Мы — долго запрягаем, быстро ездим, и сильно тормозим.

FreeBSD
  настройка
  подсчёт трафика
  программы
  почтовые системы
  Шелезяки
  Мелочи
  Файловая система
  WWW
  Security
  немного о безопасности
  VPN (PoPToP)
  PortSentry
  sysctl
  vtund
  ipfwcount
  FreeBSD & DSA
  mpd – легко и просто!
  mpd + freeradius + mysql
  Бронированный FreeBSD
  sshit
  DSL-G804V и FreeBSD 6.2
  portaudit
  OpenVPN
  Bluetooth proximity monitor
  ESET NOD32
  GEOM-ELI
  stunnel для pop3,smtp
  NOD32 mirror
  mpd5 + ipfw-nat
  Openvpn 2 офиса
  Hotspot
  OpenVPN+авторизация
  termlog
  mpd5 + сжатие и шифрование
  ipsec_vpnc
  TOR Сервер
  Snort на FreeBSD
  Arpwatch
  Установка и настройка OpenVPN
  NOD32_mirror_v2
  Fail2ban
  IPSec
  Перенос OpenVPN сервера
  Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
  nod32 mirror script
  MAC + apache
  system
  Games Servers
  X11
  Programming
Очумелые Ручки
OpenBSD
Cisco


www.lissyara.su —> статьи —> FreeBSD —> Security —> GEOM-ELI

GEOM-ELI

Автор: netcat.


Вообщем возникла у меня необходимость найти способ надежно скрывать некоторую информацию. Причина - присутствие определенных конфиденциальных данных на предприятии и впоследствии создание профилей ОС Windows на удаленном сервере некоторых людей, обладающих и работающих с информацией, которую нежелательно показывать кому-либо, например возможной внезапной проверке со стороны соответствующих органов. Более менее грамотная серьезная проверка сразу обращает внимание на компьютеры, а так же сервера (как хранилища информации), поэтому задача состояла в том, чтобы при случае либо вообще не прикладывать руку к ее сокрытию (на месте все равно никто не станет копаться во FreeBSD ИМХО), либо самый минимум.

Поэтому я решил использовать класс GEOM-ELI, появившийся во FreeBSD, начиная с 6.0 релиза. Вообщем, использование данного класса оказалось достаточно несложным, да и немногим отличающийся от руководства.
Мысли значит такие. Класс GEOM-ELI поддерживает 3 алгоритма шифрования - AES, 3DES и Blowfish. А также поддержка контроля целостности данных, реализованная алгоритмами:

HMAC/MD5
HMAC/SHA1
HMAC/RIPEMD160
HMAC/SHA256
HMAC/SHA384
HMAC/SHA512

Основной случайно сгенерированный ключ будет храниться на USB-флешке, ключевая фраза - в голове :) Решил использовать алгоритм Blowfish + HMAC/SHA512.

Итак, мы имеем тестовую машину Core Duo, 1024 Мб ОЗУ, общий физический объем SATA жестких дисков ~2 Террабайта в массивах, платформа - FreeBSD 6.2. Под шифрованный раздел отдадим заранее предназначенный для теста - /crypto размером ~100 Гб.(!)Если вы используете Soft Updates, ACL, MAC и т.п. на файловой системе - заранее сделайте tunefs до криптования.


$ uname -psr
FreeBSD 6.2-RELEASE i386
$ df -h
 
Filesystem       Size    Used   Avail Capacity  Mounted on
/dev/ar0s1a      4.7G     55M    4.3G     1%    /
devfs            1.0K    1.0K      0B   100%    /dev
/dev/ar0s1h       91G    4.0K     84G     0%    /ar0data
/dev/ar0s1g       95G    4.0K     87G     0%    /crypto
/dev/ar0s1f      9.5G     22K    8.7G     0%    /home
/dev/ar0s1d       14G    1.4G     12G    10%    /usr
/dev/ar0s1e      9.5G     71M    8.6G     1%    /var
/dev/ar1s1d      226G     62K    208G     0%    /ar1data
/dev/twed0s1d    451G    327G     88G    79%    /twed0data


Итак, для начала скомпилируем ядро с опциями:
options   GEOM_ELI
device    crypto


Смонтируем на запись флешку в каталог /mnt:
# ls /dev | egrep 'da\ws\w'
da0s1
da1s1
# mount_msdosfs -o rw /dev/da0s1 /mnt


