Skip site navigation (1)Skip section navigation (2)
Date:      Sat, 7 May 2016 11:10:14 +0000 (UTC)
From:      Bjoern Heidotting <bhd@FreeBSD.org>
To:        doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org
Subject:   svn commit: r48782 - head/de_DE.ISO8859-1/books/handbook/disks
Message-ID:  <201605071110.u47BAE1b069670@repo.freebsd.org>

next in thread | raw e-mail | index | archive | help
Author: bhd
Date: Sat May  7 11:10:14 2016
New Revision: 48782
URL: https://svnweb.freebsd.org/changeset/doc/48782

Log:
  Update to r44686:
  
  Editorial review of gbde section.
  
  Reviewed by:	bcr
  Differential Revision:	https://reviews.freebsd.org/D6256

Modified:
  head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml

Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml
==============================================================================
--- head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml	Fri May  6 21:34:06 2016	(r48781)
+++ head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml	Sat May  7 11:10:14 2016	(r48782)
@@ -5,7 +5,7 @@
 
      $FreeBSD$
      $FreeBSDde: de-docproj/books/handbook/disks/chapter.xml,v 1.187 2012/04/26 19:32:48 bcr Exp $
-     basiert auf: r44648
+     basiert auf: r44686
 -->
 <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="disks">
   <info><title>Speichermedien</title>
@@ -877,8 +877,8 @@ scsibus1:
       <para>Es gibt einige Optionen, um die Beschränkungen dieses
 	Standards zu überwinden.  Die unter &unix; Systemen üblichen
 	Rock-Ridge-Erweiterungen werden durch <option>-R</option>
-	aktiviert und <option>-J</option> aktiviert die von Microsoft
-	Systemen benutzten Joliet-Erweiterungen.</para>
+	aktiviert und <option>-J</option> aktiviert die von
+	&microsoft; Systemen benutzten Joliet-Erweiterungen.</para>
 
       <para>Für <acronym>CD</acronym>s, die nur auf &os;-Systemen verwendet werden
 	sollen, kann <option>-U</option> genutzt werden, um alle
@@ -2610,17 +2610,31 @@ Quotas for user test:
       schützen,  die über erhebliche Mittel verfügen.
       Dieser Schutz ist unabhängig von der Art und Weise, durch
       die ein Angreifer Zugang zu einer Festplatte oder zu einem
-      Rechner erlangt hat.  Im Gegensatz zu schwerfälligen
-      Systemen, die einzelne Dateien verschlüsseln,
-      verschlüsseln <application>gbde</application> und
-      <command>geli</command> transparent ganze Dateisysteme.  Auf der
-      Festplatte werden dabei keine Daten im Klartext gespeichert.</para>
+      Rechner erlangt hat.  Im Gegensatz zu anderen
+      Verschlüsselungsmethoden, bei denen einzelne Dateien
+      verschlüsselt werden, verschlüsseln
+      <application>gbde</application> und <command>geli</command>
+      transparent ganze Dateisysteme.  Auf der Festplatte werden dabei
+      keine Daten im Klartext gespeichert.</para>
 
     <sect2>
       <title>Plattenverschlüsselung mit
         <application>gbde</application></title>
 
-      <para>&man.gbde.8; benutzt 128-Bit <acronym>AES</acronym> im
+      <para>Das Ziel von &man.gbde.4; ist es, einen Angreifer vor eine
+	große Herausforderung zu stellen, um an die Daten einer
+	Festplatte zu gelangen.  Falls jedoch der Rechner
+	kompromittiert wurde, während er im Betrieb war und das
+	Speichergerät aktiv verbunden war, oder wenn der Angreifer
+	eine gültige Passphrase kennt, bietet dieses System keinen
+	Schutz für die Daten der Festplatte.  Daher ist es wichtig,
+	für die physische Sicherheit zu sorgen, während das System im
+	Betrieb ist.  Außerdem muss die Passphrase für den
+	Verschlüsselungsmechanismus geschützt werden.</para>
+
+      <para>&man.gbde.4; besitzt einige Funktionen um die Daten,
+	die in einem Sektor gespeichert sind, zu schützen.  Es benutzt
+	128-Bit <acronym>AES</acronym> im
 	<acronym>CBC</acronym>-Modus, um die Daten eines Sektors zu
 	verschlüsseln.  Jeder Sektor einer Festplatte wird mit einem
 	anderen <acronym>AES</acronym>-Schlüssel verschlüsselt.
@@ -2628,18 +2642,6 @@ Quotas for user test:
 	Schlüssel für einen Sektor aus der gegebenen Passphrase
 	ermittelt werden, finden Sie in &man.gbde.4;.</para>
 
