Update to r44686:

Editorial review of gbde section. Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D6256
svn path=/head/; revision=48782
2016-05-07 11:10:14 +00:00 · 2016-05-07 11:10:14 +00:00 · e6d7ab7565 · 2020-12-08 03:00:23 +00:00
commit e6d7ab7565
parent 4226a20249
1 changed files with 91 additions and 137 deletions
--- a/de_DE.ISO8859-1/books/handbook/disks/chapter.xml
+++ b/de_DE.ISO8859-1/books/handbook/disks/chapter.xml
@ -5,7 +5,7 @@
     $FreeBSD$
     $FreeBSDde: de-docproj/books/handbook/disks/chapter.xml,v 1.187 2012/04/26 19:32:48 bcr Exp $
-     basiert auf: r44648
+     basiert auf: r44686
 -->
 <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="disks">
  <info><title>Speichermedien</title>
@ -877,8 +877,8 @@ scsibus1:
      <para>Es gibt einige Optionen, um die Beschränkungen dieses
 	Standards zu überwinden.  Die unter &unix; Systemen üblichen
 	Rock-Ridge-Erweiterungen werden durch <option>-R</option>
-	aktiviert und <option>-J</option> aktiviert die von Microsoft
+	aktiviert und <option>-J</option> aktiviert die von
-	Systemen benutzten Joliet-Erweiterungen.</para>
+	&microsoft; Systemen benutzten Joliet-Erweiterungen.</para>
      <para>Für <acronym>CD</acronym>s, die nur auf &os;-Systemen verwendet werden
 	sollen, kann <option>-U</option> genutzt werden, um alle
@ -2610,17 +2610,31 @@ Quotas for user test:
      schützen,  die über erhebliche Mittel verfügen.
      Dieser Schutz ist unabhängig von der Art und Weise, durch
      die ein Angreifer Zugang zu einer Festplatte oder zu einem
-      Rechner erlangt hat.  Im Gegensatz zu schwerfälligen
+      Rechner erlangt hat.  Im Gegensatz zu anderen
-      Systemen, die einzelne Dateien verschlüsseln,
+      Verschlüsselungsmethoden, bei denen einzelne Dateien
-      verschlüsseln <application>gbde</application> und
+      verschlüsselt werden, verschlüsseln
-      <command>geli</command> transparent ganze Dateisysteme.  Auf der
+      <application>gbde</application> und <command>geli</command>
-      Festplatte werden dabei keine Daten im Klartext gespeichert.</para>
+      transparent ganze Dateisysteme.  Auf der Festplatte werden dabei
      keine Daten im Klartext gespeichert.</para>
    <sect2>
      <title>Plattenverschlüsselung mit
        <application>gbde</application></title>
-      <para>&man.gbde.8; benutzt 128-Bit <acronym>AES</acronym> im
+      <para>Das Ziel von &man.gbde.4; ist es, einen Angreifer vor eine
 	große Herausforderung zu stellen, um an die Daten einer
 	Festplatte zu gelangen.  Falls jedoch der Rechner
 	kompromittiert wurde, während er im Betrieb war und das
 	Speichergerät aktiv verbunden war, oder wenn der Angreifer
 	eine gültige Passphrase kennt, bietet dieses System keinen
 	Schutz für die Daten der Festplatte.  Daher ist es wichtig,
 	für die physische Sicherheit zu sorgen, während das System im
 	Betrieb ist.  Außerdem muss die Passphrase für den
 	Verschlüsselungsmechanismus geschützt werden.</para>
      <para>&man.gbde.4; besitzt einige Funktionen um die Daten,
 	die in einem Sektor gespeichert sind, zu schützen.  Es benutzt
 	128-Bit <acronym>AES</acronym> im
 	<acronym>CBC</acronym>-Modus, um die Daten eines Sektors zu
 	verschlüsseln.  Jeder Sektor einer Festplatte wird mit einem
 	anderen <acronym>AES</acronym>-Schlüssel verschlüsselt.
