Festplattenverschlüsselung unter FreeBSD
Ich wollte die Daten eines NAS-Server den ich ausser Betrieb nehmen wollte zusätzlich noch mal auf einer verschlüsslten Festplatte sichern. Basis für mein Vorgehen und diese Notizen ist im wesentlichen dieses Dokument
Zuerst feststellen welche Festplatte es denn ist
geom disk list
...
... Geom name: da1 Providers: 1. Name: da1
Mediasize: 500107862016 (466G)
Sectorsize: 512
Mode: r0w0e0
descr: ST500LM0 12 HN-M500MBB
ident: 3209495F9004
rotationrate: unknown
fwsectors: 63
fwheads: 255
also da1 ist die Platte um die es geht. Diese Platte wird erstmal bereinigt und mit einer neuen Partition versehen
gpart destroy -F da1
da1 destroyed
gpart create -s GPT da1
da1 created
gpart add -t freebsd-ufs -i 1 da1
da1p1 added
In meinem Fall wollte ich die Platte nur mit einer Passphrase verschlüsseln
geli init -s 4096 /dev/da1p1
Enter new passphrase:
Reenter new passphrase:
Jetzt die veschlüsselte Platte anhängen
geli attach /dev/da1p1
Enter passphrase:
Dadurch wurde ein neues Device erzeugt
ls /dev/da1p1.eli
/dev/da1p1.eli
auf dem ich ein neues Filesystem erstelle
newfs /dev/da1p1.eli
/dev/da1p1.eli: 476940.0MB (976773080 sectors) block size 32768, fragment size 4096
using 762 cylinder groups of 626.09MB, 20035 blks, 80256 inodes.
super-block backups (for fsck_ffs -b #) at:
192, 1282432, 2564672, 3846912, 5129152, 6411392, 7693632, 8975872, 10258112, 11540352, 12822592, 14104832, 15387072,
16669312, 17951552, 19233792, 20516032, 21798272, 23080512....
....
Das können wir jetzt ganz normal mounten
mkdir /mnt/private
mount /dev/da1p1.eli /mnt/private/
touch /mnt/private/firstfile
ls -ls /mnt/private/
total 4
4 drwxrwxr-x 2 root operator 512 Sep 4 17:04 .snap
0 -rw-r--r-- 1 root wheel 0 Sep 4 17:06 firstfile
df -h
Filesystem Size Used Avail Capacity Mounted on
....
....
/dev/da1p1.eli 451G 8.0K 415G 0% /mnt/private
Aushängen geht dann so
umount /mnt/private/
geli detach /dev/da1p1.eli
Das ganze wollte ich natülrich auch noch auf dem neuen NAS testen.
geli attach /dev/da2p1
Enter passphrase:
mkdir /mnt/altes-nas
mount /dev/da2p1.eli /mnt/altes-nas
ls -ls /mnt/altes-nas
.....
....
und die Verzeichnisse konnten gelesen werden.