From owner-freebsd-questions@FreeBSD.ORG  Tue Jun 19 18:48:06 2012
Return-Path: <owner-freebsd-questions@FreeBSD.ORG>
Delivered-To: questions@freebsd.org
Received: from mx1.freebsd.org (mx1.freebsd.org [69.147.83.52])
	by hub.freebsd.org (Postfix) with ESMTP id 7D2D51065785
	for <questions@freebsd.org>; Tue, 19 Jun 2012 18:48:06 +0000 (UTC)
	(envelope-from rdv.dmitry@gmail.com)
Received: from mail-ey0-f182.google.com (mail-ey0-f182.google.com
	[209.85.215.182])
	by mx1.freebsd.org (Postfix) with ESMTP id 08ABD8FC0C
	for <questions@freebsd.org>; Tue, 19 Jun 2012 18:48:05 +0000 (UTC)
Received: by eabm6 with SMTP id m6so2452923eab.13
	for <questions@freebsd.org>; Tue, 19 Jun 2012 11:48:05 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113;
	h=message-id:date:from:user-agent:mime-version:to:subject
	:content-type; bh=KY44vG9wg0Cs7BhDxyXXbu7gxvDs8ixQzIMlPlhYAb0=;
	b=UCuzDxZ36ZO3eZItt4ERtKfH7y7kmQNawpPLyXu0GaNULsDkIMuPjc2UisqI9W3uru
	jgTgAX2bX+nngKzJWzrX3P+YqMIMC4T8cR7zPnzHcasY/XrC11Z9Ja0TA+hkPMTHnfe5
	Z/c98B/QClu1e+fluMtiT33+GHcNaa+a2YXtR7zLpSvZwf1iU9CUE7gD0ycWIJG7zovq
	qkujkbavJ+CG4GDnime+jYwR+nnvwtMdvRVO6bC+BTHEHNl7BjBGL7i74m/MHw+jTNO0
	eN3Q99+JFkHVjHqD21S68htHOwHCsbsgkaFssCHDpbrA5RCb7rZ/QrRm5InGVWW9UXze
	pQVw==
Received: by 10.152.112.138 with SMTP id iq10mr19516091lab.13.1340131684820;
	Tue, 19 Jun 2012 11:48:04 -0700 (PDT)
Received: from adsh14.nnt ([217.72.2.66])
	by mx.google.com with ESMTPS id d3sm14378900lbh.3.2012.06.19.11.48.02
	(version=SSLv3 cipher=OTHER); Tue, 19 Jun 2012 11:48:04 -0700 (PDT)
Message-ID: <4FE0C985.9000704@gmail.com>
Date: Tue, 19 Jun 2012 22:48:37 +0400
From: =?UTF-8?B?0JTQvNC40YLRgNC40Lkg0KDQtdC30L3QuNGH0LXQvdC60L4=?=
	<rdv.dmitry@gmail.com>
User-Agent: Mozilla/5.0 (X11; OpenBSD i386;
	rv:9.0) Gecko/20120207 Thunderbird/9.0.1
MIME-Version: 1.0
To: questions@FreeBSD.org
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
X-Content-Filtered-By: Mailman/MimeDel 2.1.5
Cc: 
Subject: Question about GEOM_ELI` root partition automount [COPY from
	inc@rdmitry.name]
X-BeenThere: freebsd-questions@freebsd.org
X-Mailman-Version: 2.1.5
Precedence: list
List-Id: User questions <freebsd-questions.freebsd.org>
List-Unsubscribe: <http://lists.freebsd.org/mailman/listinfo/freebsd-questions>, 
	<mailto:freebsd-questions-request@freebsd.org?subject=unsubscribe>
List-Archive: <http://lists.freebsd.org/pipermail/freebsd-questions>
List-Post: <mailto:freebsd-questions@freebsd.org>
List-Help: <mailto:freebsd-questions-request@freebsd.org?subject=help>
List-Subscribe: <http://lists.freebsd.org/mailman/listinfo/freebsd-questions>, 
	<mailto:freebsd-questions-request@freebsd.org?subject=subscribe>
X-List-Received-Date: Tue, 19 Jun 2012 18:48:06 -0000

* [COPY from inc@rdmitry.name]*

{ # (Russian lang, ORIGINAL)

Имеется::
1) Загружаемая некриптованная партиция /boot со скриптами ядра 
9.0-release и самим ядром;
2) Криптованная только файл-ключом (ключ лежит сейчас в (1)/boot ) 
рутовая партиция со всем своим содержимым.

Проблема:
При загрузке криптованая партиция сама монтируется, но ключ открытым 
лежит. Нужно именно по ключу, не по паролю (площадка провайдера).

Надо:
Как - то сделать так, что бы ключ был скрыт, не очевиден.

Думаю, можно какой-то из исходников изменить, дописать часть кода, 
например у /boot/loader , так, что бы он сам создавал временно файл 
ключика, а после монтирования ключик затирал секурно (dd в файл ключа).

Я на си ещё не програмил, сответственно и вопрос: хотя бы какой файл в 
исходниках ковырять, в какой части файла? Может быть код даже подскажите?

P.S. Я такую штуку для линукса уже придумал и сделал, но там проще, т.к. 
initrd-image можно разархивировать и легко корректировать.

}

{ # (ENG, translated not so good)

What we have now (FreeBSD 9.0-release):
1) /boot partition, uncrypted, with it`s boot scripts, kernel and so on;
2) crypted root partition (geli init -s 4096 -P -K /root/keyfile 
/dev/adXX), without password but with key; that partition have all its 
freebsd content.
     The keyfile located now in (1)/boot.

The problem need to solve:
Need have end system, when keyfile when boot will be created 
automatically, and erased securelly just after root crypto` partition 
mounts (by dd with of=keyfile, for example)
That need to do because freebsd have remote hosting.

Needs:
To make key not (at least EASELY!) catched by unautorised personnel, and 
noone cat pass password there after reboot or power fail/restore cases.

Maby you can give me tip, what pard of src (and maby how, maby 
/boot/loader src) need to change?

P.S. I solve same with linux box, but there i can extract already 
working initrd.img, change in by adding binary program which make their 
work, and make new initrd.img

}

I hope, you will can help me with it, thanks in advance!

btw i don`t power user oc C language :)