@ -2628,18 +2642,6 @@ Quotas for user test:
 	Schlüssel für einen Sektor aus der gegebenen Passphrase
 	ermittelt werden, finden Sie in &man.gbde.4;.</para>
      <note>
 	<para>&man.sysinstall.8; kann nicht mit verschlüsselten
 	  <application>gbde</application>-Geräten umgehen.  Vor
 	  dem Start von &man.sysinstall.8; müssen alle
 	  <filename>*.bde</filename>-Geräte deaktiviert werden, da
 	  &man.sysinstall.8; sonst bei der Suche nach abstürzt.  Das
 	  im Beispiel verwendete Gerät wird mit dem folgenden Befehl
 	  deaktiviert:</para>
 	<screen>&prompt.root; <userinput>gbde detach /dev/ad4s1c</userinput></screen>
      </note>
      <para>&os; enthält ein Kernelmodul für
 	<application>gbde</application>, das wie folgt geladen werden
 	kann:</para>
@ -2654,14 +2656,13 @@ Quotas for user test:
      <para>Das folgende Beispiel beschreibt, wie eine Partition
 	auf einer neuen Festplatte verschlüsselt wird.  Die
-	Partition wird in <filename>/private</filename> eingehangen.
+	Partition wird in <filename>/private</filename>
-	Mit <application>gbde</application> könnten auch
+	eingehangen.</para>
 	<filename>/home</filename> und <filename>/var/mail</filename>
 	verschlüsselt werden.  Die dazu nötigen Schritte
 	können allerdings in dieser Einführung
 	nicht behandelt werden.</para>
      <procedure>
 	<title>Eine Partition mit <application>gbde</application>
 	  verschlüsseln</title>
 	<step>
 	  <title>Installieren der Festplatte</title>
@ -2696,17 +2697,14 @@ Quotas for user test:
 	  <title>Vorbereiten der gbde-Partition</title>
 	  <para>Eine von <application>gbde</application> benutzte
-	    Partition muss einmalig vorbereitet werden:</para>
+	    Partition muss einmalig initialisiert werden, bevor
 	    sie benutzt werden kann.  Das Programm öffnet eine Vorlage
 	    im Standard-Editor, um verschiedene Optionen zu
 	    konfigurieren.  Setzen Sie <varname>sector_size</varname>
 	    auf <literal>2048</literal>, wenn Sie
 	    <acronym>UFS</acronym> benutzen:</para>
-	  <screen>&prompt.root; <userinput>gbde init /dev/ad4s1c -i -L /etc/gbde/ad4s1c.lock</userinput></screen>
+	  <screen>&prompt.root; <userinput>gbde init /dev/ad4s1c -i -L /etc/gbde/ad4s1c.lock</userinput># &dollar;FreeBSD: src/sbin/gbde/template.txt,v 1.1.36.1 2009/08/03 08:13:06 kensmith Exp $
 	  <para>&man.gbde.8; öffnet eine Vorlage im Standard-Editor,
 	    um verschiedene Optionen einstellen zu können.
 	    Setzen Sie <varname>sector_size</varname> auf
 	    <literal>2048</literal>, wenn Sie
 	    UFS1 oder UFS2 benutzen.</para>
 	  <programlisting># &dollar;FreeBSD: src/sbin/gbde/template.txt,v 1.1.36.1 2009/08/03 08:13:06 kensmith Exp $
