memo

2013-05-02

OpenBSD 5.3 の full disk encryption 試す

OpenBSD 5.3 から softraid(4) の RAID1, crypt volume からの boot に対応したそうなので、 disk まるごと暗号化してみる。

手順は ここ に書かれている通り。

  1. Install media から boot して (S)hell 選ぶ

  2. Disk が sd0 だとして、 fdisk -i wd0 を実行する。

  3. disklabel -E sd0 を実行し、テキトウに label を作る。

    OpenBSD は標準で swap を暗号化するので、 swap 用の partition (b) はこの時点で作っておく。 残りは a に。

  4. bioctl -c C -l /dev/sd0a softraid0 で crypt volume を作成する。

    softraid0: SR CRYPTO volume attached as sd1 とか出てくれば成功。この sd1 に OS を入れる。

  5. Shell から exit し、 (I)nstall 開始。普通に入れるだけ。

  6. /mnt/etc/fstab に最初に作った swap の情報を書き込む。

    sysctl hw.disknames で DUID を調べて 1a8bab44e9cc178d.b none swap sw みたいに書く。

  7. Reboot. パスワードを聞かれるのを確認。

/bsd 読む前にパスワード聞かれてるし、 boot loader が頑張ってるのかな。