Date: Sat, 7 May 2016 11:10:14 +0000 (UTC) From: Bjoern Heidotting <bhd@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48782 - head/de_DE.ISO8859-1/books/handbook/disks Message-ID: <201605071110.u47BAE1b069670@repo.freebsd.org>
next in thread | raw e-mail | index | archive | help
Author: bhd Date: Sat May 7 11:10:14 2016 New Revision: 48782 URL: https://svnweb.freebsd.org/changeset/doc/48782 Log: Update to r44686: Editorial review of gbde section. Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D6256 Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Fri May 6 21:34:06 2016 (r48781) +++ head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Sat May 7 11:10:14 2016 (r48782) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/disks/chapter.xml,v 1.187 2012/04/26 19:32:48 bcr Exp $ - basiert auf: r44648 + basiert auf: r44686 --> <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="disks"> <info><title>Speichermedien</title> @@ -877,8 +877,8 @@ scsibus1: <para>Es gibt einige Optionen, um die Beschränkungen dieses Standards zu überwinden. Die unter &unix; Systemen üblichen Rock-Ridge-Erweiterungen werden durch <option>-R</option> - aktiviert und <option>-J</option> aktiviert die von Microsoft - Systemen benutzten Joliet-Erweiterungen.</para> + aktiviert und <option>-J</option> aktiviert die von + µsoft; Systemen benutzten Joliet-Erweiterungen.</para> <para>Für <acronym>CD</acronym>s, die nur auf &os;-Systemen verwendet werden sollen, kann <option>-U</option> genutzt werden, um alle @@ -2610,17 +2610,31 @@ Quotas for user test: schützen, die über erhebliche Mittel verfügen. Dieser Schutz ist unabhängig von der Art und Weise, durch die ein Angreifer Zugang zu einer Festplatte oder zu einem - Rechner erlangt hat. Im Gegensatz zu schwerfälligen - Systemen, die einzelne Dateien verschlüsseln, - verschlüsseln <application>gbde</application> und - <command>geli</command> transparent ganze Dateisysteme. Auf der - Festplatte werden dabei keine Daten im Klartext gespeichert.</para> + Rechner erlangt hat. Im Gegensatz zu anderen + Verschlüsselungsmethoden, bei denen einzelne Dateien + verschlüsselt werden, verschlüsseln + <application>gbde</application> und <command>geli</command> + transparent ganze Dateisysteme. Auf der Festplatte werden dabei + keine Daten im Klartext gespeichert.</para> <sect2> <title>Plattenverschlüsselung mit <application>gbde</application></title> - <para>&man.gbde.8; benutzt 128-Bit <acronym>AES</acronym> im + <para>Das Ziel von &man.gbde.4; ist es, einen Angreifer vor eine + große Herausforderung zu stellen, um an die Daten einer + Festplatte zu gelangen. Falls jedoch der Rechner + kompromittiert wurde, während er im Betrieb war und das + Speichergerät aktiv verbunden war, oder wenn der Angreifer + eine gültige Passphrase kennt, bietet dieses System keinen + Schutz für die Daten der Festplatte. Daher ist es wichtig, + für die physische Sicherheit zu sorgen, während das System im + Betrieb ist. Außerdem muss die Passphrase für den + Verschlüsselungsmechanismus geschützt werden.</para> + + <para>&man.gbde.4; besitzt einige Funktionen um die Daten, + die in einem Sektor gespeichert sind, zu schützen. Es benutzt + 128-Bit <acronym>AES</acronym> im <acronym>CBC</acronym>-Modus, um die Daten eines Sektors zu verschlüsseln. Jeder Sektor einer Festplatte wird mit einem anderen <acronym>AES</acronym>-Schlüssel verschlüsselt. @@ -2628,18 +2642,6 @@ Quotas for user test: Schlüssel für einen Sektor aus der gegebenen Passphrase ermittelt werden, finden Sie in &man.gbde.4;.