Генерим ключ размером 64 байта на флешку:
# dd if=/dev/random of=/mnt/ar0s1g.key bs=64 count=1
1+0 records in
1+0 records out
64 bytes transferred in 0.000073 secs (877240 bytes/sec)


Отмонтируем слайс ar0s1g (/crypto):
# umount -f /dev/ar0s1g


Инициализируем провайдера - размер сектора 4Кб, алгоритм Blowfish, контроль целостности посредством HMAC/SHA512, размер ключа, скажем, 384 бита (максимальный ключ в Blowfish насколько я помню может быть 448 бита). Придумываем ключевую фразу.
# geli init -s 4096 -K /mnt/ar0s1g.key -e Blowfish -a hmac/sha512 -l 384 /dev/ar0s1g
Enter new passphrase:
Reenter new passphrase:


Связываем главный ключ с провайдером, ключевая фраза и сгенерированный файл на флешке служат дешифрацией главного ключа для создания нового GEOM провайдера. В каталоге /dev должен появиться файл /dev/ar0s1g.eli :
# geli attach -k /mnt/ar0s1g.key /dev/ar0s1g
Enter passphrase:
# ls /dev | grep eli
ar0s1g.eli


Далее достаточно продолжительная процедура создания файловой системы (у меня ушло на это около 4-часов):
# dd if=/dev/random of=/dev/ar0s1g.eli bs=1m
dd: /dev/ar0s1g.eli: short write on character device
dd: /dev/ar0s1g.eli: end of device
80000+0 records in
79999+1 records out
83886075904 bytes transferred in 14054.799294 secs (5968500 bytes/sec)
# newfs /dev/ar0s1g.eli
/dev/ar0s1g.eli: 80000.0MB (163839992 sectors) block size 16384, fragment size 4096
        using 238 cylinder groups of 336.98MB, 21567 blks, 21568 inodes.
super-block backups (for fsck -b #) at:
 160, 690304, 1380448, 2070592, 2760736, 3450880, 4141024, 4831168, 5521312, 
6211456, 6901600, 7591744, 8281888, 8972032, 9662176, 10352320, 11042464, 
11732608, 12422752, 13112896, 13803040, 14493184,
 15183328, 15873472, 16563616, 17253760, 17943904, 18634048, 19324192, 
20014336, 20704480, 21394624, 22084768, 22774912, 23465056, 24155200, 
24845344, 25535488, 26225632, 26915776, 27605920, 28296064,
 
#-----SKIPPED-----#

Создадим произвольный файл длиной 512 байт на нашей новой ФС:

# dd if=/dev/urandom of=/crypto/testfile bs=512 count=1
1+0 records in
1+0 records out
512 bytes transferred in 0.000068 secs (7535030 bytes/sec)
# ls -lh /crypto
total 2
drwxrwxr-x  2 root  operator   512B  4 дек 07:18 .snap
-rw-r--r--  1 root  wheel      512B  4 дек 09:52 testfile 

Теперь отмонтируем /crypto, отсоединим провайдера /dev/ar0s1g.eli и выведем список файлов директории. Тестового файла там нету.

# umount /crypto
# geli detach /dev/ar0s1g.eli
# ls -lh /crypto
total 0


Попробуем смонтировать устройство /dev/ar0s1g - неверный супер-блок:

# mount /dev/ar0s1g /crypto
mount: /dev/ar0s1g on /crypto: incorrect super block


Попробуем с неверным ключем или фразой попытаться подключить провайдера - как видим, ничего не получается:

# dd if=/dev/random of=/root/wrong.key bs=64 count=1
1+0 records in
1+0 records out
64 bytes transferred in 0.000058 secs (1104673 bytes/sec)
# geli attach -k /root/wrong.key /dev/ar0s1g
Enter passphrase:
Wrong key for ar0s1g.
# geli attach -k /mnt/ar0s1g.key /dev/ar0s1g
Enter passphrase:
Wrong key for ar0s1g.  


