Diese Funktion ist erst ab FreeBSD 5.0 vorhanden.
# vi /usr/src/sys/i386/conf/MYKERNEL options GEOM_BDE
# mkdir /etc/gbde
Im Beispiel verwenden wir die Partition /dev/ad4s1c.
Setzen Sie sector_size auf 2048, wenn Sie UFS1 oder UFS2 benutzen.
# gbde init /dev/ad4s1c -i -L /etc/gbde/ad4s1c sector_size = 2048
Achtung: Sichern Sie die Lock-Dateien von gbde immer zusammen mit den verschlüsselten Dateisystemen. Ein entschlossener Angreifer kann die Daten vielleicht auch ohne die Lock-Datei entschlüsseln. Ohne die Lock-Datei können Sie allerdings nicht auf die verschlüsselten Daten zugreifen. Dies ist nur noch mit erheblichem manuellen Aufwand möglich, der weder von gbde(8) noch seinem Entwickler unterstützt wird.
# gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c
Das Kommando fragt die Passphrase ab, die Sie beim Vorbereiten der Partition eingegeben haben. Das neue Gerät erscheint danach als /dev/device_name.bde im Verzeichnis /dev:
# ls /dev/ad* /dev/ad0 /dev/ad0s1b /dev/ad0s1e /dev/ad4s1 /dev/ad0s1 /dev/ad0s1c /dev/ad0s1f /dev/ad4s1c /dev/ad0s1a /dev/ad0s1d /dev/ad4 /dev/ad4s1c.bde
Ab FreeBSD 5.1-RELEASE wird -O2 als Voreinstellung verwendet.
# newfs -U -O2 /dev/ad4s1c.bde
Anmerkung: newfs(8) muss auf einer dem Kernel bekannten gbde-Partition (einem Gerät mit dem Namen *.bde) laufen.
# mount /dev/ad4s1c.bde /private
# gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c # fsck -p -t ffs /dev/ad4s1c.bde # mount /dev/ad4s1c.bde /private
sysinstall(8) kann nicht mit verschlüsselten gbde-Geräten umgehen. Vor dem Start von sysinstall(8) sind alle *.bde-Geräte zu deaktivieren, da sysinstall(8) sonst bei der Gerätesuche abstürzt. Das im Beispiel verwendete Gerät wird mit dem folgenden Befehl deaktiviert:
# gbde detach /dev/ad4s1c
Anmerkung: Sie können gbde nicht zusammen mit vinum benutzen, da vinum(4) das geom(4)-Subsystem nicht benutzt.