Date: Sat, 7 May 2016 16:50:39 +0000 (UTC) From: Bjoern Heidotting <bhd@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48784 - head/de_DE.ISO8859-1/books/handbook/disks Message-ID: <201605071650.u47God7N072991@repo.freebsd.org>
next in thread | raw e-mail | index | archive | help
Author: bhd Date: Sat May 7 16:50:39 2016 New Revision: 48784 URL: https://svnweb.freebsd.org/changeset/doc/48784 Log: Update to r44694: Editorial review of geli section. Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D6259 Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Sat May 7 12:15:13 2016 (r48783) +++ head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Sat May 7 16:50:39 2016 (r48784) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/disks/chapter.xml,v 1.187 2012/04/26 19:32:48 bcr Exp $ - basiert auf: r44686 + basiert auf: r44694 --> <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="disks"> <info><title>Speichermedien</title> @@ -2604,7 +2604,7 @@ Quotas for user test: und dort die Daten analysieren.</para> <para>Die für &os; verfügbaren kryptografischen Subsysteme, - GEOM Based Disk Encryption (<command>gbde</command>) + <acronym>GEOM</acronym> Based Disk Encryption (<command>gbde</command>) und <command>geli</command> sind in der Lage, Daten auf Dateisystemen auch vor hoch motivierten Angreifern zu schützen, die über erhebliche Mittel verfügen. @@ -2617,6 +2617,11 @@ Quotas for user test: transparent ganze Dateisysteme. Auf der Festplatte werden dabei keine Daten im Klartext gespeichert.</para> + <para>Dieses Kapitel zeigt, wie ein verschlüsseltes Dateisystem + unter &os; erstellt wird. Zunächst wird der Ablauf für + <application>gbde</application> beschrieben und anschließend + das gleiche Beispiel für <application>geli</application>.</para> + <sect2> <title>Plattenverschlüsselung mit <application>gbde</application></title> @@ -2848,15 +2853,12 @@ What about bsdinstall? </authorgroup> </info> - - - <para>Mit <command>geli</command> ist eine alternative - kryptografische GEOM-Klasse verfügbar. - <command>geli</command> unterscheidet sich von - <command>gbde</command> durch unterschiedliche Fähigkeiten und - einen unterschiedlichen Ansatz für die Verschlüsselung.</para> - - <para>Die wichtigsten Merkmale von &man.geli.8; sind:</para> + <para>Mit <command>geli</command> steht eine alternative + kryptografische <acronym>GEOM</acronym>-Klasse zur Verfügung. + Dieses Werkzeug unterstützt unterschiedliche Fähigkeiten und + verfolgt einen anderen Ansatz für die Verschlüsselung. + <application>geli</application> bietet die folgenden + Funktionen:</para> <itemizedlist> <listitem> @@ -2867,8 +2869,8 @@ What about bsdinstall? <listitem> <para>Die Unterstützung verschiedener kryptografischer - Algorithmen, wie beispielsweise AES, Blowfish, und - 3DES.</para> + Algorithmen, wie <acronym>AES</acronym>, Blowfish, und + <acronym>3DES</acronym>.</para> </listitem> <listitem> @@ -2879,15 +2881,13 @@ What about bsdinstall? </listitem> <listitem> - <para><command>geli</command> erlaubt den Einsatz von zwei - voneinander unabhängigen Schlüsseln, etwa einem - privaten <quote>Schlüssel</quote> und einem - <quote>Unternehmens-Schlüssel</quote>.</para> + <para>Erlaubt den Einsatz von zwei voneinander unabhängigen + Schlüsseln.</para> </listitem> <listitem> - <para><command>geli</command> ist durch einfache - Sektor-zu-Sektor-Verschlüsselung sehr schnell.</para> + <para>Es ist durch einfache Sektor-zu-Sektor-Verschlüsselung + sehr schnell.</para> </listitem> <listitem> @@ -2905,70 +2905,61 @@ What about bsdinstall? </listitem> </itemizedlist> - <para>Weitere Merkmale von - <command>geli</command> finden Sie in &man.geli.8;.</para> + <para>Weitere Funktionen und Anwendungsbeispiele finden Sie in + &man.geli.8;.</para> - <para>Dieser Abschnitt beschreibt, wie <command>geli</command> - im &os;-Kernel aktiviert wird und wie ein - <command>geli</command>-Verschlüsselungs-Provider - angelegt wird.</para> - - <para>Da der Kernel angepasst werden muss, werden - <systemitem class="username">root</systemitem>-Privilegien - benötigt.