Для своего удобства, накатал несложный скрипт на $BASH для монтирования-демонтирования шифрованной файловой системы (при условии, что она единственная на сервере). особо его не тестил, но у меня работает вроде все:

#!/usr/local/bin/bash

printf "
#####################################################
#                  GEOM-ELI SCRIPT                  #
#####################################################
\n";

printf "[?]Enter 'y' to mount or 'n' to umount GEOM-ELI partition: [y/n] ";
read answer

case "${answer}" in

y|Y) printf "[?]Enter the encrypted partition: ";
     read partition;

     if [ ! -c /dev/${partition} ]
        then
        printf "[!]There is no such device - ${partition}";
        exit 1
     fi

     printf "[?]Enter the mounting point: ";
     read mount;

     if [ ! -d ${mount} ]
        then
        printf "[!]There is no such directory - ${mount}\n";
        exit 1
     fi

printf "[!]Your partition is ${partition}
[!]Mounting point is ${mount}
[!]Trying to mount USB Flash drive on /mnt ...\n";

     declare -a flash=( $(ls /dev | egrep 'da\ws\w') )

     if [ ${#flash[@]} -ge 1 ]
        then
          for usbd in ${flash}
            do
              umount -f /dev/${usbd} 2&>1
            done

     printf "[?]Enter the USB Flash device (${flash[*]:0}): [${flash[0]}]";
     read usbdevice;

     if [ -z ${usbdevice} ]
        then
          usbdevice=${flash[0]}

     if [ ! -d /mnt ]
        then
          mkdir /mnt
     fi

     if mount_msdosfs -o ro /dev/${usbdevice} /mnt
        then
          printf "[!]USB FLASH Device /dev/${usbdevice} successfully mounted on /mnt\n";
        else
          printf "[!]Can't mount USB Flash Device\n";
          exit 1;
     fi
     fi
     fi

     findgeli=$(df -H | grep eli | /usr/bin/awk '{print $1}')

     if [ ${findgeli} ]
        then
          printf "[!]You have already the GEOM-ELI encrypted provider at ${findgeli}\n";
          exit 1;
        else

     if geli attach -k /mnt/${partition}.key /dev/${partition} &> /dev/null
        then
          printf "[!]Key for GEOM-ELI provider attached to /dev/${partition}\n";
          mount /dev/${partition}.eli ${mount} &> /dev/null
          printf "[!]GEOM-ELI encrypted provider mounted to ${mount}\n\n";
          geli list
          umount -f /dev/${usbd} 2&>1
        else
          printf "[!]Can't attach the key /mnt/${partition}.key\n";
          exit 1;
     fi
     fi
;;

n|N) printf "[?]Deattach the GEOM-ELI provider ? [y/n]"
     read answer

     case "${answer}" in

     y|Y) device=$(df -H | grep .eli | /usr/bin/awk '{print $1}')
          mount=$(df -H | grep .eli | /usr/bin/awk '{print $6}')

     if [ ${device} ]
        then
          printf "[!]Found GEOM-ELI provider at ${device}\n";
          umount -f ${mount}
          geli detach ${device}
          printf "[!]GEOM-ELI provider deattached\n";
          exit 0;
        else
          printf "[!]GEOM-ELI provider not found\n";
          exit 1
     fi
;;

     n|N) printf "[!]Exiting\n";
          exit 0
;;

       *) printf "[!]Enter 'y' or 'n'\n";
          exit 1;
;;
     esac
;;

  *) printf "[!]Enter 'y' or 'n'\n";
     exit 1;
;;
esac  

Работает он примерно так:

# ./crypto.sh

#####################################################
#                  GEOM-ELI SCRIPT                  #
#####################################################

[?]Enter 'y' to mount or 'n' to umount GEOM-ELI partition: [y/n] y
[?]Enter the encrypted partition: ar0s1g
[?]Enter the mounting point: /crypto
[!]Your partition is ar0s1g
[!]Mounting point is /crypto
[!]Trying to mount USB Flash drive on /mnt ...
[?]Enter the USB Flash device (da0s1 da1s1): [da0s1]
[!]USB FLASH Device /dev/da0s1 successfully mounted on /mnt
Enter passphrase:
[!]Key for GEOM-ELI provider attached to /dev/ar0s1g
[!]GEOM-ELI encrypted provider mounted to /crypto

Geom name: ar0s1g.eli
EncryptionAlgorithm: Blowfish-CBC
KeyLength: 384
AuthenticationAlgorithm: HMAC/SHA512
Crypto: software
UsedKey: 0
Flags: AUTH
Providers:
1. Name: ar0s1g.eli
   Mediasize: 83886075904 (78G)
   Sectorsize: 4096
   Mode: r1w1e1
Consumers:
1. Name: ar0s1g
   Mediasize: 104857600000 (98G)
   Sectorsize: 512
   Mode: r1w1e1 