-      <note>
-	<para>&man.sysinstall.8; kann nicht mit verschlüsselten
-	  <application>gbde</application>-Geräten umgehen.  Vor
-	  dem Start von &man.sysinstall.8; müssen alle
-	  <filename>*.bde</filename>-Geräte deaktiviert werden, da
-	  &man.sysinstall.8; sonst bei der Suche nach abstürzt.  Das
-	  im Beispiel verwendete Gerät wird mit dem folgenden Befehl
-	  deaktiviert:</para>
-
-	<screen>&prompt.root; <userinput>gbde detach /dev/ad4s1c</userinput></screen>
-      </note>
-
       <para>&os; enthält ein Kernelmodul für
 	<application>gbde</application>, das wie folgt geladen werden
 	kann:</para>
@@ -2654,14 +2656,13 @@ Quotas for user test:
 
       <para>Das folgende Beispiel beschreibt, wie eine Partition
 	auf einer neuen Festplatte verschlüsselt wird.  Die
-	Partition wird in <filename>/private</filename> eingehangen.
-	Mit <application>gbde</application> könnten auch
-	<filename>/home</filename> und <filename>/var/mail</filename>
-	verschlüsselt werden.  Die dazu nötigen Schritte
-	können allerdings in dieser Einführung
-	nicht behandelt werden.</para>
+	Partition wird in <filename>/private</filename>
+	eingehangen.</para>
 
       <procedure>
+	<title>Eine Partition mit <application>gbde</application>
+	  verschlüsseln</title>
+
 	<step>
 	  <title>Installieren der Festplatte</title>
 
@@ -2696,17 +2697,14 @@ Quotas for user test:
 	  <title>Vorbereiten der gbde-Partition</title>
 
 	  <para>Eine von <application>gbde</application> benutzte
-	    Partition muss einmalig vorbereitet werden:</para>
+	    Partition muss einmalig initialisiert werden, bevor
+	    sie benutzt werden kann.  Das Programm öffnet eine Vorlage
+	    im Standard-Editor, um verschiedene Optionen zu
+	    konfigurieren.  Setzen Sie <varname>sector_size</varname>
+	    auf <literal>2048</literal>, wenn Sie
+	    <acronym>UFS</acronym> benutzen:</para>
 
-	  <screen>&prompt.root; <userinput>gbde init /dev/ad4s1c -i -L /etc/gbde/ad4s1c.lock</userinput></screen>
-
-	  <para>&man.gbde.8; öffnet eine Vorlage im Standard-Editor,
-	    um verschiedene Optionen einstellen zu können.
-	    Setzen Sie <varname>sector_size</varname> auf
-	    <literal>2048</literal>, wenn Sie
-	    UFS1 oder UFS2 benutzen.</para>
-
-	  <programlisting># &dollar;FreeBSD: src/sbin/gbde/template.txt,v 1.1.36.1 2009/08/03 08:13:06 kensmith Exp $
+	  <screen>&prompt.root; <userinput>gbde init /dev/ad4s1c -i -L /etc/gbde/ad4s1c.lock</userinput># &dollar;FreeBSD: src/sbin/gbde/template.txt,v 1.1.36.1 2009/08/03 08:13:06 kensmith Exp $
 #
 # Sector size is the smallest unit of data which can be read or written.
 # Making it too small decreases performance and decreases available space.
@@ -2714,34 +2712,33 @@ Quotas for user test:
 # minimum and always safe.  For UFS, use the fragment size
 #
 sector_size     =       2048
-[...]</programlisting>
+[...]</screen>
 
-	  <para>&man.gbde.8; fragt zweimal die Passphrase zum Schutz
-	    der Daten ab.  Die Passphrase muss beide Mal gleich
+	  <para>Sobald die Änderungen gespeichert werden, wird der
+	    Benutzer zweimal aufgefordert, die zum Schutz der Daten
+	    verwendete Passphrase einzugeben.  Die Passphrase muss beide Mal gleich
 	    eingegeben werden.  Die Sicherheit der Daten hängt allein
 	    von der Qualität der gewählten Passphrase ab.  Die Auswahl
 	    einer sicheren und leicht zu merkenden Passphrase wird auf
-	    der Webseite <link xlink:href="http://world.std.com/~reinhold/diceware.html">Diceware
-	      Passphrase</link> beschrieben.</para>
-
-	  <para>Mit <command>gbde init</command> wurde im Beispiel
-	    auch die Lock-Datei <filename>/etc/gbde/ad4s1c.lock</filename>
-	    angelegt.  <application>gbde</application>-Lockdateien
+	    der Webseite <link
+	      xlink:href="http://world.std.com/~reinhold/diceware.html">;
+	      http://world.std.com/~reinhold/diceware.html</link>;
+	    beschrieben.</para>
+
+	  <para>Bei der Initialisierung wird eine Lock-Datei für die
+	    <application>gbde</application>-Partition erstellt.  In
+	    diesem Beispiel
+	    <filename>/etc/gbde/ad4s1c.lock</filename>.  Lock-Dateien
 	    müssen die Dateiendung <quote>.lock</quote> aufweisen,
 	    damit sie von <filename>/etc/rc.d/gbde</filename>, dem
 	    Startskript von <application>gbde</application>, erkannt
 	    werden.</para>
 
