OpenBSDでフルディスク暗号化を設定するには？

OpenBSDはフルディスク暗号化のみをサポートします。オープンBSD 5.3。以前のバージョンでは、プレーンテキストのブートパーティションが必要でした。暗号化されたパーティションへの直接インストールをサポートするためにインストーラがいつ変更されたかわかりません（もちろん、次のビットを復号化する必要があるため、ブートローダはまだ暗号化されていません）。

とにかく、システムパーティションを暗号化することはほとんど役に立ちません。したがって、システムを正常にインストールしてから暗号化されたファイルシステムイメージを作成し、ここに重要なデータ（/home、部分データ/var、一部ファイル/etc）を配置することをお勧めします。

機密ソフトウェアなどの特別なユースケースがあるため、システムパーティションを暗号化したいが、最初に暗号化されたシステムをインストールしなかった場合は、次の方法に従ってください。

OpenBSDインストールから起動し、暗号化されたファイルシステムイメージを含むファイルを作成します。後で変更が難しいので、適切なサイズを選択してください。 （画像を追加で作成できますが、画像ごとに別々のパスワードを入力する必要があります。）vnconfigマニュアルページには例があります（いくつかの手順がありません）。簡単に言うと：

dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img  # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0  # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c

適切な項目を追加します。/etc/fstab:

 /ENCRYPTED.img  /dev/svnd0c  vnd rw,noauto,-k
 /dev/svnd0a     /home        ffs rw,noauto

起動時に暗号化されたボリュームとその中にファイルシステムをマウントするコマンドを追加する/etc/rc.local:

echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home

次のコマンド（）を実行して、すべてが正しく機能していることを確認してくださいmount /dev/svnd0c && mount /home。

これはrc.local起動プロセスの後半に行われるため、sshやsendmailなどの標準サービスで使用されているファイルを暗号化されたボリュームに入れることはできません。これを行うには、/etc/rc後でこのコマンドを入力してくださいmount -a。次に、重要と思われるファイルシステム部分を/homeボリュームに移動します。

mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var

スワップ領域も暗号化する必要がありますが、OpenBSDはこれを自動的に実行します。

暗号化されたファイルシステムを取得する新しい方法は次のとおりです。ソフトウェアRAIDドライバを介して softraid。よりsoftraidそしてbioctlマンページまたはLykle de VriesのOpenBSD CryptoNAS HOWTOより多くの情報を知りたいです。最新バージョンのOpenBSDは、ソフトレイドボリュームからの起動をサポートしています。インストールするインストール中にシェルを入力してボリュームを作成し、Softraiボリュームに追加します。

¹ _{私が知っている限り、OpenBSDはボリューム暗号化機密保護されています（Blowfishの場合）。まっすぐ。オペレーティングシステムの整合性を保護することは重要ですが、秘密を維持する必要はありません。オペレーティングシステムの整合性を保護する方法もありますが、この回答の範囲外です。}