И так:

# ./crypto.sh

#####################################################
#                  GEOM-ELI SCRIPT                  #
#####################################################

[?]Enter 'y' to mount or 'n' to umount GEOM-ELI partition: [y/n] n
[?]Deattach the GEOM-ELI provider ? [y/n] y
[!]Found GEOM-ELI provider at /dev/ar0s1g.eli
[!]GEOM-ELI provider deattached 

Вообщем, мне так удобней. Да, и еще. Желательно не забыть из /etc/fstab убрать строку устройства ar0s1g, а то система не загрузится

# sed -ie '/ar0s1g/d' /etc/fstab 

Ну вот в принципе и все.



размещено: 2007-12-08,
последнее обновление: 2007-12-08,
автор: netcat

оценить статью:

Zer0, 2007-12-18 в 15:09:49

столкнулся с тем, что на 6.1 при перезагрузке типа *пропал свет*, раздел улетает в никуда.... щас до 6.2 обновлюся, посмотрим что будет.... иль искать альтернативу буду....

netcat, 2007-12-18 в 19:16:59

выключал аварийно специально, раза 3. Тьфу-тьфу проблем не возникло

bbb, 2007-12-20 в 13:00:10

Товарищи! Это поля для ввода комментариев  статье, а не для вопросов. Сюда пишите найденные баги, или какие-то фичи :)
Для вопросов есть форум!!!!
                                                                                                       

bbb, 2007-12-20 в 13:00:42

ГыГы

lissyara, 2007-12-20 в 14:21:43

Ну а товарищщу 91.76.4.173 юзающему оперу под виндой ХР и инет от стрима, а также посещающему ресурс anastasia.mybb2.ru, я бы посоветовал не выкаблучиваться. =)

smilealex, 2007-12-20 в 14:33:29

Лиссяра - респект! )))

netcat, 2007-12-20 в 18:01:10

а кто это - 91.76.4.173 ? :)) Еще и с Оперой.

dyer, 2008-01-15 в 20:55:09

По тексту (не скрипта - там-то все ясно) не совсем очевидно что после geli attach можно спокойно убирать флэшку в сейф. :)

toptyg, 2008-01-21 в 21:25:53

хех меня вот больше тесты скорости работы и стабильность интересовали :)

DeNIS_1974, 2008-12-15 в 9:15:33

Вот столкнулся с проблемой. Прикупил винт на 750 гиг, присунул в систему FreeBSD 7.0. Сделал раздел на нем ad1s1c, натравил geli. Вроде бы все проинициализировалось и присоединилось. А вот при создании файловой системы - нифига. Из /dev/random ничего не писалось, перед созданием ФС. Я подумал, что можно и без него обойтись. И файловая система тоже несоздалась. Может у кого есть конструктивные идеи ?  

netcat, 2009-03-06 в 15:42:31

ad1s1c раздела по определению быть не может.

DeNIS_1974, 2009-03-07 в 10:26:52

Уважаемый netcat, Вы заставили меня засомневаться ... вот листинг :
$ ls /dev/ad*
/dev/ad0        /dev/ad0s1a     /dev/ad0s1c     /dev/ad1s1
/dev/ad0s1      /dev/ad0s1b     /dev/ad1        /dev/ad1s1c

Почему не может, если его создал сисинсталл? При пересоздании fdisk-ом было тоже. Но есть еще способ создания ФС ... нагуглил в инете ... там newfs запускается с ключем -n, хотя могу и попутать. Просто винт заполнен и с ним экперементировать не хочется, буду новый покупать наверное на тер, с ним позаморачиваюсь. При переходе на 7.1 проблема не исчезла.

netcat, 2009-03-07 в 10:40:49

Вы еще больше засомневаетесь, когда в шелле наберете man disklabel, в частности обращаю Ваше внимание на следующие строки - SAVED FILE FORMAT
    The bsdlabel utility uses an ASCII version of the label when examining,
    editing, or restoring a disk label.  The format is:

        8 partitions:
        #        size   offset    fstype   [fsize bsize bps/cpg]
          a:    81920       16    4.2BSD     2048 16384  5128
          b:  1091994    81936      swap
          c:  1173930        0    unused        0     0         # "raw" part, don't edit

netcat, 2009-03-07 в 12:03:27

А если хотите сделать свою Фрю полностью на GELI с загрузкой с FLASH'ки (ключами доступа-паролями к fs). Если не лень будет статью напишу. У меня уже 3 сервера в таком режиме год работают. Полет нормальный :)

DeNIS_1974, 2009-03-07 в 12:22:48

Ну ... было бы интересно посмотреть, повторить, модифицировать под себя.

