diff options
Diffstat (limited to 'de_DE.ISO8859-1/books/handbook/disks/chapter.sgml')
| -rw-r--r-- | de_DE.ISO8859-1/books/handbook/disks/chapter.sgml | 359 |
1 files changed, 352 insertions, 7 deletions
diff --git a/de_DE.ISO8859-1/books/handbook/disks/chapter.sgml b/de_DE.ISO8859-1/books/handbook/disks/chapter.sgml index f17b15d860..007f3aac34 100644 --- a/de_DE.ISO8859-1/books/handbook/disks/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/disks/chapter.sgml @@ -3,8 +3,8 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/disks/chapter.sgml,v 1.73 2003/03/31 21:55:30 mheinen Exp $ - basiert auf: 1.145 + $FreeBSDde: de-docproj/books/handbook/disks/chapter.sgml,v 1.75 2003/05/18 15:00:31 mheinen Exp $ + basiert auf: 1.149 --> <chapter id="disks"> @@ -45,11 +45,15 @@ hinzufügen.</para> </listitem> <listitem><para>Wie virtuelle Dateisysteme, zum Beispiel RAM-Disks, - aufgesetzt werden.</para> + eingerichtet werden.</para> </listitem> <listitem><para>Wie Sie mit Quotas die Benutzung von Laufwerken einschränken können.</para> </listitem> + <listitem> + <para>Wie Sie Partitionen verschlüsseln, um Ihre Daten + zu schützen.</para> + </listitem> <listitem><para>Wie unter FreeBSD CDs und DVDs gebrannt werden.</para> </listitem> <listitem><para>Sie werden die Speichermedien, die Sie für @@ -161,9 +165,8 @@ hinzufügen, die momentan nur ein Laufwerk hat. Dazu schalten Sie zuerst den Rechner aus und installieren das Laufwerk entsprechend der Anleitungen Ihres Rechners, Ihres Controllers und Laufwerk - Herstellers. Wegen der großen Abweichungen in der genauen - Vorgehensweise würde eine detaillierte Beschreibung den Rahmen - dieses Dokumentes sprengen.</para> + Herstellers. Den genauen Ablauf können wir wegen der + großen Abweichungen leider nicht beschreiben.</para> <para>Nachdem Sie das Laufwerk installiert haben, melden Sie sich als Benutzer <username>root</username> an und kontrollieren Sie @@ -802,7 +805,7 @@ ar0: ATA RAID1 subdisks: ad4 ad6 status: REBUILDING 0% completed</screen> <para>Von <command>burncd</command> wird nur eine beschränkte Anzahl von Laufwerken unterstützt. Um herauszufinden, ob ein Laufwerk unterstützt wird, sehen Sie bitte unter - <ulink url="http://freebsd.dk/ata/">CD-R/RW supported drives</ulink> + <ulink url="http://www.freebsd.dk/ata/">CD-R/RW supported drives</ulink> nach.</para> </sect2> @@ -3022,6 +3025,348 @@ Filesystem 1K-blocks Used Avail Capacity Mounted on <screen>&prompt.root; <userinput>kill -HUP `cat /var/run/inetd.pid`</userinput></screen> </sect2> </sect1> + + <sect1 id="disks-encrypting"> + <sect1info> + <authorgroup> + <author> + <firstname>Lucky</firstname> + <surname>Green</surname> + <contrib>Beigetragen von </contrib> + <affiliation> + <address><email>shamrock@cypherpunks.to</email></address> + </affiliation> + </author> + </authorgroup> + <!-- 11 MARCH 2003 --> + </sect1info> + + <title>Partitionen verschlüsseln</title> + <indexterm> + <primary>Partitionen</primary> + <secondary>verschlüsseln</secondary> + </indexterm> + + <!-- I wonder if there is an SGML tag that would make Mandatory + Access Control the hyperlink? --> + <para>FreeBSD bietet ausgezeichnete Möglichkeiten, Daten vor + unberechtigten Zugriffen zu schützen. Wenn das + Betriebssystem läuft, schützen Zugriffsrechte und + vorgeschriebene Zugriffskontrollen (MAC) (siehe <xref linkend="mac">) + die Daten. Die Zugriffskontrollen des Betriebssystems schützen + allerdings nicht vor einem Angreifer, der Zugriff auf einen + abhanden gekommenen oder gestohlenen Rechner hat oder auf eine + andere Weise Zugriff auf einen Rechner erlangt. Der Angreifer + kann die Festplatte des Rechners in anderes System einbauen + und alle Daten für die weitere Verwendung kopieren.