OpenBSD6.3インストール時にルートディスクをフル暗号化する。
今回はパスフレーズを指定するのではなく、キーディスクを作成します。
キーディスクを接続しておくと、OpenBSD起動時にパスフレーズを入力する必要が無くなります。
参考
https://www.openbsd.org/faq/faq14.html#softraidFDE
tildedennis: Full Disk Encryption with Key Disk on OpenBSD
基本的にはopenbsd.orgのfaqを見てください。
1. 起動後 Shell を選択
2. keydisk用のデバイスノードを追加する
cd /dev sh ./MAKEDEV sd1
SCSIディスクではない場合は、MAKEDEV(8) - OpenBSD manual pagesを参照してください。
私の環境では「MAKEDEV sd1」でデバイスノードを作成できなかったので、「MAKEDEV all」(すべてのデバイスノードを作成)としました。
3. ディスクをMBRでフォーマット
fdisk -iy sd0 //メインディスク fdisk -iy sd1 //キーディスク
3.1 ディスクをGPTでフォーマット
fdisk -iy -g -b 960 sd0 fdisk -iy -g -b 960 sd1
4. パーティションレイアウト
disklabel -E sd0 disklabel -E sd1 Label editor (enter '?' for help at any prompt) >z //パーティション全削除(必要な場合) >a a //パーティション作成 offset: [64] //空白 size: [39825135] * //"*"を入力 FS type: [4.2BSD] RAID //"RAID"を入力 > w //変更をディスクに書き込み > q //終了 No label changes.
5. ディスクの暗号化
bioctl -c C -k sd1a -l sd0a softraid0 //sd1aはキーディスク sd0aはルートディスク
インストール時は "Which one is the root disk?" とインストール先を聞かれるので"sd2"を指定しましょう。
接続されているデバイスを表示する
sysctl hw.disknames
キーディスク バックアップとレストア
dd bs=8192 skip=1 if=/dev/rsd1a of=backup-keydisk.img //バックアップ dd bs=8192 seek=1 if=backup-keydisk.img of=/dev/rsd1a //レストア