DeNIS_1974, 2009-03-07 в 18:39:20

Опс .... в мануале я увидел одну комманду ... disklabel -w /dev/ad-такой то ... блин ... и запустил ее. Появился /dev/ad1s1a так же как и остался /dev/ad1s1c. Машину перегрузил, все осталось на месте. Хотя disklabel говорит что оба слайса без сисемы(ФС). Надо будет почитать мат часть по внимательней ... может еще что нить интересное найду. Надо бы это уже в ветку форума перенести ...

fox, 2009-04-15 в 15:05:51

Добрый день! Это всё круто, но всё же как сделать что бы при загрузке системы Фри сама всё дела паоль вводила и так далие а если в друг чего я сервер парканул выдернул флешку и ушёл) ??? Нужен скрипт как автоматом пароль вводить???

lissyara, 2009-04-15 в 15:11:28

Вы, простите, в своём уме?
Смысл шифровать что-то, если сервер сам будет пароль вводить?

netcat, 2009-04-15 в 15:21:56

Ну для этого можно отказаться от использования пароля (GELI это позволяет). Смысл некий есть, ключ то все-равно используется, но зато теряется некий процент "секьюрности"

lissyara, 2009-04-15 в 17:02:38

настоятельный совет - не забывать про это
dd if=/dev/random of=/dev/ar0s1g.eli bs=1m
можно и /dev/zero юзать, не суть.
иначе получите файловую систему которую не сможетп роверить fsck, и, возможно с ошибками.
причина - размер до проведения этой операции точно не известен.

fox, 2009-04-16 в 2:10:52

Спасиба за наставления, глубоко уважаемые! Но пароль нужен и нужно что бы сам его вводил а пароль в файлеке лежал флешке, флешку я забрал и всё нет пароля нет ключей, а у ровень безопастности с паролем выше!!! И к стате когда я делаю вот это: dd if=/dev/random of=/dev/ar0s1g.eli bs=1m
то он это не длает он вот что отвечает:
[root@fortero ~]# dd if=/dev/random of=/dev/ad1s1d.eli bs=1m
dd: /dev/ad1s1d.eli: Operation not permitted
1+0 records in
0+0 records out
0 bytes transferred in 0.081596 secs (0 bytes/sec)

мне кажетса он не доделывает что то?
И всё же буду очень блогадарен за скрипты которые автоматом монтируют при наличие флешки с ключами и паролем в теикстишном файле...
Спасиба за внимание!)

netcat, 2009-04-16 в 16:31:08

Уровень безопасности по сути своей зависит от длины ключа, а не от того, какой у тебя пароль к ключу, учитывая, что он лежит у тебя на сервере в открытом виде. Смысла тогда в пароле нету никакого, поэтому в man geli в attach нету такой опции, что логично. Даже при варианте шифрования корневой ФС - /boot у тебя все-равно будет на флешке, с ключами и открытым паролем ? Смысл в пароле ?

netcat, 2009-04-16 в 16:34:09

lissyara

По большому счету достаточно добавить count=1 а потом newfs, чтобы время не терять :)

lissyara, 2009-04-16 в 16:47:43

Нет. попробуй сделать файловую систему после count=1 и прогнать по ней fsck
потом снова сделай с затиранием всего раздела - и снова запусти fsck
Увидишь именно то о чём я и говорил.
Надо полностью диск/раздел затирать.

netcat, 2009-04-16 в 17:26:49

Делал. На сервере с 5EE-RAID полезной емкостью HDD в Террабайт (уж не стал мучать террабайт dd). Только fsck должен понять сначала с какой файловой системой ему работать.На то и newfs.