</para> + <para>Das folgende Beispiel beschreibt, wie eine + Schlüsseldatei erzeugt wird, die als Teil des Master-Keys für + den Verschlüsselungs-Provider verwendet wird, der unter + <filename>/private</filename> in den Verzeichnisbaum + eingehängt wird. Die Schlüsseldatei liefert zufällige Daten, + die für die Verschlüsselung des Master-Keys benutzt werden. + Zusätzlich wird der Master-Key durch eine Passphrase + geschützt. Die Sektorgröße des Providers beträgt 4 KB. + Das Beispiel beschreibt, wie Sie einen + <command>geli</command>-Provider aktivieren, ein vom ihm + verwaltetes Dateisystem erzeugen, es mounten, mit ihm arbeiten + und wie Sie es schließlich wieder unmounten und den Provider + deaktivieren.</para> <procedure> + <title>Eine Partition mit <command>geli</command> + verschlüsseln</title> + <step> - <title>Aufnahme der <command>geli</command>-Unterstützung - in Ihre Kernelkonfigurationsdatei</title> + <title>Laden der + <command>geli</command>-Unterstützung</title> - <para>Stellen Sie bei einer angepassten - Kernelkonfigurationsdatei sicher, dass diese Zeile - enthalten ist:</para> + <para>Die Unterstützung für <command>geli</command> ist + bereits im <filename>GENERIC</filename> enthalten. Damit + das Modul automatisch beim Booten geladen wird, fügen Sie + folgende Zeile in <filename>/boot/loader.conf</filename> + ein:</para> - <programlisting>options GEOM_ELI -device crypto</programlisting> + <programlisting>geom_eli_load="YES"</programlisting> - <para>Alternativ kann auch das - <command>geli</command>-Kernelmodul beim Systemstart - geladen werden, indem folgende Zeile in - <filename>/boot/loader.conf</filename> eingefügt - wird:</para> + <para>Um das Modul direkt zu laden:</para> - <programlisting>geom_eli_load="YES"</programlisting> + <screen>&prompt.root; <userinput>kldload geom_eli</userinput></screen> + + <para>Stellen Sie bei einer angepassten + Kernelkonfigurationsdatei sicher, dass diese Zeilen + enthalten sind:</para> - <para>Ab sofort wird &man.geli.8; vom Kernel - unterstützt.</para> + <programlisting>options GEOM_ELI +device crypto</programlisting> </step> <step> <title>Erzeugen des Master-Keys</title> - <para>Das folgende Beispiel beschreibt, wie eine - Schlüsseldatei erzeugt wird, die als Teil des - Master-Keys für den Verschlüsselungs-Provider - verwendet wird, der unter <filename>/private</filename> - in den Verzeichnisbaum eingehängt wird. Die - Schlüsseldatei liefert zufällige Daten, die für die - Verschlüsselung des Master-Keys benutzt werden. - Zusätzlich wird der Master-Key durch eine Passphrase - geschützt. Die Sektorgröße des Providers beträgt - 4 KB. Das Beispiel beschreibt, wie Sie einen - <command>geli</command>-Provider aktivieren, ein vom ihm - verwaltetes Dateisystem erzeugen, es mounten, mit ihm - arbeiten und wie Sie es schließlich wieder unmounten - und den Provider deaktivieren.</para> - - <para>Um eine bessere Leistung zu erzielen, wird eine - größere Sektorgröße, beispielsweise 4 KB, - empfohlen.</para> - - <para>Der Master-Key wird durch eine Passphrase sowie, den - Daten der Schlüsseldatei aus - <filename>/dev/random</filename> geschützt. - Die Sektorgröße des Providers - <filename>/dev/<replaceable>da2</replaceable>.eli</filename> - beträgt 4 KB.</para> + <para>Die folgenden Befehle erzeugen einen Master-Key + (<filename>/root/da2.key</filename>), der durch eine + Passphrase geschützt ist. Die Datenquelle für die + Schlüsseldatei ist <filename>/dev/random</filename>. Um + eine bessere Leistung zu erzielen beträgt die Sektorgröße + des Providers (<filename>/dev/da2.eli</filename>) + 4 KB:</para> <screen>&prompt.root; <userinput>dd if=/dev/random of=/root/da2.key bs=64 count=1</userinput> &prompt.root; <userinput>geli init -s 4096 -K /root/da2.key /dev/da2</userinput> @@ -2982,9 +2973,8 @@ Reenter new passphrase:</screen> <para>Wird für die Schlüsseldatei <quote>-</quote> angegeben, wird dafür die - Standardeingabe verwendet. Das folgende Beispiel zeigt, - dass auch mehr als eine