</para> - <note> - <para>&man.sysinstall.8; kann nicht mit verschlüsselten - <application>gbde</application>-Geräten umgehen. Vor - dem Start von &man.sysinstall.8; müssen alle - <filename>*.bde</filename>-Geräte deaktiviert werden, da - &man.sysinstall.8; sonst bei der Suche nach abstürzt. Das - im Beispiel verwendete Gerät wird mit dem folgenden Befehl - deaktiviert:</para> - - <screen>&prompt.root; <userinput>gbde detach /dev/ad4s1c</userinput></screen> - </note> - <para>&os; enthält ein Kernelmodul für <application>gbde</application>, das wie folgt geladen werden kann:</para> @@ -2654,14 +2656,13 @@ Quotas for user test: <para>Das folgende Beispiel beschreibt, wie eine Partition auf einer neuen Festplatte verschlüsselt wird. Die - Partition wird in <filename>/private</filename> eingehangen. - Mit <application>gbde</application> könnten auch - <filename>/home</filename> und <filename>/var/mail</filename> - verschlüsselt werden. Die dazu nötigen Schritte - können allerdings in dieser Einführung - nicht behandelt werden.</para> + Partition wird in <filename>/private</filename> + eingehangen.</para> <procedure> + <title>Eine Partition mit <application>gbde</application> + verschlüsseln</title> + <step> <title>Installieren der Festplatte</title> @@ -2696,17 +2697,14 @@ Quotas for user test: <title>Vorbereiten der gbde-Partition</title> <para>Eine von <application>gbde</application> benutzte - Partition muss einmalig vorbereitet werden:</para> + Partition muss einmalig initialisiert werden, bevor + sie benutzt werden kann. Das Programm öffnet eine Vorlage + im Standard-Editor, um verschiedene Optionen zu + konfigurieren. Setzen Sie <varname>sector_size</varname> + auf <literal>2048</literal>, wenn Sie + <acronym>UFS</acronym> benutzen:</para> - <screen>&prompt.root; <userinput>gbde init /dev/ad4s1c -i -L /etc/gbde/ad4s1c.lock</userinput></screen> - - <para>&man.gbde.8; öffnet eine Vorlage im Standard-Editor, - um verschiedene Optionen einstellen zu können. - Setzen Sie <varname>sector_size</varname> auf - <literal>2048</literal>, wenn Sie - UFS1 oder UFS2 benutzen.</para> - - <programlisting># $FreeBSD: src/sbin/gbde/template.txt,v 1.1.36.1 2009/08/03 08:13:06 kensmith Exp $ + <screen>&prompt.root; <userinput>gbde init /dev/ad4s1c -i -L /etc/gbde/ad4s1c.lock</userinput># $FreeBSD: src/sbin/gbde/template.txt,v 1.1.36.1 2009/08/03 08:13:06 kensmith Exp $ # # Sector size is the smallest unit of data which can be read or written. # Making it too small decreases performance and decreases available space. @@ -2714,34 +2712,33 @@ Quotas for user test: # minimum and always safe. For UFS, use the fragment size # sector_size = 2048 -[...]</programlisting> +[...]</screen> - <para>&man.gbde.8; fragt zweimal die Passphrase zum Schutz - der Daten ab. Die Passphrase muss beide Mal gleich + <para>Sobald die Änderungen gespeichert werden, wird der + Benutzer zweimal aufgefordert, die zum Schutz der Daten + verwendete Passphrase einzugeben. Die Passphrase muss beide Mal gleich eingegeben werden. Die Sicherheit der Daten hängt allein von der Qualität der gewählten Passphrase ab. Die Auswahl einer sicheren und leicht zu merkenden Passphrase wird auf - der Webseite <link xlink:href="http://world.std.com/~reinhold/diceware.html">Diceware - Passphrase</link> beschrieben.