 #
 # Sector size is the smallest unit of data which can be read or written.
 # Making it too small decreases performance and decreases available space.
@ -2714,34 +2712,33 @@ Quotas for user test:
 # minimum and always safe.  For UFS, use the fragment size
 #
 sector_size     =       2048
-[...]</programlisting>
+[...]</screen>
-	  <para>&man.gbde.8; fragt zweimal die Passphrase zum Schutz
+	  <para>Sobald die Änderungen gespeichert werden, wird der
-	    der Daten ab.  Die Passphrase muss beide Mal gleich
+	    Benutzer zweimal aufgefordert, die zum Schutz der Daten
 	    verwendete Passphrase einzugeben.  Die Passphrase muss beide Mal gleich
 	    eingegeben werden.  Die Sicherheit der Daten hängt allein
 	    von der Qualität der gewählten Passphrase ab.  Die Auswahl
 	    einer sicheren und leicht zu merkenden Passphrase wird auf
-	    der Webseite <link xlink:href="http://world.std.com/~reinhold/diceware.html">Diceware
+	    der Webseite <link
-	      Passphrase</link> beschrieben.</para>
+	      xlink:href="http://world.std.com/~reinhold/diceware.html">
 	      http://world.std.com/~reinhold/diceware.html</link>
 	    beschrieben.</para>
-	  <para>Mit <command>gbde init</command> wurde im Beispiel
+	  <para>Bei der Initialisierung wird eine Lock-Datei für die
-	    auch die Lock-Datei <filename>/etc/gbde/ad4s1c.lock</filename>
+	    <application>gbde</application>-Partition erstellt.  In
-	    angelegt.  <application>gbde</application>-Lockdateien
+	    diesem Beispiel
 	    <filename>/etc/gbde/ad4s1c.lock</filename>.  Lock-Dateien
 	    müssen die Dateiendung <quote>.lock</quote> aufweisen,
 	    damit sie von <filename>/etc/rc.d/gbde</filename>, dem
 	    Startskript von <application>gbde</application>, erkannt
 	    werden.</para>
 	  <caution>
-	    <para>Sichern Sie die Lock-Dateien von
+	    <para>Lock-Dateien müssen immer zusammen mit den
-	      <application>gbde</application> immer zusammen mit den
+	      verschlüsselten Dateisystemen gesichert werden.  Ohne
-	      verschlüsselten Dateisystemen.  Ein entschlossener
+	      die Lock-Datei können Sie allerdings nicht auf die
-	      Angreifer kann die Daten vielleicht auch ohne die
+	      verschlüsselten Daten zugreifen.</para>
 	      Lock-Datei entschlüsseln.  Ohne die Lock-Datei
 	      können Sie allerdings nicht auf die
 	      verschlüsselten Daten zugreifen.  Dies ist nur noch
 	      mit erheblichem manuellen Aufwand möglich, der nicht
 	      &man.gbde.8; wird.</para>
 	  </caution>
 	</step>
@ -2768,42 +2765,34 @@ sector_size     =       2048
 	    anlegen</title>
 	  <para>Nachdem die verschlüsselte Partition im Kernel
-	    eingebunden ist, kann mit &man.newfs.8; ein Dateisystem
+	    eingebunden ist, kann ein Dateisystem erstellt werden.
-	    erstellt werden.  Dieses Beispiel erstellt ein
+	    Dieses Beispiel erstellt ein
-	    UFS2-Dateisystem mit aktivierten Soft Updates.</para>
+	    <acronym>UFS</acronym>-Dateisystem mit aktivierten Soft
 	    Updates.  Achten Sie darauf, die Partition mit der
 	    Erweiterung
 	    <filename><replaceable>*</replaceable>.bde</filename>
 	    zu benutzen:</para>
 	  <screen>&prompt.root; <userinput>newfs -U -O2 /dev/ad4s1c.bde</userinput></screen>
 	  <note>
 	    <para>&man.newfs.8; muss auf einer eingebundenen
 	      <application>gbde</application>-Partition ausgeführt
 	      werden, welche durch das Suffix
 	      <filename><replaceable>*</replaceable>.bde</filename>
 	      identifiziert wird.</para>
 	  </note>
 	</step>
 	<step>
 	  <title>Einhängen der verschlüsselten Partition</title>
 	  <para>Legen Sie einen Mountpunkt für das
-	    verschlüsselte Dateisystem an:</para>
+	    verschlüsselte Dateisystem an.  Hängen Sie anschließend
 	    das Dateisystem ein:</para>
-	  <screen>&prompt.root; <userinput>mkdir /private</userinput></screen>
+	  <screen>&prompt.root; <userinput>mkdir /private</userinput>
-
+&prompt.root; <userinput>mount /dev/ad4s1c.bde /private</userinput></screen>
 	  <para>Hängen Sie das verschlüsselte Dateisystem
 	    ein:</para>
 	  <screen>&prompt.root; <userinput>mount /dev/ad4s1c.bde /private</userinput></screen>
 	</step>
