Re: Question about GEOM_ELI` root partition automount

[Wojciech Puchar]

The problem need to solve:
Need have end system, when keyfile when boot will be created automatically, 
and erased securelly just after root crypto` partition mounts (by dd with 
of=keyfile, for example)

That need to do because freebsd have remote hosting.

Needs:
To make key not (at least EASELY!) catched by unautorised personnel, and 
noone cat pass password there after reboot or power fail/restore cases.


Maby you can give me tip, what pard of src (and maby how, maby /boot/loader 
src) need to change?


how do you want to enter that key?

i would make system bootable and ssh-able but with secure data unmounted 
and very small malloc based md device created. then you upload keyfile to 
it, run geli to attach encrypted device, overwrite md device and destroy 
md device.


if i understand correctly.
___
freebsd-questions@freebsd.org mailing list
http://lists.freebsd.org/mailman/listinfo/freebsd-questions
To unsubscribe, send any mail to "freebsd-questions-unsubscr...@freebsd.org"

Question about GEOM_ELI` root partition automount

[Dmitry Reznichenko]

{ # (Russian lang, ORIGINAL)

Имеется::
1) Загружаемая некриптованная партиция /boot со скриптами ядра 
9.0-release и самим ядром;
2) Криптованная только файл-ключом (ключ лежит сейчас в (1)/boot ) 
рутовая партиция со всем своим содержимым.


Проблема:
При загрузке криптованая партиция сама монтируется, но ключ открытым 
лежит. Нужно именно по ключу, не по паролю (площадка провайдера).


Надо:
Как - то сделать так, что бы ключ был скрыт, не очевиден.

Думаю, можно какой-то из исходников изменить, дописать часть кода, 
например у /boot/loader , так, что бы он сам создавал временно файл 
ключика, а после монтирования ключик затирал секурно (dd в файл ключа).


Я на си ещё не програмил, сответственно и вопрос: хотя бы какой файл в 
исходниках ковырять, в какой части файла? Может быть код даже подскажите?


P.S. Я такую штуку для линукса уже придумал и сделал, но там проще, т.к. 
initrd-image можно разархивировать и легко корректировать.


}

{ # (ENG, translated not so good)

What we have now (FreeBSD 9.0-release):
1) /boot partition, uncrypted, with it`s boot scripts, kernel and so on;
2) crypted root partition (geli init -s 4096 -P -K /root/keyfile 
/dev/adXX), without password but with key; that partition have all its 
freebsd content.

The keyfile located now in (1)/boot.

The problem need to solve:
Need have end system, when keyfile when boot will be created 
automatically, and erased securelly just after root crypto` partition 
mounts (by dd with of=keyfile, for example)

That need to do because freebsd have remote hosting.

Needs:
To make key not (at least EASELY!) catched by unautorised personnel, and 
noone cat pass password there after reboot or power fail/restore cases.


Maby you can give me tip, what pard of src (and maby how, maby 
/boot/loader src) need to change?


P.S. I solve same with linux box, but there i can extract already 
working initrd.img, change in by adding binary program which make their 
work, and make new initrd.img


}

I hope, you will can help me with it, thanks in advance!

btw i don`t power user oc C language :)

___
freebsd-questions@freebsd.org mailing list
http://lists.freebsd.org/mailman/listinfo/freebsd-questions
To unsubscribe, send any mail to "freebsd-questions-unsubscr...@freebsd.org"

Question about GEOM_ELI` root partition automount [COPY from i...@rdmitry.name]

[Дмитрий Резниченко]

* [COPY from i...@rdmitry.name]*

{ # (Russian lang, ORIGINAL)

Имеется::
1) Загружаемая некриптованная партиция /boot со скриптами ядра 
9.0-release и самим ядром;
2) Криптованная только файл-ключом (ключ лежит сейчас в (1)/boot ) 
рутовая партиция со всем своим содержимым.


Проблема:
При загрузке криптованая партиция сама монтируется, но ключ открытым 
лежит. Нужно именно по ключу, не по паролю (площадка провайдера).


Надо:
Как - то сделать так, что бы ключ был скрыт, не очевиден.

Думаю, можно какой-то из исходников изменить, дописать часть кода, 
например у /boot/loader , так, что бы он сам создавал временно файл 
ключика, а после монтирования ключик затирал секурно (dd в файл ключа).


Я на си ещё не програмил, сответственно и вопрос: хотя бы какой файл в 
исходниках ковырять, в какой части файла? Может быть код даже подскажите?


P.S. Я такую штуку для линукса уже придумал и сделал, но там проще, т.к. 
initrd-image можно разархивировать и легко корректировать.


}

{ # (ENG, translated not so good)

What we have now (FreeBSD 9.0-release):
1) /boot partition, uncrypted, with it`s boot scripts, kernel and so on;
2) crypted root partition (geli init -s 4096 -P -K /root/keyfile 
/dev/adXX), without password but with key; that partition have all its 
freebsd content.

The keyfile located now in (1)/boot.

The problem need to solve:
Need have end system, when keyfile when boot will be created 
automatically, and erased securelly just after root crypto` partition 
mounts (by dd with of=keyfile, for example)

That need to do because freebsd have remote hosting.

Needs:
To make key not (at least EASELY!) catched by unautorised personnel, and 
noone cat pass password there after reboot or power fail/restore cases.


Maby you can give me tip, what pard of src (and maby how, maby 
/boot/loader src) need to change?


P.S. I solve same with linux box, but there i can extract already 
working initrd.img, change in by adding binary program which make their 
work, and make new initrd.img


}

I hope, you will can help me with it, thanks in advance!

btw i don`t power user oc C language :)
___
freebsd-questions@freebsd.org mailing list
http://lists.freebsd.org/mailman/listinfo/freebsd-questions
To unsubscribe, send any mail to "freebsd-questions-unsubscr...@freebsd.org"