</para> - - <para>Mit <command>gbde init</command> wurde im Beispiel - auch die Lock-Datei <filename>/etc/gbde/ad4s1c.lock</filename> - angelegt. <application>gbde</application>-Lockdateien + der Webseite <link + xlink:href="http://world.std.com/~reinhold/diceware.html"> + http://world.std.com/~reinhold/diceware.html</link> + beschrieben.</para> + + <para>Bei der Initialisierung wird eine Lock-Datei für die + <application>gbde</application>-Partition erstellt. In + diesem Beispiel + <filename>/etc/gbde/ad4s1c.lock</filename>. Lock-Dateien müssen die Dateiendung <quote>.lock</quote> aufweisen, damit sie von <filename>/etc/rc.d/gbde</filename>, dem Startskript von <application>gbde</application>, erkannt werden.</para> <caution> - <para>Sichern Sie die Lock-Dateien von - <application>gbde</application> immer zusammen mit den - verschlüsselten Dateisystemen. Ein entschlossener - Angreifer kann die Daten vielleicht auch ohne die - Lock-Datei entschlüsseln. Ohne die Lock-Datei - können Sie allerdings nicht auf die - verschlüsselten Daten zugreifen. Dies ist nur noch - mit erheblichem manuellen Aufwand möglich, der nicht - &man.gbde.8; wird.</para> + <para>Lock-Dateien müssen immer zusammen mit den + verschlüsselten Dateisystemen gesichert werden. Ohne + die Lock-Datei können Sie allerdings nicht auf die + verschlüsselten Daten zugreifen.</para> </caution> </step> @@ -2768,42 +2765,34 @@ sector_size = 2048 anlegen</title> <para>Nachdem die verschlüsselte Partition im Kernel - eingebunden ist, kann mit &man.newfs.8; ein Dateisystem - erstellt werden. Dieses Beispiel erstellt ein - UFS2-Dateisystem mit aktivierten Soft Updates.</para> + eingebunden ist, kann ein Dateisystem erstellt werden. + Dieses Beispiel erstellt ein + <acronym>UFS</acronym>-Dateisystem mit aktivierten Soft + Updates. Achten Sie darauf, die Partition mit der + Erweiterung + <filename><replaceable>*</replaceable>.bde</filename> + zu benutzen:</para> <screen>&prompt.root; <userinput>newfs -U -O2 /dev/ad4s1c.bde</userinput></screen> - - <note> - <para>&man.newfs.8; muss auf einer eingebundenen - <application>gbde</application>-Partition ausgeführt - werden, welche durch das Suffix - <filename><replaceable>*</replaceable>.bde</filename> - identifiziert wird.</para> - </note> </step> <step> <title>Einhängen der verschlüsselten Partition</title> <para>Legen Sie einen Mountpunkt für das - verschlüsselte Dateisystem an:</para> - - <screen>&prompt.root; <userinput>mkdir /private</userinput></screen> + verschlüsselte Dateisystem an. Hängen Sie anschließend + das Dateisystem ein:</para> - <para>Hängen Sie das verschlüsselte Dateisystem - ein:</para> - - <screen>&prompt.root; <userinput>mount /dev/ad4s1c.bde /private</userinput></screen> + <screen>&prompt.root; <userinput>mkdir /private</userinput> +&prompt.root; <userinput>mount /dev/ad4s1c.bde /private</userinput></screen> </step> <step> <title>Überprüfen des verschlüsselten Dateisystems</title> - <para>Das verschlüsselte Dateisystem sollte jetzt - von &man.df.1; erkannt werden und benutzt werden - können.</para> + <para>Das verschlüsselte Dateisystem sollte jetzt erkannt + und benutzt werden können:</para> <screen>&prompt.user; <userinput>df -H</userinput> Filesystem Size Used Avail Capacity Mounted on @@ -2816,75 +2805,40 @@ Filesystem Size Used Avail Cap </step> </procedure> - <sect3> - <title>Einhängen eines existierenden verschlüsselten - Dateisystems</title> - <para>Nach jedem Neustart müssen verschlüsselte Dateisysteme dem Kernel wieder bekannt gemacht werden, auf Fehler überprüft werden und eingehangen - werden. Die dazu nötigen Befehle müssen als - <systemitem class="username">root</systemitem> durchgeführt werden.