 	  <caution>
-	    <para>Sichern Sie die Lock-Dateien von
-	      <application>gbde</application> immer zusammen mit den
-	      verschlüsselten Dateisystemen.  Ein entschlossener
-	      Angreifer kann die Daten vielleicht auch ohne die
-	      Lock-Datei entschlüsseln.  Ohne die Lock-Datei
-	      können Sie allerdings nicht auf die
-	      verschlüsselten Daten zugreifen.  Dies ist nur noch
-	      mit erheblichem manuellen Aufwand möglich, der nicht
-	      &man.gbde.8; wird.</para>
+	    <para>Lock-Dateien müssen immer zusammen mit den
+	      verschlüsselten Dateisystemen gesichert werden.  Ohne
+	      die Lock-Datei können Sie allerdings nicht auf die
+	      verschlüsselten Daten zugreifen.</para>
 	  </caution>
 	</step>
 
@@ -2768,42 +2765,34 @@ sector_size     =       2048
 	    anlegen</title>
 
 	  <para>Nachdem die verschlüsselte Partition im Kernel
-	    eingebunden ist, kann mit &man.newfs.8; ein Dateisystem
-	    erstellt werden.  Dieses Beispiel erstellt ein
-	    UFS2-Dateisystem mit aktivierten Soft Updates.</para>
+	    eingebunden ist, kann ein Dateisystem erstellt werden.
+	    Dieses Beispiel erstellt ein
+	    <acronym>UFS</acronym>-Dateisystem mit aktivierten Soft
+	    Updates.  Achten Sie darauf, die Partition mit der
+	    Erweiterung
+	    <filename><replaceable>*</replaceable>.bde</filename>
+	    zu benutzen:</para>
 
 	  <screen>&prompt.root; <userinput>newfs -U -O2 /dev/ad4s1c.bde</userinput></screen>
-
-	  <note>
-	    <para>&man.newfs.8; muss auf einer eingebundenen
-	      <application>gbde</application>-Partition ausgeführt
-	      werden, welche durch das Suffix
-	      <filename><replaceable>*</replaceable>.bde</filename>
-	      identifiziert wird.</para>
-	  </note>
 	</step>
 
 	<step>
 	  <title>Einhängen der verschlüsselten Partition</title>
 
 	  <para>Legen Sie einen Mountpunkt für das
-	    verschlüsselte Dateisystem an:</para>
-
-	  <screen>&prompt.root; <userinput>mkdir /private</userinput></screen>
+	    verschlüsselte Dateisystem an.  Hängen Sie anschließend
+	    das Dateisystem ein:</para>
 
-	  <para>Hängen Sie das verschlüsselte Dateisystem
-	    ein:</para>
-
-	  <screen>&prompt.root; <userinput>mount /dev/ad4s1c.bde /private</userinput></screen>
+	  <screen>&prompt.root; <userinput>mkdir /private</userinput>
+&prompt.root; <userinput>mount /dev/ad4s1c.bde /private</userinput></screen>
 	</step>
 
 	<step>
 	  <title>Überprüfen des verschlüsselten
 	    Dateisystems</title>
 
-	  <para>Das verschlüsselte Dateisystem sollte jetzt
-	    von &man.df.1; erkannt werden und benutzt werden
-	    können.</para>
+	  <para>Das verschlüsselte Dateisystem sollte jetzt erkannt
+	    und benutzt werden können:</para>
 
 	  <screen>&prompt.user; <userinput>df -H</userinput>
 Filesystem        Size   Used  Avail Capacity  Mounted on
@@ -2816,75 +2805,40 @@ Filesystem        Size   Used  Avail Cap
 	</step>
       </procedure>
 
