====== Partitionen mit GEOM Based Disk Encryption (gbde) verschlüsseln ======

[http://www.freebsd.org/doc/de_DE.ISO8859-1/books/handbook/]


===== 12.13. Partitionen verschlüsseln =====

Diese Funktion ist erst ab FreeBSD 5.0 vorhanden.

=== Aktivieren Sie gbde(4) in der Kernelkonfiguration ===

  # vi /usr/src/sys/i386/conf/MYKERNEL
  options GEOM_BDE


=== Verzeichnis für gbde-Lock-Dateien anlegen ===

  # mkdir /etc/gbde


=== Vorbereiten der gbde-Partition ===

Im Beispiel verwenden wir die Partition /dev/ad4s1c.

Setzen Sie //sector_size// auf 2048, wenn Sie UFS1 oder UFS2 benutzen.

  # gbde init /dev/ad4s1c -i -L /etc/gbde/ad4s1c
  sector_size     =       2048


**Achtung: Sichern Sie die Lock-Dateien von gbde immer zusammen mit den verschlüsselten Dateisystemen. Ein entschlossener Angreifer kann die Daten vielleicht auch ohne die Lock-Datei entschlüsseln. Ohne die Lock-Datei können Sie allerdings nicht auf die verschlüsselten Daten zugreifen. Dies ist nur noch mit erheblichem manuellen Aufwand möglich, der weder von gbde(8) noch seinem Entwickler unterstützt wird.**


=== Einbinden der verschlüsselten Partition in den Kernel ===
  # gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c

Das Kommando fragt die Passphrase ab,
die Sie beim Vorbereiten der Partition eingegeben haben.
Das neue Gerät erscheint danach als /dev/device_name.bde
im Verzeichnis /dev:

  # ls /dev/ad*
  /dev/ad0        /dev/ad0s1b     /dev/ad0s1e     /dev/ad4s1
  /dev/ad0s1      /dev/ad0s1c     /dev/ad0s1f     /dev/ad4s1c
  /dev/ad0s1a     /dev/ad0s1d     /dev/ad4        /dev/ad4s1c.bde


=== Dateisystem auf dem verschlüsselten Gerät anlegen ===

Ab FreeBSD 5.1-RELEASE wird //-O2// als Voreinstellung verwendet.

  # newfs -U -O2 /dev/ad4s1c.bde

**Anmerkung:** newfs(8) muss auf einer dem Kernel bekannten gbde-Partition (einem Gerät mit dem Namen *.bde) laufen.


=== Einhängen der verschlüsselten Partition ===

  # mount /dev/ad4s1c.bde /private


=== Einhängen eines existierenden verschlüsselten Dateisystems ===


== gbde-Partition im Kernel bekannt machen ==

  # gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c
  # fsck -p -t ffs /dev/ad4s1c.bde
  # mount /dev/ad4s1c.bde /private


=== Kompatibilität ===

sysinstall(8) kann nicht mit verschlüsselten gbde-Geräten umgehen.
Vor dem Start von sysinstall(8) sind alle *.bde-Geräte zu deaktivieren,
da sysinstall(8) sonst bei der Gerätesuche abstürzt.
Das im Beispiel verwendete Gerät wird mit dem folgenden Befehl deaktiviert:

  # gbde detach /dev/ad4s1c

**Anmerkung:** Sie können gbde nicht zusammen mit vinum benutzen, da vinum(4) das geom(4)-Subsystem nicht benutzt.