 	<step>
 	  <title>Überprüfen des verschlüsselten
 	    Dateisystems</title>
-	  <para>Das verschlüsselte Dateisystem sollte jetzt
+	  <para>Das verschlüsselte Dateisystem sollte jetzt erkannt
-	    von &man.df.1; erkannt werden und benutzt werden
+	    und benutzt werden können:</para>
 	    können.</para>
 	  <screen>&prompt.user; <userinput>df -H</userinput>
 Filesystem        Size   Used  Avail Capacity  Mounted on
@ -2816,75 +2805,40 @@ Filesystem        Size   Used  Avail Capacity  Mounted on
 	</step>
      </procedure>
    <sect3>
      <title>Einhängen eines existierenden verschlüsselten
 	Dateisystems</title>
      <para>Nach jedem Neustart müssen verschlüsselte
 	Dateisysteme dem Kernel wieder bekannt gemacht werden,
 	auf Fehler überprüft werden und eingehangen
-	werden.  Die dazu nötigen Befehle müssen als
+	werden.  Für die dazu nötigen Schritte fügen Sie folgende
-	<systemitem class="username">root</systemitem> durchgeführt werden.</para>
+	Zeilen in <filename>/etc/rc.conf</filename> hinzu:</para>
      <procedure>
 	<step>
 	  <title>gbde-Partition im Kernel bekannt geben</title>
 	  <screen>&prompt.root; <userinput>gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c.lock</userinput></screen>
 	  <para>Dieses Kommando fragt nach der Passphrase, die
 	    während der Initialisierung der verschlüsselten
 	    <application>gbde</application>-Partition festgelegt
 	    wurde.</para>
 	</step>
 	<step>
 	  <title>Prüfen des Dateisystems</title>
 	  <para>Das verschlüsselte Dateisystem kann noch nicht
 	    automatisch über <filename>/etc/fstab</filename>
 	    eingehangen werden.  Daher muss es vor dem Einhängen
 	    mit &man.fsck.8; geprüft werden:</para>
 	  <screen>&prompt.root; <userinput>fsck -p -t ffs /dev/ad4s1c.bde</userinput></screen>
 	</step>
 	<step>
 	  <title>Einhängen des verschlüsselten
 	    Dateisystems</title>
 	  <screen>&prompt.root; <userinput>mount /dev/ad4s1c.bde /private</userinput></screen>
 	  <para>Das verschlüsselte Dateisystem steht danach
 	    zur Verfügung.</para>
 	</step>
      </procedure>
 	<para>Mit einem Skript können verschlüsselte
 	  Dateisysteme automatisch bekannt gegeben, geprüft
 	  und eingehangen werden.  Wir raten Ihnen allerdings
 	  aus Sicherheitsgründen davon ab.  Starten Sie das
 	  Skript manuell an der Konsole oder in einer
 	  &man.ssh.1;-Sitzung.</para>
 	<para>Alternativ existiert ein
 	  <filename>rc.d</filename>-Skript, an das über
 	  Einträge in &man.rc.conf.5; Argumente übergeben werden
 	  können:</para>
 	<programlisting>gbde_autoattach_all="YES"
-gbde_devices="ad4s1c"
+gbde_devices="<replaceable>ad4s1c</replaceable>"
 gbde_lockdir="/etc/gbde"</programlisting>
-	<para>Durch diese Argumente muss beim Systemstart die
+	<para>Durch diese Argumente muss beim Systemstart auf der
-	  <application>gbde</application>-Passphrase eingegeben werden.
+	  Konsole die Passphrase eingegeben werden.  Erst nach Eingabe
-	  Erst nach Eingabe der korrekten Passphrase wird die
+	  der korrekten Passphrase wird die verschlüsselte Partition
-	  <application>gbde</application>-verschlüsselte
+	  automatisch in den Verzeichnisbaum eingehängt.  Weitere
-	  Partition automatisch in den Verzeichnisbaum
+	  Bootoptionen von <application>gbde</application> finden Sie
-	  eingehängt.  Dieses Vorgehen ist
+	  in &man.rc.conf.5;.</para>
-	  nützlich, wenn <application>gbde</application> auf
+
-	  einem Laptop eingesetzt wird.</para>
+<!--
-      </sect3>
+What about bsdinstall?
 -->
 	<note>
 	  <para><application>sysinstall</application> ist nicht
 	    kompatibel mit
 	    <application>gbde</application>-verschlüsselten Geräten.
 	    Bevor <application>sysinstall</application> gestartet
 	    wird, müssen alle <filename>*.bde</filename> Geräte vom
 	    Kernel getrennt werden, da sonst der Kernel bei der
 	    ersten Suche nach Geräten abstürzt.  Um das verschlüsselte
 	    Gerät aus dem Beispiel zu trennen, benutzen Sie das
 	    folgende Kommando:</para>
 	  <screen>&prompt.root; <userinput>gbde detach /dev/<replaceable>ad4s1c</replaceable></userinput></screen>
 	</note>
    </sect2>
    <sect2 xml:id="disks-encrypting-geli">