FreeBSD-Grundkurs 028: Festplattenverschlüsselung mit GELI

Datenverschlüsselung ist sehr wichtig. Wie einfach das mit FreeBSD und GELI funktioniert, zeigt dieses Video.

Festplattenverschlüsselung mit GELI
Festplattenverschlüsselung mit GELI

Das Vorgehen ist relativ einfach. Wir verschlüsseln eine Festplatte mit AES-XTS 256 mit Passphrase (Kennwort) und einer Sektorgröße von 4096:

geli init -s 4096 -e aes -l 256 $device

Das Einhängen ist dann ebenfalls leicht:

geli attach $device

Wenn man die Festplatte (oder Partition oder das Device) beim Starten des Computers entschlüsselt wird, dann reicht ein Eintrag in der /etc/rc.conf:

geli_devices="$device"

Mitunter ist es sinnvoll, das Auto-Detaching abzuschalten, weswegen noch ein Eintrag in die rc.conf muss:

geli_autodetach="NO"

Bitte lest dazu aber alle Dokus durch, da es da um einen sicherheitsrelevanten Teil geht!

Nicht vergessen, dass in der /boot/loader.conf folgender Eintrag bei der Benutzung von GELI stehen muss:

geom_eli_load="YES"

Es gibt noch weitere Möglichkeiten. Es ist zum Beispiel möglich, bestimmte Parameter (z.B. geli_autodetauch) auf einzelne Devices zu konfigurieren, so dass diese dann nicht global gelten. Hier gibt es noch weiteführende Informationen, die unbedingt gelesen werden sollten.

Als Nachtrag: Wenn der Computer das kann, Hardware-Encryption einschalten (/boot/loader.conf):

aesni_load="YES"

Hier geht es zum Video.