https://www.opennet.me/openforum/vsluhforumID3/55078.html Устанавливаем систему стандартным образом в один минимальный корневой раздел, для дополнительных разделов <br>создаем фиктивные точки монтирования. Таблица разделов имеет примерно такой вид:<br><br> ad4s1a / 256M<br> ad4s1b swap<br> ad4s1d /new-root<br> ad4s1e /new-tmp<br> ad4s1f /new-var<br> ad4s1g /new-usr<br><br>Загружаемся в установленную систему.<br><br>В /boot/loader.conf добавляем <br><br> geom_eli_load="YES"<br><br>Отмонтируем раздел /new-root, который будет содержать новый шифрованный корень:<br><br> umount /new-root<br><br>Инициализируем шифрование будущего корня и форматируем раздел:<br><br> geli init -b -l 256 /dev/ad4s1d<br> geli attach /dev/ad4s1d<br> newfs -L root /dev/ad4s1d.eli<br><br>В /etc/fstab меняем /dev/ad4s1d на /dev/ad4s1d.eli<br>Монтируем шифрованный раздел:<br><br> mount /new-root<br><br>Создаем ключи для шифрования остальных разделов, заполнив их случайными данными:<br><br> dd if=/dev/random of=/new-root/ad4s1e.key bs=512 count=1<br> dd if=/dev/random of=/new-root/ad4s1f.key bs=512 count=1<br> dd if=/dev/random of=/new- https://www.opennet.me/openforum/vsluhforumID3/55078.html#9 Sun, 24 Apr 2011 21:00:25 GMT А лучшее - получать ключи из локальной сети, из незаметной коробочки.<br>Которую забудут конфисковать и которую всегда можно разбить :)<br> https://www.opennet.me/openforum/vsluhforumID3/55078.html#8 Mon, 01 Jun 2009 14:37:34 GMT После того, как компьютер загрузится, носитель с ключами надо убрать. При вторжении врага носитель с ключами вообще уничтожается (при том, что где-то далеко в защищённом месте есть его копия), и тогда люди даже под прессингом не могут выдать врагу пароль.<br> https://www.opennet.me/openforum/vsluhforumID3/55078.html#7 Mon, 01 Jun 2009 05:09:24 GMT А как с ключами на внешнем носителе защищённость выше? Ведь изъяли комп сразу видимо с этим носителем если он не убран, и всё. Все данные как на ладони. А пароль в голове и не понятно у кого..<br> https://www.opennet.me/openforum/vsluhforumID3/55078.html#6 Mon, 01 Jun 2009 01:20:51 GMT с ключами на флэшке/cd/dvd защищенность НАМНОГО выше, но и в описанном варианте нужен ещё и пароль для монтирования, так что со сложным паролем тоже всё безопасно.<br> https://www.opennet.me/openforum/vsluhforumID3/55078.html#5 Sun, 31 May 2009 19:36:18 GMT А подскажите пожалуйста, в случае применения описанной в этой статье схемы можно ли защититься от монтирования шифрованной ФС с другого компа или другого способа получения доступа к ФС? Ведь если при загрузке корневая фс монтируется, то видимо откуда то берутся эти ключи всё же. В данную проблему не вникал, потому спрашиваю :) <br> https://www.opennet.me/openforum/vsluhforumID3/55078.html#4 Fri, 29 May 2009 10:22:24 GMT Велосипедист. Говорят же тебе было - значит было.<br><br>http://www.opennet.ru/base/sys/freebsd_geli_root.txt.html<br> https://www.opennet.me/openforum/vsluhforumID3/55078.html#3 Fri, 29 May 2009 08:11:52 GMT Ужас... Ещё несколько лет назад фря ставилась на шифрованные гелей разделы стандартным инсталлятором. Зачем всё это?!<br><br>А линуксы и подавно без каких-либо телодвижений - всё автоматически... <br> https://www.opennet.me/openforum/vsluhforumID3/55078.html#2 Fri, 29 May 2009 03:58:32 GMT &gt;кажись уже было здесь <br><br>Было для Linux.<br><br> https://www.opennet.me/openforum/vsluhforumID3/55078.html#1 Fri, 29 May 2009 03:04:41 GMT кажись уже было здесь<br>----------<br>забыли про проблему с usb клавами :) <br>