dateien von
<application>gbde</application> immer zusammen mit den
verschlüsselten Dateisystemen. Ein entschlossener
Angreifer kann die Daten vielleicht auch ohne die
Lock-Datei entschlüsseln. Ohne die Lock-Datei
können Sie allerdings nicht auf die
verschlüsselten Daten zugreifen. Dies ist nur noch
mit erheblichem manuellen Aufwand möglich, der nicht
&man.gbde.8; wird.</para>
<para>Lock-Dateien müssen immer zusammen mit den
verschlüsselten Dateisystemen gesichert werden. Ohne
die Lock-Datei können Sie allerdings nicht auf die
verschlüsselten Daten zugreifen.</para>
</caution>
</step>
@ -2768,42 +2765,34 @@ sector_size = 2048
anlegen</title>
<para>Nachdem die verschlüsselte Partition im Kernel
eingebunden ist, kann mit &man.newfs.8; ein Dateisystem
erstellt werden. Dieses Beispiel erstellt ein
UFS2-Dateisystem mit aktivierten Soft Updates.</para>
eingebunden ist, kann ein Dateisystem erstellt werden.
Dieses Beispiel erstellt ein
<acronym>UFS</acronym>-Dateisystem mit aktivierten Soft
Updates. Achten Sie darauf, die Partition mit der
Erweiterung
<filename><replaceable>*</replaceable>.bde</filename>
zu benutzen:</para>
<screen>&prompt.root; <userinput>newfs -U -O2 /dev/ad4s1c.bde</userinput></screen>
<note>
<para>&man.newfs.8; muss auf einer eingebundenen
<application>gbde</application>-Partition ausgeführt
werden, welche durch das Suffix
<filename><replaceable>*</replaceable>.bde</filename>
identifiziert wird.</para>
</note>
</step>
<step>
<title>Einhängen der verschlüsselten Partition</title>
<para>Legen Sie einen Mountpunkt für das
verschlüsselte Dateisystem an:</para>
verschlüsselte Dateisystem an. Hängen Sie anschließend
das Dateisystem ein:</para>
<screen>&prompt.root; <userinput>mkdir /private</userinput></screen>
<para>Hängen Sie das verschlüsselte Dateisystem
ein:</para>
<screen>&prompt.root; <userinput>mount /dev/ad4s1c.bde /private</userinput></screen>
<screen>&prompt.root; <userinput>mkdir /private</userinput>
&prompt.root; <userinput>mount /dev/ad4s1c.bde /private</userinput></screen>
</step>
<step>
<title>Überprüfen des verschlüsselten
Dateisystems</title>
<para>Das verschlüsselte Dateisystem sollte jetzt
von &man.df.1; erkannt werden und benutzt werden
können.</para>
<para>Das verschlüsselte Dateisystem sollte jetzt erkannt
und benutzt werden können:</para>
<screen>&prompt.user; <userinput>df -H</userinput>
Filesystem Size Used Avail Capacity Mounted on
@ -2816,75 +2805,40 @@ Filesystem Size Used Avail Capacity Mounted on
</step>
</procedure>
<sect3>
<title>Einhängen eines existierenden verschlüsselten
Dateisystems</title>
<para>Nach jedem Neustart müssen verschlüsselte
Dateisysteme dem Kernel wieder bekannt gemacht werden,
auf Fehler überprüft werden und eingehangen
werden. Die dazu nötigen Befehle müssen als
<systemitem class="username">root</systemitem> durchgeführt werden.</para>
<procedure>
<step>
<title>gbde-Partition im Kernel bekannt geben</title>
<screen>&prompt.root; <userinput>gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c.lock</userinput></screen>
<para>Dieses Kommando fragt nach der Passphrase, die
während der Initialisierung der verschlüsselten
<application>gbde</application>-Partition festgelegt
wurde.</para>
</step>
<step>
<title>Prüfen des Dateisystems</title>
<para>Das verschlüsselte Dateisystem kann noch nicht
automatisch über <filename>/etc/fstab</filename>
eingehangen werden. Daher muss es vor dem Einhängen
mit &man.fsck.8; geprüft werden:</para>
<screen>&prompt.root; <userinput>fsck -p -t ffs /dev/ad4s1c.bde</userinput></screen>
</step>
<step>
<title>Einhängen des verschlüsselten
Dateisystems</title>
<screen>&prompt.root; <userinput>mount /dev/ad4s1c.bde /private</userinput></screen>
<para>Das verschlüsselte Dateisystem steht danach
zur Verfügung.</para>
</step>
</procedure>
<para>Mit einem Skript können verschlüsselte
Dateisysteme automatisch bekannt gegeben, geprüft
und eingehangen werden. Wir raten Ihnen allerdings
aus Sicherheitsgründen davon ab. Starten Sie das
Skript manuell an der Konsole oder in einer
&man.ssh.1;-Sitzung.</para>
<para>Alternativ existiert ein
<filename>rc.d</filename>-Skript, an das über
Einträge in &man.rc.conf.5; Argumente übergeben werden
können:</para>
werden. Für die dazu nötigen Schritte fügen Sie folgende
Zeilen in <filename>/etc/rc.conf</filename> hinzu:</para>
<programlisting>gbde_autoattach_all="YES"
gbde_devices="ad4s1c"
gbde_devices="<replaceable>ad4s1c</replaceable>"
gbde_lockdir="/etc/gbde"</programlisting>
<para>Durch diese Argumente muss beim Systemstart die
<application>gbde</application>-Passphrase eingegeben werden.
Erst nach Eingabe der korrekten Passphrase wird die
<application>gbde</application>-verschlüsselte
Partition automatisch in den Verzeichnisbaum
eingehängt. Dieses Vorgehen ist
nützlich, wenn <application>gbde</application> auf
einem Laptop eingesetzt wird.</para>
</sect3>
<para>Durch diese Argumente muss beim Systemstart auf der
Konsole die Passphrase eingegeben werden. Erst nach Eingabe
der korrekten Passphrase wird die verschlüsselte Partition
automatisch in den Verzeichnisbaum eingehängt. Weitere
Bootoptionen von <application>gbde</application> finden Sie
in &man.rc.conf.5;.</para>
<!--
What about bsdinstall?
-->
<note>
<para><application>sysinstall</application> ist nicht
kompatibel mit
<application>gbde</application>-verschlüsselten Geräten.
Bevor <application>sysinstall</application> gestartet
wird, müssen alle <filename>*.bde</filename> Geräte vom
Kernel getrennt werden, da sonst der Kernel bei der
ersten Suche nach Geräten abstürzt. Um das verschlüsselte
Gerät aus dem Beispiel zu trennen, benutzen Sie das
folgende Kommando:</para>
<screen>&prompt.root; <userinput>gbde detach /dev/<replaceable>ad4s1c</replaceable></userinput></screen>
</note>
</sect2>
<sect2 xml:id="disks-encrypting-geli">