lissyara, 2009-04-16 в 17:28:11

Сдаётся мне - что нет...
Отмонтируй ФС и запусти fsck
вывод - сюда (всё равно больше 64k не влезет =))

netcat, 2009-04-16 в 17:52:31

Ну хорошо. Хозяин-барин :) Щас

netcat, 2009-04-16 в 17:56:39

[17:57 alex@crypto /home/alex]% df -h
Filesystem                           Size    Used   Avail Capacity  Mounted on
/dev/aacd0.elia                      2.0G    130M    1.7G     7%    /
devfs                                1.0K    1.0K      0B   100%    /dev
/dev/aacd0.elid                      9.6G    2.1G    6.7G    24%    /home
/dev/aacd0.elie                       19G    382M     17G     2%    /usr
/dev/aacd0.elif                       19G     13G    4.7G    73%    /var
/dev/aacd0.elig                      2.0G    773M    1.1G    42%    /tmp
/dev/aacd0.elih                      861G    341G    451G    43%    /crypto
172.17.2.200:/usr/ports               14G    2.0G     11G    15%    /usr/ports
172.17.2.200:/twed0data/distfiles    451G    261G    154G    63%    /home/alex/distfiles
[17:57 alex@crypto /home/alex]% su
Password:
[17:58 root@crypto /home/alex]# umount -f /tmp
[17:59 root@crypto /home/alex]# fsck -yf /dev/aacd0.elig
** /dev/aacd0.elig
** Last Mounted on /tmp
** Phase 1 - Check Blocks and Sizes
** Phase 2 - Check Pathnames
** Phase 3 - Check Connectivity
** Phase 4 - Check Reference Counts
** Phase 5 - Check Cyl groups
5655 files, 197771 used, 317004 free (192 frags, 79203 blocks, 0.0% fragmentation)
[17:59 root@crypto /home/alex]#


Ну вот...

lissyara, 2009-04-16 в 17:58:00

хм.. удивительное рядом.
почему же у меня так не получается =)

netcat, 2009-04-16 в 18:38:01

Попробуй так...

[18:34 root@crypto /home/alex]# dd if=/dev/zero of=/dev/aacd0.elig bs=1m count=1
1+0 records in
1+0 records out
1048576 bytes transferred in 0.024977 secs (41981716 bytes/sec)
[18:35 root@crypto /home/alex]# newfs -O2 -b 4096 -U /dev/aacd0.elig
/dev/aacd0.elig: 2048.0MB (4194304 sectors) block size 4096, fragment size 4096
       using 39 cylinder groups of 53.50MB, 13697 blks, 3440 inodes.
       with soft updates
super-block backups (for fsck -b #) at:
144, 109720, 219296, 328872, 438448, 548024, 657600, 767176, 876752, 986328, 1095904, 1205480, 1315056, 1424632, 1534208,
1643784, 1753360, 1862936, 1972512, 2082088, 2191664, 2301240, 2410816, 2520392, 2629968, 2739544, 2849120, 2958696,
3068272, 3177848, 3287424, 3397000, 3506576, 3616152, 3725728, 3835304, 3944880, 4054456, 4164032
[18:38 root@crypto /home/alex]# fsck -yf /dev/aacd0.elig
** /dev/aacd0.elig
** Last Mounted on
** Phase 1 - Check Blocks and Sizes
** Phase 2 - Check Pathnames
** Phase 3 - Check Connectivity
** Phase 4 - Check Reference Counts
** Phase 5 - Check Cyl groups
2 files, 2 used, 515765 free (0 frags, 515765 blocks, 0.0% fragmentation)
[18:38 root@crypto /home/alex]# mount /dev/aacd0.elig /tmp
[18:39 root@crypto /home/alex]# ls -lh /tmp
total 8
drwxrwxr-x  2 root  operator   512B 16 ЮОП 18:38 .snap
[18:39 root@crypto /home/alex]#

salimk, 2009-11-24 в 13:40:12

а если сделать вот так:
geli init -P -s 4096 -K /mnt/ar0s1g.key -e Blowfish -a hmac/sha512 -l 384 /dev/ar0s1g
то тогда не будет запрашиваться "passphrase"

а в /etc/rc.conf можно добавить вот это
geli_enable="YES"
geli_devices="ar0s1g"
geli_amrd3s1a_flags="-p -k /mnt/ar0s1g.key"

тогда ar0s1g будет атачится самостоятельно

а так статья отличная то что нужно

DLRex, 2010-01-23 в 11:54:36

на этаве ввода команды
dd if=/dev/random of=/dev/ar0s1g.eli bs=1m

dd: /dev/ad1s1d.eli: Operation not permitted
1+0 records in
0+0 records out
0 bytes transferred in 0.081596 secs (0 bytes/sec)

и при создании файловой системы в консоль вылазят ошибки. Если проверку по sha не включать то хотя бы можно создать файловую систему и дальше работать. Как это исправить?

