From owner-svn-doc-all@freebsd.org Sat May 7 16:50:40 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 795ADB31B49; Sat, 7 May 2016 16:50:40 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 50E471CC8; Sat, 7 May 2016 16:50:40 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u47GodvQ072992; Sat, 7 May 2016 16:50:39 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u47God7N072991; Sat, 7 May 2016 16:50:39 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605071650.u47God7N072991@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Sat, 7 May 2016 16:50:39 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48784 - head/de_DE.ISO8859-1/books/handbook/disks X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees \(except for " user" , " projects" , and " translations" \)" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 07 May 2016 16:50:40 -0000 Author: bhd Date: Sat May 7 16:50:39 2016 New Revision: 48784 URL: https://svnweb.freebsd.org/changeset/doc/48784 Log: Update to r44694: Editorial review of geli section. Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D6259 Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Sat May 7 12:15:13 2016 (r48783) +++ head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Sat May 7 16:50:39 2016 (r48784) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/disks/chapter.xml,v 1.187 2012/04/26 19:32:48 bcr Exp $ - basiert auf: r44686 + basiert auf: r44694 --> Speichermedien @@ -2604,7 +2604,7 @@ Quotas for user test: und dort die Daten analysieren. Die für &os; verfügbaren kryptografischen Subsysteme, - GEOM Based Disk Encryption (gbde) + GEOM Based Disk Encryption (gbde) und geli sind in der Lage, Daten auf Dateisystemen auch vor hoch motivierten Angreifern zu schützen, die über erhebliche Mittel verfügen. @@ -2617,6 +2617,11 @@ Quotas for user test: transparent ganze Dateisysteme. Auf der Festplatte werden dabei keine Daten im Klartext gespeichert. + Dieses Kapitel zeigt, wie ein verschlüsseltes Dateisystem + unter &os; erstellt wird. Zunächst wird der Ablauf für + gbde beschrieben und anschließend + das gleiche Beispiel für geli. + Plattenverschlüsselung mit <application>gbde</application> @@ -2848,15 +2853,12 @@ What about bsdinstall? - - - Mit geli ist eine alternative - kryptografische GEOM-Klasse verfügbar. - geli unterscheidet sich von - gbde durch unterschiedliche Fähigkeiten und - einen unterschiedlichen Ansatz für die Verschlüsselung. - - Die wichtigsten Merkmale von &man.geli.8; sind: + Mit geli steht eine alternative + kryptografische GEOM-Klasse zur Verfügung. + Dieses Werkzeug unterstützt unterschiedliche Fähigkeiten und + verfolgt einen anderen Ansatz für die Verschlüsselung. + geli bietet die folgenden + Funktionen: @@ -2867,8 +2869,8 @@ What about bsdinstall? Die Unterstützung verschiedener kryptografischer - Algorithmen, wie beispielsweise AES, Blowfish, und - 3DES. + Algorithmen, wie AES, Blowfish, und + 3DES. @@ -2879,15 +2881,13 @@ What about bsdinstall? - geli erlaubt den Einsatz von zwei - voneinander unabhängigen Schlüsseln, etwa einem - privaten Schlüssel und einem - Unternehmens-Schlüssel. + Erlaubt den Einsatz von zwei voneinander unabhängigen + Schlüsseln. - geli ist durch einfache - Sektor-zu-Sektor-Verschlüsselung sehr schnell. + Es ist durch einfache Sektor-zu-Sektor-Verschlüsselung + sehr schnell. @@ -2905,70 +2905,61 @@ What about bsdinstall? - Weitere Merkmale von - geli finden Sie in &man.geli.8;. + Weitere Funktionen und Anwendungsbeispiele finden Sie in + &man.geli.8;. - Dieser Abschnitt beschreibt, wie geli - im &os;-Kernel aktiviert wird und wie ein - geli-Verschlüsselungs-Provider - angelegt wird. - - Da der Kernel angepasst werden muss, werden - root-Privilegien - benötigt. + Das folgende Beispiel beschreibt, wie eine + Schlüsseldatei erzeugt wird, die als Teil des Master-Keys für + den Verschlüsselungs-Provider verwendet wird, der unter + /private in den Verzeichnisbaum + eingehängt wird. Die Schlüsseldatei liefert zufällige Daten, + die für die Verschlüsselung des Master-Keys benutzt werden. + Zusätzlich wird der Master-Key durch eine Passphrase + geschützt. Die Sektorgröße des Providers beträgt 4 KB. + Das Beispiel beschreibt, wie Sie einen + geli-Provider aktivieren, ein vom ihm + verwaltetes Dateisystem erzeugen, es mounten, mit ihm arbeiten + und wie Sie es schließlich wieder unmounten und den Provider + deaktivieren. + Eine Partition mit <command>geli</command> + verschlüsseln + - Aufnahme der <command>geli</command>-Unterstützung - in Ihre Kernelkonfigurationsdatei + Laden der + <command>geli</command>-Unterstützung - Stellen Sie bei einer angepassten - Kernelkonfigurationsdatei sicher, dass diese Zeile - enthalten ist: + Die Unterstützung für geli ist + bereits im GENERIC enthalten. Damit + das Modul automatisch beim Booten geladen wird, fügen Sie + folgende Zeile in /boot/loader.conf + ein: - options GEOM_ELI -device crypto + geom_eli_load="YES" - Alternativ kann auch das - geli-Kernelmodul beim Systemstart - geladen werden, indem folgende Zeile in - /boot/loader.conf eingefügt - wird: + Um das Modul direkt zu laden: - geom_eli_load="YES" + &prompt.root; kldload geom_eli + + Stellen Sie bei einer angepassten + Kernelkonfigurationsdatei sicher, dass diese Zeilen + enthalten sind: - Ab sofort wird &man.geli.8; vom Kernel - unterstützt. + options GEOM_ELI +device crypto Erzeugen des Master-Keys - Das folgende Beispiel beschreibt, wie eine - Schlüsseldatei erzeugt wird, die als Teil des - Master-Keys für den Verschlüsselungs-Provider - verwendet wird, der unter /private - in den Verzeichnisbaum eingehängt wird. Die - Schlüsseldatei liefert zufällige Daten, die für die - Verschlüsselung des Master-Keys benutzt werden. - Zusätzlich wird der Master-Key durch eine Passphrase - geschützt. Die Sektorgröße des Providers beträgt - 4 KB. Das Beispiel beschreibt, wie Sie einen - geli-Provider aktivieren, ein vom ihm - verwaltetes Dateisystem erzeugen, es mounten, mit ihm - arbeiten und wie Sie es schließlich wieder unmounten - und den Provider deaktivieren. - - Um eine bessere Leistung zu erzielen, wird eine - größere Sektorgröße, beispielsweise 4 KB, - empfohlen. - - Der Master-Key wird durch eine Passphrase sowie, den - Daten der Schlüsseldatei aus - /dev/random geschützt. - Die Sektorgröße des Providers - /dev/da2.eli - beträgt 4 KB. + Die folgenden Befehle erzeugen einen Master-Key + (/root/da2.key), der durch eine + Passphrase geschützt ist. Die Datenquelle für die + Schlüsseldatei ist /dev/random. Um + eine bessere Leistung zu erzielen beträgt die Sektorgröße + des Providers (/dev/da2.eli) + 4 KB: &prompt.root; dd if=/dev/random of=/root/da2.key bs=64 count=1 &prompt.root; geli init -s 4096 -K /root/da2.key /dev/da2 @@ -2982,9 +2973,8 @@ Reenter new passphrase: Wird für die Schlüsseldatei - angegeben, wird dafür die - Standardeingabe verwendet. Das folgende Beispiel zeigt, - dass auch mehr als eine Schlüsseldatei verwendet werden - kann: + Standardeingabe verwendet. Das folgende Kommando erzeugt + beispielsweise drei Schlüsseldateien: &prompt.root; cat keyfile1 keyfile2 keyfile3 | geli init -K - /dev/da2 @@ -2993,12 +2983,15 @@ Reenter new passphrase: Aktivieren des Providers mit dem erzeugten Schlüssel + Um den Provider zu aktivieren, geben Sie die + Schlüsseldatei, den Namen des Laufwerks und die Passphrase + an: + &prompt.root; geli attach -k /root/da2.key /dev/da2 Enter passphrase: - Dadurch wird die (Normaltext-)Gerätedatei - /dev/da2.eli - angelegt. + Dadurch wird ein neues Gerät mit der Erweiterung + .eli angelegt: &prompt.root; ls /dev/da2* /dev/da2 /dev/da2.eli @@ -3007,12 +3000,16 @@ Enter passphrase: Das neue Dateisystem erzeugen + Als nächstes muss das Gerät mit dem + UFS-Dateisystem formatiert und an einen + vorhandenen Mountpunkt eingehängt werden: + &prompt.root; dd if=/dev/random of=/dev/da2.eli bs=1m &prompt.root; newfs /dev/da2.eli -&prompt.root; mount /dev/da2.eli /private +&prompt.root; mount /dev/da2.eli /private - Das verschlüsselte Dateisystem wird nun von - &man.df.1; angezeigt und kann ab sofort eingesetzt werden. + Das verschlüsselte Dateisystem sollte jetzt erkannt + und benutzt werden können: &prompt.root; df -H Filesystem Size Used Avail Capacity Mounted on @@ -3022,11 +3019,8 @@ Filesystem Size Used Avail Capaci /dev/ad0s1d 989M 1.5M 909M 0% /tmp /dev/ad0s1e 3.9G 1.3G 2.3G 35% /var /dev/da2.eli 150G 4.1K 138G 0% /private - - - - Das Dateisystem unmounten und den Provider deaktivieren + Wenn Sie nicht mehr mit dem verschlüsselten Dateisystem arbeiten und die unter /private eingehängte @@ -3037,25 +3031,15 @@ Filesystem Size Used Avail Capaci &prompt.root; umount /private &prompt.root; geli detach da2.eli - - - - Weitere Informationen zum Einsatz von - geli finden Sie in &man.geli.8;. - - Der Einsatz des <filename>geli</filename>- - <filename>rc.d</filename>-Skripts - - geli verfügt über ein - rc.d-Skript, - das den Einsatz von geli - deutlich vereinfacht. Es folgt nun ein Beispiel, in dem - geli über die Datei - &man.rc.conf.5; konfiguriert wird: + &os; verfügt über ein rc.d-Skript, + das dass Einhängen von verschlüsselten Geräten beim Booten + deutlich vereinfacht. Für dieses Beispiel, fügen Sie + folgende Zeilen in /etc/rc.conf + hinzu: - geli_devices="da2" -geli_da2_flags="-k /root/da2.key" + geli_devices="da2" +geli_da2_flags="-k /root/da2.key" Dies konfiguriert /dev/da2 als geli-Provider mit dem Master-Key @@ -3073,11 +3057,6 @@ geli_da2_flags="-k /root/da2.key" wenn Sie wissen möchten, wie Sie ein Dateisystem konfigurieren, sodass es beim booten automatisch gestartet wird. - - Weitere Informationen zur Konfiguration der - rc.d-Skripten - finden Sie im Abschnitt rc.d des Handbuchs. -