</para> + + <para><application>GEOM Based Disk Encryption (gbde)</application> + schützt Daten auf Dateisystemen auch vor hoch motivierten + Angreifern, die über erhebliche Mittel verfügen. + Der Schutz ist unabhängig von der Art und Weise, auf der + ein Angreifer Zugang zu einer Festplatte oder zu einem + Rechner erlangt hat. Im Gegensatz zu schwerfälligen + Systemen, die einzelne Dateien verschlüsseln, + verschlüsselt <application>gbde</application> transparent + ganze Dateisysteme. Auf der Festplatte werden keine Daten + im Klartext gespeichert.</para> + + <sect2> + <title>gbde im Kernel einrichten</title> + + <procedure> + <step> + <title>Wechseln sie zu <username>root</username></title> + + <para>Sie benötigen Superuser-Rechte, um + <application>gbde</application> einzurichten.</para> + + <screen>&prompt.user; <userinput>su -</userinput> +Password:</screen> + </step> + + <step> + <title>Überprüfen Sie die FreeBSD-Version</title> + + <para>&man.gbde.4; benötigt FreeBSD 5.0 + oder höher.</para> + + <screen>&prompt.root; <userinput>uname -r</userinput> +5.0-RELEASE</screen> + </step> + + <step> + <title>Aktivieren Sie &man.gbde.4; in + der Kernelkonfiguration</title> + + <para>Fügen Sie mit Ihrem Lieblingseditor die + folgende Zeile in die Kernelkonfiguration ein:</para> + + <para><filename>options GEOM_BDE</filename></para> + + <para>Übersetzen Sie den FreeBSD-Kernel. In + <xref linkend="kernelconfig"> werden die dazu + notwendigen Schritte erklärt.</para> + + <para>Starten sie das System neu, um den neuen Kernel + zu benutzen.</para> + </step> + </procedure> + </sect2> + + <sect2> + <title>Einrichten eines verschlüsselten Dateisystems</title> + + <para>Das folgende Beispiel beschreibt, wie ein Dateisystem + auf einer neuen Festplatte verschlüsselt wird. Das + Dateisystem wird in <filename>/private</filename> eingehangen. + Mit <application>gbde</application> könnten auch + <filename>/home</filename> und <filename>/var/mail</filename> + verschlüsselt werden. Die dazu nötigen Schritte + können allerdings in dieser Einführung + nicht behandelt werden.</para> + + <procedure> + <step> + <title>Installieren der Festplatte</title> + + <para>Installieren Sie die Festplatte wie in + <xref linkend="disks-adding"> beschrieben. Im Beispiel + verwenden wir die Partition <filename>/dev/ad4s1c</filename>. + Das FreeBSD-System wurde vorher schon in die Partition + <filename>/dev/ad0s1</filename> installiert.</para> + + <screen>&prompt.root; <userinput>ls /dev/ad*</userinput> +/dev/ad0 /dev/ad0s1b /dev/ad0s1e /dev/ad4s1 +/dev/ad0s1 /dev/ad0s1c /dev/ad0s1f /dev/ad4s1c +/dev/ad0s1a /dev/ad0s1d /dev/ad4</screen> + </step> + + <step> + <title>Verzeichnis für GBDE Lock-Dateien anlegen</title> + + <screen>&prompt.root; <userinput>mkdir /etc/gbde</userinput></screen> + + <para>Die Lock-Dateien sind für den Zugriff von + <application>gbde</application> auf verschlüsselte + Partitionen notwendig. Ohne die Lock-Dateien können + die Daten nur mit erheblichem manuellen Aufwand wieder + entschlüsselt werden (dies wird auch von der Software + nicht unterstützt). Jede verschlüsselte + Partition benötigt eine gesonderte Lock-Datei.