Comment on page
第 12.1 节 概述
注意以下部分来自互联网。请自行甄别。
GBDE (基于 GEOM 的磁盘加密)
内核中的 GEOM 模块 gbde(4)
用户空间工具 gbde(8)
创建后缀为
.bde 的新设备GELI (GEOM eli)
内核中的 GEOM 模块
用户空间工具 geli(8)
创建后缀为
.eli的新设备在扇区级操作
创建新的设备以允许对数据进行纯文本访问
访问存储层的标准化方式
GEOM 类的集合
类可以以任何顺序自由堆叠
I/O 请求转换的抽象化
变换:条带化、镜像、分区、加密
提供者和消费者
自动发现
主密钥(2048 个随机位)位于 GEOM 设备的一个随机位置在 GEOM 设备上,其位置存储在一个锁文件中。
锁定文件使用用户密码进行加密,并且应该 应单独存储
最多可以有 4 个独立的用户秘密(锁定扇区)
每个扇区使用
AES-CBC-128 和一个随机的扇区密钥进行加密。扇区密钥扇区密钥使用从主密钥和扇区号中提取的密钥进行加密。扇区密钥使用由主密钥和扇区编号衍生的密钥进行加密
存储每个扇区密钥的磁盘空间开销
非原子性的磁盘更新,因为扇区密钥是与数据分开存储的 因为扇区密钥与数据分开存储
不支持在/文件系统中安装加密的设备系统中的加密设备
简单的扇区对扇区加密
为了对扇区进行对称加密,选择一个随机的主密钥
主密钥使用用户密钥进行加密,并存储在 GEOM 设备的最后一个扇区中
主密钥的最多两个加密副本可以存储在扇区中
用户密钥由最多两个部分组成:一个用户口令和一个密钥文件
口令使用 PKCS #5:基于密码的密码学规范 2.0(Password-Based Cryptography Specification 2.0)来加强
加密技术规范 2.0 (RFC 2898)
可以对数据完整性进行验证
由于利用了 crypto(9)框架,自动利用硬件加速加密操作的优势
支持多种加密算法(AES-XTS,AES-CBS, Blowfish-CBC, Camellia-CBC, 3DES-CBC)和不同的密钥长度。不同的密钥长度
允许在/文件系统中挂载加密的设备
自 FreeBSD 11 支持从加密的分区启动
# fdisk -s /dev/da0 #打印磁盘对象汇总信息。其中 /dev/da0 即磁盘对象,表示本机的第一块硬盘,如果不写 默认显示启动盘信息。还可以写成分片或分区,如 /dev/da0s1 和 /dev/da0s1a,其中硬盘用 da 表示,从 0 起算,分片用 s 表示,从 1 起算,分区则用字母 a-h 表示,/dev/da0s1a 即表示第一块硬盘第一个分片的 第一个分区,这是 MBR 的表示方法。GPT 由于没有分片的概念,直接就是分区,因此用 p 表示分区,从 1 起算,/dev/da0p1 即表示第一块硬盘的第一个分区
# dd if=/dev/zero of=/dev/da1 bs=1k count=1 #清理磁盘信息
# fdisk -BI /dev/da1 #初始化磁盘,默认 MBR 模式 bsdlabel -w /dev/da1s1 #写入 bsdlabel
# bsdlabel -e /dev/da1s1 #用 vi 编辑器编辑
# bsdlabel geom -t #树状结构显示磁盘对象关系
# geom disk lsit #列表显示已使用的物理磁盘
# geom disk status #显示已使用的物理磁盘状态信息
# gpart list | geom part list #列表显示已创建的分片和分区
# gpart status | geom part status #显示已创建的分片和分区状态信息
# gpart show /dev/da1 #显示已使用的硬盘信息
# gpart create -s GPT /dev/da1 #为磁盘/dev/da1 创建分区表,本例为 GPT 模式,还可以设置 MBR、APM、 BSD、BSD64、LDM、VTOC8
# gpart add -b 64 -s 2048m -t freebsd-ufs -i 2 -l root0 /dev/da1 #在磁盘 /dev/da1 上创建新分区。-b 表示起始位置;-s 表示分配空间;-t 为分区格式,分片时可以用 freebsd,还有 freebsd-boot、freebsd-swap、freebsdzfs 等类型;-i 表示索引,本例为 2,即新分区名为 /dev/da1p2;-l 为标签 newfs /dev/da1p2 #格式化分区
# gpart modify -i 2 -t freebsd-zfs -l myroot /dev/da1 #在磁盘/dev/da1 上修改索引为 2 的分区,分区格式和标签均可修改
# gpart resize -i 2 -s 4g /dev/da1 #在磁盘/dev/da1 上调整索引为 2 的分区大小,单位可以用 k、m、g、t。