[FUG-BR] Cryptographic Filesystem !

[Felipe Neuwald]

Bom dia Éderson,

não há como criptografar o raiz (/), pois o sistema precisa ler o /etc, 
/boot, etc ao iniciar. O Ideal mesmo é você criar um diretório a ser 
criptografado, como o /cripto que você está criando. Utilizo o GEOM_BDE. 
Em discos SATA está funcionando bem, porém, em discos IDE estou tendo 
problemas. Já testei vários discos IDE e na grande maioria tive 
problemas. Com os SATAs não estou tendo nenhum tipo de problema.

Então...:

1. Substitua os discos IDE por discos SATAs no seu projeto;
2. Para montar o disco criptografado, você precisa do gbde lock file e 
da passphrase. Você pode manter o gbde lock file no /etc/gbde ou em 
algum outro lugar dentro do sistema, mas não é aconselhável você manter 
a passphrase dentro do sistema. Assim toda a segurança (criptografia 
neste caso) está comprometida, principalmente se essa passphrase estiver 
dentro dos scripts de inicialização;
3. O ideal mesmo é você não ter nem o lock file dentro do seu sistema.
4. Sugestão: use pen drives como "chaves" de acesso. O disco só monta se 
o pen drive estiver "plugado" no servidor.

Espero ter auxiliado.

Um abraço,

Felipe.



Éderson Chimbida escreveu:
> Dae pessoas !
> Bem, montei um miniBSD com o FreeBSD 6.1-RELEASE, que vai rodar em uma
> memoria USB ou em um CF ligado na IDE, mas agora estou precisando
> criptografar o sistema de arquivos, para que a leitura só seja
> possivel apos ter bootado pelo SO.
>
> Eu já tinha usado o CFS e o gbde(8) para GEOM no FreeBSD 5.x. Comecei
> a fazer testes com o geli(8) para GEOM:
>
> http://www.freebsd.org/cgi/man.cgi?query=geli&apropos=0&sektion=8&manpath=FreeBSD+6.1-RELEASE&format=html
>
> Consegui criar uma partição tipo /cripto, mas nao todo o FS, alguém
> tem alguma dica ? É possivel fazer isso ?
>
>