Lumpen, 2010-03-22 в 16:20:19

Ошибки fsck вылазят если включать проверку целостности, так что если использовали при создании ключ -a, то нужно делать
# dd if=/dev/zero of=/dev/XX.eli bs=1m
без контроля же достаточно
# dd if=/dev/zero of=/dev/XX.eli bs=1m count=1

BlackJaguar, 2011-05-19 в 10:02:54

замечено, что при перемещении файла ключа подмонтированный шифрованный том остается, поэтому решено написать такой скрипт:
[code]
#!/bin/sh
if [ -f /da0/mykey.key] then
else
reboot
fi
[/code]

Если ключа нет - перегружаем систему. Удобно. Прибежали маски-шоу - флешку за борт и спокоен как питон :)

хандбук по GEOM ELI (руссищ)

fox, 2011-05-19 в 18:11:18

Конечно спокойны как питон, пальцы в дверь засунут, сам раскажешь, кто когда и где?)))))

netcat, 2011-05-19 в 21:33:52

Щас почки опускать в моде. Это очень старая статья - сейчас один из серверов - backup работает с флешки с kernel и ключом к GELI (RAID 5EE полезной ёмкостью в 3Тб).

Минусы - большая нагрузка на процессор и дисковую подсистему в пиковую активность резервного копирования. Плюсы - сервер без флешки и пароля к ключу представляет полностью кучу шифрованного мусора (при условии его ребута).


Оставьте свой комментарий:
Ваше имя:   *
e-mail:  
жирный
наклонный
подчёркнутый
ссылка
цвет
Нынешний год:   *
 


Хостинг HOST-FOOD

2014-07-27, lissyara
gmirror

Удалённое создание софтверного зеркала средствами gmirror, на диске разбитом с использованием gpart. Использование меток дисков для монтирования разделов.
2013-08-20, zentarim
Scan+Print server FreeBSD 9

Настройка сервера печати и сервера сканирования под управлением операционной системы FreebSD 9 для МФУ Canon PIXMA MP540
2011-11-20, BlackCat
Разъём на WiFi-карту

Делаем съёмной несъёмную антену на WiFi-карте путём установки ВЧ-разъёма
2011-09-14, manefesto
Настройка git+gitosis

Настройка системы контроля версия исходного кода в связке git+gitosis+ssh
2011-08-14, zentarim
Wi-FI роутер + DHCP + DNS

Настройка Wi-Fi роутера на Freebsd 8 + DNS сервер + DHCP сервер: чтобы Wi-Fi клиенты были в одной подсети с проводными, проводные и беспроводные клиенты получали адреса автоматически по DHCP, кэширующ
2011-06-15, -ZG-
Охранная система на FreeBSD+LPT

В этой статье описана попытка реализации простой охранной системы на базе FreeBSD с подключением к ней охранных устройтсв на LPT порт и видеорегистрацией.
2011-03-13, terminus
ng_nat

Описание работы ng_nat, практическое использование, достоинства и недостатки в сравнении с ipfw nat
2011-02-20, Капитан
Nagios+Digitemp

Статья описывает создание системы оповещения о превышении температуры в специальных помещениях на основе Nagios с использованием программы Digitemp.
2011-02-17, Le1
Zyxel Configuration

Скрипт для массового изменения конфига свичей Zyxel. Берет из файла iplist список ip-шек, заходит последовательно на каждый и выполняет комманды из файла commands, записывая происходящее в лог файл.
2011-02-16, fox
hast carp zfs ucarp cluster

HAST (Highly Available Storage), CARP, UCARP, ZFS, Cluster настройка и одаптация плюс личные размышления…
2011-02-04, BlackCat
Восстановление ZFS

История о том, как был восстановлен развалившийся RAIDZ ZFS-пул (перешедший в FAULTED) с помощью скотча и подручных средств. Или о том, какие приключения ожидают тех, кто не делает резервных копий.
2011-02-03, Капитан
1-Wire