注意,如果要缩小分区,则分区不能处于使用状态,这意味着系统分区默认情况下无法缩小;如果要扩大分区,则分区后面必须是空闲空间,而不能有其他分区,这意味着系统分区默认情况下也无法扩展。因此在创建 FreeBSD 虚机时,应充份考虑可能使用系统盘的情况,或尽量避免使用系统盘
# gpart bootcode -b /boot/mbr /dev/da1 #写入启动代码,常用的还有/boot/gptboot 和/boot/boot
# gpart set -a active -i 1 /dev/da0 #设置活动分片。分区表为 MBR 时,bsdinstall 和 sade 会自动把新建的分片设置为活动分片,从而导致操作系统重启时无法正确加载启动分区,故需要重设
# gpart delete -i 2 /dev/da1 #在磁盘/dev/da1 上删除索引为 2 的分区
# gpart destroy -F /dev/da1 #销毁磁盘/dev/da1 上的信息,-F 参数表示强制
# mount /dev/da1p1 /data #将分区/dev/da1p1 挂载到/data 目录,挂载后注意用 chown 命令设置归属,若希望重启后自动挂载,请在终端执行命令:
# printf "/dev/da1p1t/datattufstrwt0t0n" >> /etc/fstab
# umount /data #卸载/data 目录上的挂载
下面再给出四组示例,谨供参考:
# gpart resize -i 1 -s 149g /dev/da0 #调整分片/dev/da0s1 的空间为 149G。尽管磁盘的大小为 150G,但由于技术原因,实际可使用的空间并没有那么多
# gpart add -t freebsd-ufs /dev/da0s1 #在分片 /dev/da0s1 上添加分区,类型 freebsd-ufs。不指定-s 参数时,表示将 剩余空间都分配给该分区
# newfs /dev/da0s1d #格式化新分区。这里注意新分区名称,由于 a 是启动分区,b 是 swap 分区,c 已经被分 片本身占用,因此新分区默认分配为 d
# mkdir /data
# mount /dev/da0s1d /data
# printf "/dev/da0s1dt/datattufstrwt2t2n" >> /etc/fstab
# gpart add -t freebsd /dev/da0 #在次跑/dev/da0 上添加分片,类型 freebsd。不指定-s 参数时,表示将剩余空间都 分配给该分片
# gpart create -s BSD /dev/da0s2 #设置分片生效 gpart add -t freebsd-ufs /dev/da0s2 #在分片/dev/da0s2 上添加分区,类型 freebsd-ufs。不指定-s 参数时,表示将 剩余空间都分配给该分区
# newfs /dev/da0s2a #格式化新分区。由于当前分区是当前分片上的第一个分区,因此系统默认分配为 a
# gpart set -a active -i 1 /dev/da0 #设置活动分片。若用 bsdinstall 或 sade 创建新分片,则此步骤为必须
# mkdir /data mount /dev/da0s2a /data
# printf "/dev/da0s2at/datattufstrwt2t2n" >> /etc/fstab
# gpart add -t freebsd-ufs /dev/da0 #在磁盘/dev/da0 上添加分区,GPT 中没有分片的概念
# newfs /dev/da0p4 #格式化新分区。这里注意新分区名称,p1 是 boot 分区,p2 是系统分区,p3 是 swap 分区,因此新分区默认为 p4
# mkdir /data mount /dev/da0p4 /data
# printf "/dev/da0p4t/datattufstrwt2t2n" >> /etc/fstab
# gpart create -s GPT /dev/da1 #为磁盘/dev/da1 设置分区表。若想用 MBR 分区,则将-s 参数的值改为 MBR
# gpart add -t freebsd-ufs /dev/da1 #在磁盘/dev/da1 上添加分区,类型 freebsd-ufs
# newfs /dev/da1p1 #格式化新分区。由于当前分区是当前分片上的第一个分区,因此系统默认分配为 p1
# mkdir /data mount /dev/da1p1 /data
# printf "/dev/da1p1t/datattufstrwt2t2n" >> /etc/fstab