Windowsでは、ディスクの暗号化に TrueCryptを使っている。
TrueCryptのLinux版はあるらしいけど、FreeBSDにはない。
で、最近FreeBSDのメーリングリストを見ていたら、gbdeって言うのとgeliって言うのがあるらしい。
FreeBSD6以降であれば、geliがメジャーになるのではないかと言うことで、ちょっとだけ試してみた。
上の例だと、4Mのメモリディスクを作成し、そこにgeliを初期化し、ファイルシステムを作り、マウントしている。
この例だとパスフレーズのみを使っているが、キーファイルを使うこともできるらしい。
/boot/loader.conf に書けば、/ を暗号化すること(/boot以外の全てのパーティション)も、swapを暗号化することもできるらしい。
この辺を真面目に使っておくと、マシンやHDDを廃棄するときにあまり考えずに行うことができそうだ。
# 遠隔地からリブートすると、パスフレーズ入れないと立ち上がらない状態になるけどね。
TrueCryptのLinux版はあるらしいけど、FreeBSDにはない。
で、最近FreeBSDのメーリングリストを見ていたら、gbdeって言うのとgeliって言うのがあるらしい。
FreeBSD6以降であれば、geliがメジャーになるのではないかと言うことで、ちょっとだけ試してみた。
# mdconfig -a -t malloc -s 4m
md0
# geli init /dev/md0
Enter new passphrase:
Reenter new passphrase:
# geli attach /dev/md0
Enter passphrase:
# newfs /dev/md0.eli
/dev/md0.eli: 4.0MB (8188 sectors) block size 16384, fragment size 2048
using 4 cylinder groups of 1.00MB, 64 blks, 128 inodes.
super-block backups (for fsck -b #) at:
160, 2208, 4256, 6304
# mount /dev/md0.eli /mnt
/mntを読み書きする
# umount /mnt
# geli detach /dev/md0
# mdconfig -d -u 0
ここでは、コマンドの雰囲気を掴みたかっただけなので、意味があることはしていない。上の例だと、4Mのメモリディスクを作成し、そこにgeliを初期化し、ファイルシステムを作り、マウントしている。
この例だとパスフレーズのみを使っているが、キーファイルを使うこともできるらしい。
/boot/loader.conf に書けば、/ を暗号化すること(/boot以外の全てのパーティション)も、swapを暗号化することもできるらしい。
この辺を真面目に使っておくと、マシンやHDDを廃棄するときにあまり考えずに行うことができそうだ。
# 遠隔地からリブートすると、パスフレーズ入れないと立ち上がらない状態になるけどね。
カテゴリ
FreeBSDトラックバック(0)
このブログ記事を参照しているブログ一覧: geli
このブログ記事に対するトラックバックURL: https://www.wizard-limit.net/cgi-bin/mt/mt-tb.cgi/1081
コメントする