Статья описывает самостоятельное изготовление контроллера DS9097 для съёма показаний с датчиков температуры DS1820 с помощью программы Digitemp.
2011-01-28, Капитан
Температура в серверной

Статья описывает построение системы наблюдения за температурой в помещении серверной с использованием программы Digitemp и выводом графиков в MRTG
2011-01-21, m4rkell
Syslog server

Как то буквально на днях, у нас завалилось, что то в еве) или не в еве не суть. Суть в том, что когда захотели снять логи с хостов esx обнаружили, что хранят эти негодяи логии только за последнии сутк
2011-01-07, lissyara
Canon/gphotofs

Монтирование цифровых фотоаппаратов Canon (PTP) как файловой системы, автоматизация этого процесса через события devd и внешние скрипты.
2010-12-13, Al
IPSec

Описание принципов работы IPSEC и способов аутентификации.
2010-12-07, manefesto
FreeBSD on flash

Было принято решении переехать на USB Flash и установить минимальный джентельменский набор для работы своего роутера. Делаем =)
2010-12-05, Fomalhaut
root ZFS, GPT

Инструкция по установке FreeBSD с использованием в качестве таблицы разделов GPT и в качестве основной файловой системы - ZFS
2010-09-05, Cancer
Настройка аудиоплеера на ximp3

Цели: Простенький аудиоплеер, для того что бы тетя продавец в магазине утром пришла нажала на кнопку Power и заиграла в зале музыка, так же был доступ по сети, общая шара куда можно заливать музыку, к
2010-08-31, Cancer
Установка и настройка OpenVPN

На днях появилась задача - объединить головной офис и 3 филиала в одну сеть через интернет посредством OpenVPN, чтобы люди могли подключаться через RDP к базам 1С на серверах.
2010-08-25, manefesto
freebsd lvm

Использование linux_lvm для работы с LVM разделами из-под FreeBSD. Проблемы которые возники при монтирование lvm раздела
2010-04-30, gonzo111
proftpd file auth&quota

Proftpd - квоты и авторизация из файлов, без использования базы данных и/или системных пользователей
2010-04-22, lissyara
tw_cli

Пошаговая инструкция по восстановлению RAID на контроллере 3ware, из которого выпал один диск. Настройка мониторинга состояния рейда и отчётов о его состоянии на email.
2010-04-14, fox
MySQL Master+Master

MySQL (Master Master) and (Master Slave) Как настроить репликацию…
2010-03-09, terminus
DNS zones

Краткий ликбез про управление DNS зонами. Примеры проведения делегирования прямых и обратных DNS зон.
2010-03-09, aspera
Squid+AD (group access)

Настройка прокси сервера SQUID с автроризацией пользователей в AD. Разделение пользователей на группы
2010-03-02, BlackCat
Шлюз: Часть 4

Настройка дополнительных сервисов: синхронизация времени (OpenNTPD), клиент DynDNS.org.
2010-03-01, BlackCat
Шлюз: Часть 3

Настройка DHCP и DNS серверов для работы внутри частной сети, c поддержкой внутренних (частных зон) DNS, а так же интеграция DHCP и DNS сервисов.
2010-03-01, BlackCat
Шлюз: Часть 2

Конфигурация МСЭ pf для проброса портов с изменением порта назначения и без, а так же поддержки активного режима FTP и ограничения максимального размера сегмента
2010-03-01, BlackCat
Шлюз: Часть 1

Быстрая настройка шлюза/маршрутизатора с установлением PPPoE-соединения, поддержкой NAT и DNS-forwarding.
подписка

    вверх      
Статистика сайта
Сейчас на сайте находится: 25 чел.
За последние 30 мин было: 107 человек
За сегодня было
15186 показов,
1039 уникальных IP
 

  Этот информационный блок появился по той простой причине, что многие считают нормальным, брать чужую информацию не уведомляя автора (что не так страшно), и не оставляя линк на оригинал и автора — что более существенно. Я не против распространения информации — только за. Только условие простое — извольте подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой, незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
  Если соизволите поставить автора в известность — то вообще почёт вам и уважение.

© lissyara 2006-10-24 08:47 MSK

Время генерации страницы 0.0567 секунд
Из них PHP: 46%; SQL: 54%; Число SQL-запросов: 77 шт.
Исходный размер: 159402; Сжатая: 29977