Skip site navigation (1)Skip section navigation (2) 
Date:      Tue, 19 Jun 2012 22:46:33 +0400
From:      Dmitry Reznichenko <inc@rdmitry.name>
To:        questions@FreeBSD.org
Subject:   Question about GEOM_ELI` root partition automount
Message-ID:  <4FE0C909.1000304@rdmitry.name>
next in thread | raw e-mail | index | archive | help 
{ # (Russian lang, ORIGINAL)

Имеется::
1) Загружаемая некриптованная партиция /boot со скриптами ядра 
9.0-release и самим ядром;
2) Криптованная только файл-ключом (ключ лежит сейчас в (1)/boot ) 
рутовая партиция со всем своим содержимым.

Проблема:
При загрузке криптованая партиция сама монтируется, но ключ открытым 
лежит. Нужно именно по ключу, не по паролю (площадка провайдера).

Надо:
Как - то сделать так, что бы ключ был скрыт, не очевиден.

Думаю, можно какой-то из исходников изменить, дописать часть кода, 
например у /boot/loader , так, что бы он сам создавал временно файл 
ключика, а после монтирования ключик затирал секурно (dd в файл ключа).

Я на си ещё не програмил, сответственно и вопрос: хотя бы какой файл в 
исходниках ковырять, в какой части файла? Может быть код даже подскажите?

P.S. Я такую штуку для линукса уже придумал и сделал, но там проще, т.к. 
initrd-image можно разархивировать и легко корректировать.

}

{ # (ENG, translated not so good)

What we have now (FreeBSD 9.0-release):
1) /boot partition, uncrypted, with it`s boot scripts, kernel and so on;
2) crypted root partition (geli init -s 4096 -P -K /root/keyfile 
/dev/adXX), without password but with key; that partition have all its 
freebsd content.
     The keyfile located now in (1)/boot.

The problem need to solve:
Need have end system, when keyfile when boot will be created 
automatically, and erased securelly just after root crypto` partition 
mounts (by dd with of=keyfile, for example)
That need to do because freebsd have remote hosting.

Needs:
To make key not (at least EASELY!) catched by unautorised personnel, and 
noone cat pass password there after reboot or power fail/restore cases.

Maby you can give me tip, what pard of src (and maby how, maby 
/boot/loader src) need to change?

P.S. I solve same with linux box, but there i can extract already 
working initrd.img, change in by adding binary program which make their 
work, and make new initrd.img

}

I hope, you will can help me with it, thanks in advance!

btw i don`t power user oc C language :)

Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?4FE0C909.1000304>