-    <sect3>
-      <title>Einhängen eines existierenden verschlüsselten
-	Dateisystems</title>
-
       <para>Nach jedem Neustart müssen verschlüsselte
 	Dateisysteme dem Kernel wieder bekannt gemacht werden,
 	auf Fehler überprüft werden und eingehangen
-	werden.  Die dazu nötigen Befehle müssen als
-	<systemitem class="username">root</systemitem> durchgeführt werden.</para>
-
-      <procedure>
-	<step>
-	  <title>gbde-Partition im Kernel bekannt geben</title>
-
-	  <screen>&prompt.root; <userinput>gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c.lock</userinput></screen>
-
-	  <para>Dieses Kommando fragt nach der Passphrase, die
-	    während der Initialisierung der verschlüsselten
-	    <application>gbde</application>-Partition festgelegt
-	    wurde.</para>
-	</step>
+	werden.  Für die dazu nötigen Schritte fügen Sie folgende
+	Zeilen in <filename>/etc/rc.conf</filename> hinzu:</para>
 
-	<step>
-	  <title>Prüfen des Dateisystems</title>
-
-	  <para>Das verschlüsselte Dateisystem kann noch nicht
-	    automatisch über <filename>/etc/fstab</filename>
-	    eingehangen werden.  Daher muss es vor dem Einhängen
-	    mit &man.fsck.8; geprüft werden:</para>
-
-	  <screen>&prompt.root; <userinput>fsck -p -t ffs /dev/ad4s1c.bde</userinput></screen>
-	</step>
-
-	<step>
-	  <title>Einhängen des verschlüsselten
-	    Dateisystems</title>
+	<programlisting>gbde_autoattach_all="YES"
+gbde_devices="<replaceable>ad4s1c</replaceable>"
+gbde_lockdir="/etc/gbde"</programlisting>
 
-	  <screen>&prompt.root; <userinput>mount /dev/ad4s1c.bde /private</userinput></screen>
+	<para>Durch diese Argumente muss beim Systemstart auf der
+	  Konsole die Passphrase eingegeben werden.  Erst nach Eingabe
+	  der korrekten Passphrase wird die verschlüsselte Partition
+	  automatisch in den Verzeichnisbaum eingehängt.  Weitere
+	  Bootoptionen von <application>gbde</application> finden Sie
+	  in &man.rc.conf.5;.</para>
 
-	  <para>Das verschlüsselte Dateisystem steht danach
-	    zur Verfügung.</para>
-	</step>
-      </procedure>
-
-	<para>Mit einem Skript können verschlüsselte
-	  Dateisysteme automatisch bekannt gegeben, geprüft
-	  und eingehangen werden.  Wir raten Ihnen allerdings
-	  aus Sicherheitsgründen davon ab.  Starten Sie das
-	  Skript manuell an der Konsole oder in einer
-	  &man.ssh.1;-Sitzung.</para>
-
-	<para>Alternativ existiert ein
-	  <filename>rc.d</filename>-Skript, an das über
-	  Einträge in &man.rc.conf.5; Argumente übergeben werden
-	  können:</para>
+<!--
+What about bsdinstall?
+-->
 
-	<programlisting>gbde_autoattach_all="YES"
-gbde_devices="ad4s1c"
-gbde_lockdir="/etc/gbde"</programlisting>
+	<note>
+	  <para><application>sysinstall</application> ist nicht
+	    kompatibel mit
+	    <application>gbde</application>-verschlüsselten Geräten.
+	    Bevor <application>sysinstall</application> gestartet
+	    wird, müssen alle <filename>*.bde</filename> Geräte vom
+	    Kernel getrennt werden, da sonst der Kernel bei der
+	    ersten Suche nach Geräten abstürzt.  Um das verschlüsselte
+	    Gerät aus dem Beispiel zu trennen, benutzen Sie das
+	    folgende Kommando:</para>
 
-	<para>Durch diese Argumente muss beim Systemstart die
-	  <application>gbde</application>-Passphrase eingegeben werden.
-	  Erst nach Eingabe der korrekten Passphrase wird die
-	  <application>gbde</application>-verschlüsselte
-	  Partition automatisch in den Verzeichnisbaum
-	  eingehängt.  Dieses Vorgehen ist
-	  nützlich, wenn <application>gbde</application> auf
-	  einem Laptop eingesetzt wird.</para>
-      </sect3>
+	  <screen>&prompt.root; <userinput>gbde detach /dev/<replaceable>ad4s1c</replaceable></userinput></screen>
+	</note>
     </sect2>
 
     <sect2 xml:id="disks-encrypting-geli">



Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201605071110.u47BAE1b069670>