</para> + </step> + + <step> + <title>Vorbereiten der gbde-Partition</title> + + <para>Eine von <application>gbde</application> benutzte + Partition muss einmalig vorbereitet werden:</para> + + <screen>&prompt.root; <userinput>gbde init /dev/ad4s1c -i -L /etc/gbde/ad4s1c</userinput></screen> + + <para>&man.gbde.8; öffnet eine Vorlage in Ihrem Editor, + in der Sie verschiedene Optionen einstellen können. + Setzen Sie <varname>sector_size</varname> auf + <literal>2048</literal>, wenn Sie + <application>gbde</application> mit UFS oder UFS2 + benutzen.</para> + + <programlisting>$<!-- This is not the space you are looking +for-->FreeBSD: src/sbin/gbde/template.txt,v 1.1 2002/10/20 11:16:13 phk Exp $ +# +# Sector size is the smallest unit of data which can be read or written. +# Making it too small decreases performance and decreases available space. +# Making it too large may prevent filesystems from working. 512 is the +# minimum and always safe. For UFS, use the fragment size +# +sector_size = 2048 +[...] +</programlisting> + + <para>&man.gbde.8; fragt dann zweimal eine Passphrase + zum Schutz der Daten ab. Die Passphrase muss beides + Mal gleich eingegeben werden. Die Sicherheit der + Daten hängt alleine von der Qualität der + gewählten Passphrase ab.</para> + + <para>Die Auswahl einer sicheren und leicht zu merkenden + Passphrase wird auf der Webseite <ulink + url="http://world.std.com/~reinhold/diceware.html">Diceware + Passphrase</ulink> beschrieben.</para> + + <para>Mit <command>gbde init</command> wurde im Beispiel + auch eine Lock-Datei in + <filename>/etc/gbde/ad4s1c</filename> angelegt.</para> + + <caution> + <para>Sichern Sie die Lock-Dateien von + <application>gbde</application> immer zusammen mit den + verschlüsselten Dateisystemen. Ein entschlossener + Angreifer kann die Daten vielleicht auch ohne die + Lock-Datei entschlüsseln. Ohne die Lock-Datei + können Sie allerdings nicht auf die + verschlüsselten Daten zugreifen. Dies ist nur noch + mit erheblichem manuellen Aufwand möglich, der + weder von &man.gbde.8; noch seinem Entwickler + unterstützt wird.</para> + </caution> + </step> + + <step> + <title>Einbinden der verschlüsselten Partition + in den Kernel</title> + + <screen>&prompt.root; <userinput>gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c</userinput></screen> + + <para>Das Kommando fragt die Passphrase ab, die Sie + beim Vorbereiten der Partition eingegeben haben. Das + neue Gerät erscheint danach als + <filename>/dev/device_name.bde</filename> im + Verzeichnis <filename>/dev</filename>:</para> + + <screen>&prompt.root; <userinput>ls /dev/ad*</userinput> +/dev/ad0 /dev/ad0s1b /dev/ad0s1e /dev/ad4s1 +/dev/ad0s1 /dev/ad0s1c /dev/ad0s1f /dev/ad4s1c +/dev/ad0s1a /dev/ad0s1d /dev/ad4 /dev/ad4s1c.bde</screen> + </step> + + <step> + <title>Dateisystem auf dem verschlüsselten Gerät + anlegen</title> + + <para>Wenn der Kernel die verschlüsselte Partition + kennt, können Sie ein Dateisystem auf ihr anlegen. + Benutzen Sie dazu den Befehl &man.newfs.8;. Da ein + Dateisystem vom Typ UFS2 sehr viel schneller als eins + vom Typ UFS angelegt wird, empfehlen wir Ihnen, die + Option <command>-O2</command> zu benutzen.</para> + + <screen>&prompt.root; <userinput>newfs -U -O2 /dev/ad4s1c.bde</userinput></screen> + + <note> + <para>&man.newfs.8; muss auf einer dem Kernel bekannten + <application>gbde</application>-Partition (einem + Gerät mit der Erweiterung + <devicename>.bde</devicename> laufen.