</para> - - <procedure> - <step> - <title>gbde-Partition im Kernel bekannt geben</title> - - <screen>&prompt.root; <userinput>gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c.lock</userinput></screen> - - <para>Dieses Kommando fragt nach der Passphrase, die - während der Initialisierung der verschlüsselten - <application>gbde</application>-Partition festgelegt - wurde.</para> - </step> + werden. Für die dazu nötigen Schritte fügen Sie folgende + Zeilen in <filename>/etc/rc.conf</filename> hinzu:</para> - <step> - <title>Prüfen des Dateisystems</title> - - <para>Das verschlüsselte Dateisystem kann noch nicht - automatisch über <filename>/etc/fstab</filename> - eingehangen werden. Daher muss es vor dem Einhängen - mit &man.fsck.8; geprüft werden:</para> - - <screen>&prompt.root; <userinput>fsck -p -t ffs /dev/ad4s1c.bde</userinput></screen> - </step> - - <step> - <title>Einhängen des verschlüsselten - Dateisystems</title> + <programlisting>gbde_autoattach_all="YES" +gbde_devices="<replaceable>ad4s1c</replaceable>" +gbde_lockdir="/etc/gbde"</programlisting> - <screen>&prompt.root; <userinput>mount /dev/ad4s1c.bde /private</userinput></screen> + <para>Durch diese Argumente muss beim Systemstart auf der + Konsole die Passphrase eingegeben werden. Erst nach Eingabe + der korrekten Passphrase wird die verschlüsselte Partition + automatisch in den Verzeichnisbaum eingehängt. Weitere + Bootoptionen von <application>gbde</application> finden Sie + in &man.rc.conf.5;.</para> - <para>Das verschlüsselte Dateisystem steht danach - zur Verfügung.</para> - </step> - </procedure> - - <para>Mit einem Skript können verschlüsselte - Dateisysteme automatisch bekannt gegeben, geprüft - und eingehangen werden. Wir raten Ihnen allerdings - aus Sicherheitsgründen davon ab. Starten Sie das - Skript manuell an der Konsole oder in einer - &man.ssh.1;-Sitzung.</para> - - <para>Alternativ existiert ein - <filename>rc.d</filename>-Skript, an das über - Einträge in &man.rc.conf.5; Argumente übergeben werden - können:</para> +<!-- +What about bsdinstall? +--> - <programlisting>gbde_autoattach_all="YES" -gbde_devices="ad4s1c" -gbde_lockdir="/etc/gbde"</programlisting> + <note> + <para><application>sysinstall</application> ist nicht + kompatibel mit + <application>gbde</application>-verschlüsselten Geräten. + Bevor <application>sysinstall</application> gestartet + wird, müssen alle <filename>*.bde</filename> Geräte vom + Kernel getrennt werden, da sonst der Kernel bei der + ersten Suche nach Geräten abstürzt. Um das verschlüsselte + Gerät aus dem Beispiel zu trennen, benutzen Sie das + folgende Kommando:</para> - <para>Durch diese Argumente muss beim Systemstart die - <application>gbde</application>-Passphrase eingegeben werden. - Erst nach Eingabe der korrekten Passphrase wird die - <application>gbde</application>-verschlüsselte - Partition automatisch in den Verzeichnisbaum - eingehängt. Dieses Vorgehen ist - nützlich, wenn <application>gbde</application> auf - einem Laptop eingesetzt wird.</para> - </sect3> + <screen>&prompt.root; <userinput>gbde detach /dev/<replaceable>ad4s1c</replaceable></userinput></screen> + </note> </sect2> <sect2 xml:id="disks-encrypting-geli">
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201605071110.u47BAE1b069670>