Schlüsseldatei verwendet werden - kann:</para> + Standardeingabe verwendet. Das folgende Kommando erzeugt + beispielsweise drei Schlüsseldateien:</para> <screen>&prompt.root; <userinput>cat keyfile1 keyfile2 keyfile3 | geli init -K - /dev/da2</userinput></screen> </step> @@ -2993,12 +2983,15 @@ Reenter new passphrase:</screen> <title>Aktivieren des Providers mit dem erzeugten Schlüssel</title> + <para>Um den Provider zu aktivieren, geben Sie die + Schlüsseldatei, den Namen des Laufwerks und die Passphrase + an:</para> + <screen>&prompt.root; <userinput>geli attach -k /root/da2.key /dev/da2</userinput> Enter passphrase:</screen> - <para>Dadurch wird die (Normaltext-)Gerätedatei - <filename>/dev/da2.eli</filename> - angelegt.</para> + <para>Dadurch wird ein neues Gerät mit der Erweiterung + <filename>.eli</filename> angelegt:</para> <screen>&prompt.root; <userinput>ls /dev/da2*</userinput> /dev/da2 /dev/da2.eli</screen> @@ -3007,12 +3000,16 @@ Enter passphrase:</screen> <step> <title>Das neue Dateisystem erzeugen</title> + <para>Als nächstes muss das Gerät mit dem + <acronym>UFS</acronym>-Dateisystem formatiert und an einen + vorhandenen Mountpunkt eingehängt werden:</para> + <screen>&prompt.root; <userinput>dd if=/dev/random of=/dev/da2.eli bs=1m</userinput> &prompt.root; <userinput>newfs /dev/da2.eli</userinput> -&prompt.root; <userinput>mount /dev/da2.eli /private</userinput></screen> +&prompt.root; <userinput>mount /dev/da2.eli <replaceable>/private</replaceable></userinput></screen> - <para>Das verschlüsselte Dateisystem wird nun von - &man.df.1; angezeigt und kann ab sofort eingesetzt werden.</para> + <para>Das verschlüsselte Dateisystem sollte jetzt erkannt + und benutzt werden können:</para> <screen>&prompt.root; <userinput>df -H</userinput> Filesystem Size Used Avail Capacity Mounted on @@ -3022,11 +3019,8 @@ Filesystem Size Used Avail Capaci /dev/ad0s1d 989M 1.5M 909M 0% /tmp /dev/ad0s1e 3.9G 1.3G 2.3G 35% /var /dev/da2.eli 150G 4.1K 138G 0% /private</screen> - </step> - - <step> - <title>Das Dateisystem unmounten und den Provider deaktivieren</title> + </procedure> <para>Wenn Sie nicht mehr mit dem verschlüsselten Dateisystem arbeiten und die unter <filename>/private</filename> eingehängte @@ -3037,25 +3031,15 @@ Filesystem Size Used Avail Capaci <screen>&prompt.root; <userinput>umount /private</userinput> &prompt.root; <userinput>geli detach da2.eli</userinput></screen> - </step> - </procedure> - - <para>Weitere Informationen zum Einsatz von - <command>geli</command> finden Sie in &man.geli.8;.</para> - <sect3> - <title>Der Einsatz des <filename>geli</filename>- - <filename>rc.d</filename>-Skripts</title> - - <para><command>geli</command> verfügt über ein - <filename>rc.d</filename>-Skript, - das den Einsatz von <command>geli</command> - deutlich vereinfacht. Es folgt nun ein Beispiel, in dem - <command>geli</command> über die Datei - &man.rc.conf.5; konfiguriert wird:</para> + <para>&os; verfügt über ein <filename>rc.d</filename>-Skript, + das dass Einhängen von verschlüsselten Geräten beim Booten + deutlich vereinfacht. Für dieses Beispiel, fügen Sie + folgende Zeilen in <filename>/etc/rc.conf</filename> + hinzu:</para> - <programlisting>geli_devices="da2" -geli_da2_flags="-k /root/da2.key"</programlisting> + <programlisting>geli_devices="<replaceable>da2</replaceable>" +geli_da2_flags="-k /root/<replaceable>da2.key</replaceable>"</programlisting> <para>Dies konfiguriert <filename>/dev/da2</filename> als <command>geli</command>-Provider mit dem Master-Key @@ -3073,11 +3057,6 @@ geli_da2_flags="-k /root/da2.key"</progr <xref linkend="mount-unmount"/> wenn Sie wissen möchten, wie Sie ein Dateisystem konfigurieren, sodass es beim booten automatisch gestartet wird.</para> - - <para>Weitere Informationen zur Konfiguration der - <filename>rc.d</filename>-Skripten - finden Sie im Abschnitt <link linkend="configtuning-rcd">rc.d</link> des Handbuchs.</para> - </sect3> </sect2> </sect1>
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201605071650.u47God7N072991>