</para> + </note> + </step> + + <step> + <title>Einhängen der verschlüsselten Partition</title> + + <para>Legen Sie einen Mountpunkt für das + verschlüsselte Dateisystem an:</para> + + <screen>&prompt.root; <userinput>mkdir /private</userinput></screen> + + <para>Hängen Sie das verschlüsselte Dateisystem + ein:</para> + + <screen>&prompt.root; <userinput>mount /dev/ad4s1c.bde /private</userinput></screen> + </step> + + <step> + <title>Überprüfen des verschlüsselten + Dateisystem</title> + + <para>Das verschlüsselte Dateisystem sollte jetzt + von &man.df.1; erkannt werden und benutzt werden + können.</para> + + <screen>&prompt.user; <userinput>df -H</userinput> +Filesystem Size Used Avail Capacity Mounted on +/dev/ad0s1a 1037M 72M 883M 8% / +/devfs 1.0K 1.0K 0B 100% /dev +/dev/ad0s1f 8.1G 55K 7.5G 0% /home +/dev/ad0s1e 1037M 1.1M 953M 0% /tmp +/dev/ad0s1d 6.1G 1.9G 3.7G 35% /usr +/dev/ad4s1c.bde 150G 4.1K 138G 0% /private</screen> + </step> + </procedure> + </sect2> + + <sect2> + <title>Einhängen eines existierenden verschlüsselten + Dateisystems</title> + + <para>Nach jedem Neustart müssen verschlüsselte + Dateisysteme dem Kernel wieder bekannt gemacht werden, + auf Fehler überprüft werden und eingehangen + werden. Die dazu nötigen Befehle müssen als + <username>root</username> durchgeführt werden.</para> + + <procedure> + <step> + <title>gbde-Partition im Kernel bekannt geben</title> + + <screen>&prompt.root; <userinput>gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c</userinput></screen> + + <para>Das Kommando fragt nach der Passphrase, die Sie + beim Vorbereiten der Partition eingegeben haben.</para> + </step> + + <step> + <title>Prüfen des Dateisystems</title> + + <para>Das verschlüsselte Dateisystem kann nicht + automatisch über <filename>/etc/fstab</filename> + eingehangen werden. Daher sollte es auch nicht in + <filename>/etc/fstab</filename> aufgeführt sein. + Bevor das Dateisystem eingehangen werden kann, muss es + mit &man.fsck.8; geprüft werden:</para> + + <screen>&prompt.root; <userinput>fsck -p -t ffs /dev/ad4s1c.bde</userinput></screen> + </step> + + <step> + <title>Einhängen des verschlüsselten + Dateisystems</title> + + <screen>&prompt.root; <userinput>mount /dev/ad4s1c.bde /private</userinput></screen> + + <para>Das verschlüsselte Dateisystem steht danach + zur Verfügung.</para> + </step> + </procedure> + + <sect3> + <title>Verschlüsselte Dateisysteme automatisch + einhängen</title> + + <para>Mit einem Skript können verschlüsselte + Dateisysteme automatisch bekannt gegeben, geprüft + und eingehangen werden. Wir raten Ihnen allerdings + aus Sicherheitsgründen davon ab. Starten Sie das + Skript manuell an der Konsole oder in einer + &man.ssh.1;-Sitzung.</para> + </sect3> + + <sect2> + <title>Kryptographische Methoden von gbde</title> + + <para>&man.gbde.8; benutzt den 128-Bit AES im CBC-Modus, + um die Daten eines Sektors zu verschlüsseln. Jeder + Sektor einer Festplatte wird mit einem unterschiedlichen + AES-Schlüssel verschlüsselt. Mehr Informationen, + unter anderem wie die Schlüssel für einen Sektor + aus der gegebenen Passphrase ermittelt werden, erhalten + Sie in &man.gbde.4;.</para> + </sect2> + + <sect2> + <title>Kompatibilität</title> + + <para>&man.sysinstall.8; kann nicht mit verschlüsselten + <application>gbde</application>-Geräten umgehen. Vor + dem Start von &man.sysinstall.8; sind alle + <devicename>*.bde</devicename>-Geräte zu deaktivieren, + da &man.sysinstall.8; sonst bei der Gerätesuche + abstürzt. Das im Beispiel verwendete Gerät + wird mit dem folgenden Befehl deaktiviert:</para> + + <screen>&prompt.root; <userinput>gbde detach /dev/ad4s1c</userinput></screen> + </sect2> + </sect1> </chapter> <!-- |