В данной статье рассмотрим процесс шифрования корневого раздела в FreeBSD с использованием класса GEOM ELI.
Корневой раздел / будет шифроваться паролем, который будет запрошен во время загрузки системы. Разделы var, usr, tmp шифруются ключем и будут монтироваться автоматически после корневого раздела.
Перед прочтением данной статьи прочтите нашу предыдущую статью Шифруем разделы, виртуальные диски и Swap в FreeBSD, в которой описываются базовые команды при работе с классом GEOM ELI и пути изменения стандартных алгоритмов шифрования.
Установим систему в один минимальный корневой раздел ad0s1a (рекомендуется использовать минимальную установку), для будущих разделов /, var, usr, tmp создадим соответствующие фиктивные точки монтирования.
Таблица разделов должна иметь примерно такой вид:
ad0s1a / 256M
ad0s1b swap 4G
ad0s1d /new-root 2G
ad0s1e /new-tmp 2G
ad0s1f /new-var 2G
ad0s1g /new-usr *
Загружаемся в установленную систему.
В /boot/loader.conf добавляем строчку geom_eli_load=»YES»
Отмонтируем раздел /new-root, в котором будет размещен новый шифрованный корень
umount /new-root
Шифруем, присоединяем и форматируем раздел для будущего корня