Geli es una clase GEOM criptográfica que utiliza el framework crypto y entre otras características, soporta múltiples algoritmos criptográficos (AES, Blowfish y 3DES).
Conectar un disco duro externo a un puerto usb, se creará el dispositivo /dev/da0.
Habilitar soporte para geli en del kernel de FreeBSD
options GEOM_ELI
device crypto
Recompilar el kenel y reiniciar con el nuevo kernel.
Cargar el nuevo múdulo geli en el arranque añadiendo la siguiente línea al archivo /boot/loader.conf
geom_eli_load="YES"
Generar la clave maestra
Generar una archivo un archivo de clave que se utilizará como parte de la clave maestra para el proveedor de cifrado montado en /private. El archivo de clave algunos datos aleatorios que se utilizan para encriptar la clave maestra. La clave principal también estará protegida por una contraseña. El tamaño del sector del proveedor /dev/da0.eli será de 4kb
# dd if=/dev/random of=/root/safe/da0.key bs=64 count=1
configurar el algoritmo criptográfico a usar, longitud de la clave, etc:
# geli init -s 4096 -K /root/safe/da0.key bs=64 count=1
Comprobar el sistema de archivos:
Conectar el proveedor con la clave generada:
# geli atach -k /root/safe/da0.key /dev/da0
# ls /dev/da0*
da0 da0.eli
Crear un nuevo sistema de archivos:
# dd if=/dev/random of=/dev/da0.eli bs=1m
# newfs /dev/da0.eli
# mount /dev/da0.eli /private
El sistema de archivos cifrado ahora es visible y disponible para su uso
# df -h
Desmontar y desconectar del proveedor:
Una vez terminado el trabajo sobre la partición cifrada, es prudente desmontar y separar la partición cifrada geli del kernel (en este caso desconectar el disco duro usb):
# umount /private/
# geli detach da0.eli
Conectar de nuevo:
# geli attach -k /root/safe/da0.key /dev/da0
Enter passphrase:
# umount /private
# geli detach da0.eli
Utilizar solo password:
Es más conveniente para cifrar una memoria USB o una imagen de archivo basada sólo en una fase de contraseña sin clave. En este caso no es necesario llevar el archivo de clave adicional para acceder al contenido del disco. El procedimiento es en gran medida el mismo que el anterior, sólo sin el archivo de clave. Vamos a encriptar un archivo basado en imagen /cryptedfile de 1 GB.
# dd if=/dev/zero of=/cryptedfile bs=1M count=1000
# mdconfig -at vnode -f /cryptedfile
# geli init /dev/da0
# geli attach /dev/da0
# newfs -U -m 0 /dev/da0.eli
# mount /dev/da0.eli /private
# geli detach da0.eli
Ahora es posible mountar esta imagen en otro sistema de solo con el password:
# mdconfig -at vnode -f /cryptedfile
# geli attach /dev/ad0
# mount /dev/da0.ali /private
Fuente:
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/disks-encrypting.html
http://bsdtutorial.org/
http://cb.vu/unixtoolbox_pt.xhtml
Unix es genial!.
No hay comentarios:
Publicar un comentario