svn commit: r48784 - head/de_DE.ISO8859-1/books/handbook/disks
Bjoern Heidotting
bhd at FreeBSD.org
Sat May 7 16:50:40 UTC 2016
Author: bhd
Date: Sat May 7 16:50:39 2016
New Revision: 48784
URL: https://svnweb.freebsd.org/changeset/doc/48784
Log:
Update to r44694:
Editorial review of geli section.
Reviewed by: bcr
Differential Revision: https://reviews.freebsd.org/D6259
Modified:
head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml
Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml
==============================================================================
--- head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Sat May 7 12:15:13 2016 (r48783)
+++ head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Sat May 7 16:50:39 2016 (r48784)
@@ -5,7 +5,7 @@
$FreeBSD$
$FreeBSDde: de-docproj/books/handbook/disks/chapter.xml,v 1.187 2012/04/26 19:32:48 bcr Exp $
- basiert auf: r44686
+ basiert auf: r44694
-->
<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="disks">
<info><title>Speichermedien</title>
@@ -2604,7 +2604,7 @@ Quotas for user test:
und dort die Daten analysieren.</para>
<para>Die für &os; verfügbaren kryptografischen Subsysteme,
- GEOM Based Disk Encryption (<command>gbde</command>)
+ <acronym>GEOM</acronym> Based Disk Encryption (<command>gbde</command>)
und <command>geli</command> sind in der Lage, Daten auf
Dateisystemen auch vor hoch motivierten Angreifern zu
schützen, die über erhebliche Mittel verfügen.
@@ -2617,6 +2617,11 @@ Quotas for user test:
transparent ganze Dateisysteme. Auf der Festplatte werden dabei
keine Daten im Klartext gespeichert.</para>
+ <para>Dieses Kapitel zeigt, wie ein verschlüsseltes Dateisystem
+ unter &os; erstellt wird. Zunächst wird der Ablauf für
+ <application>gbde</application> beschrieben und anschließend
+ das gleiche Beispiel für <application>geli</application>.</para>
+
<sect2>
<title>Plattenverschlüsselung mit
<application>gbde</application></title>
@@ -2848,15 +2853,12 @@ What about bsdinstall?
</authorgroup>
</info>
-
-
- <para>Mit <command>geli</command> ist eine alternative
- kryptografische GEOM-Klasse verfügbar.
- <command>geli</command> unterscheidet sich von
- <command>gbde</command> durch unterschiedliche Fähigkeiten und
- einen unterschiedlichen Ansatz für die Verschlüsselung.</para>
-
- <para>Die wichtigsten Merkmale von &man.geli.8; sind:</para>
+ <para>Mit <command>geli</command> steht eine alternative
+ kryptografische <acronym>GEOM</acronym>-Klasse zur Verfügung.
+ Dieses Werkzeug unterstützt unterschiedliche Fähigkeiten und
+ verfolgt einen anderen Ansatz für die Verschlüsselung.
+ <application>geli</application> bietet die folgenden
+ Funktionen:</para>
<itemizedlist>
<listitem>
@@ -2867,8 +2869,8 @@ What about bsdinstall?
<listitem>
<para>Die Unterstützung verschiedener kryptografischer
- Algorithmen, wie beispielsweise AES, Blowfish, und
- 3DES.</para>
+ Algorithmen, wie <acronym>AES</acronym>, Blowfish, und
+ <acronym>3DES</acronym>.</para>
</listitem>
<listitem>
@@ -2879,15 +2881,13 @@ What about bsdinstall?
</listitem>
<listitem>
- <para><command>geli</command> erlaubt den Einsatz von zwei
- voneinander unabhängigen Schlüsseln, etwa einem
- privaten <quote>Schlüssel</quote> und einem
- <quote>Unternehmens-Schlüssel</quote>.</para>
+ <para>Erlaubt den Einsatz von zwei voneinander unabhängigen
+ Schlüsseln.</para>
</listitem>
<listitem>
- <para><command>geli</command> ist durch einfache
- Sektor-zu-Sektor-Verschlüsselung sehr schnell.</para>
+ <para>Es ist durch einfache Sektor-zu-Sektor-Verschlüsselung
+ sehr schnell.</para>
</listitem>
<listitem>
@@ -2905,70 +2905,61 @@ What about bsdinstall?
</listitem>
</itemizedlist>
- <para>Weitere Merkmale von
- <command>geli</command> finden Sie in &man.geli.8;.</para>
+ <para>Weitere Funktionen und Anwendungsbeispiele finden Sie in
+ &man.geli.8;.</para>
- <para>Dieser Abschnitt beschreibt, wie <command>geli</command>
- im &os;-Kernel aktiviert wird und wie ein
- <command>geli</command>-Verschlüsselungs-Provider
- angelegt wird.</para>
-
- <para>Da der Kernel angepasst werden muss, werden
- <systemitem class="username">root</systemitem>-Privilegien
- benötigt.</para>
+ <para>Das folgende Beispiel beschreibt, wie eine
+ Schlüsseldatei erzeugt wird, die als Teil des Master-Keys für
+ den Verschlüsselungs-Provider verwendet wird, der unter
+ <filename>/private</filename> in den Verzeichnisbaum
+ eingehängt wird. Die Schlüsseldatei liefert zufällige Daten,
+ die für die Verschlüsselung des Master-Keys benutzt werden.
+ Zusätzlich wird der Master-Key durch eine Passphrase
+ geschützt. Die Sektorgröße des Providers beträgt 4 KB.
+ Das Beispiel beschreibt, wie Sie einen
+ <command>geli</command>-Provider aktivieren, ein vom ihm
+ verwaltetes Dateisystem erzeugen, es mounten, mit ihm arbeiten
+ und wie Sie es schließlich wieder unmounten und den Provider
+ deaktivieren.</para>
<procedure>
+ <title>Eine Partition mit <command>geli</command>
+ verschlüsseln</title>
+
<step>
- <title>Aufnahme der <command>geli</command>-Unterstützung
- in Ihre Kernelkonfigurationsdatei</title>
+ <title>Laden der
+ <command>geli</command>-Unterstützung</title>
- <para>Stellen Sie bei einer angepassten
- Kernelkonfigurationsdatei sicher, dass diese Zeile
- enthalten ist:</para>
+ <para>Die Unterstützung für <command>geli</command> ist
+ bereits im <filename>GENERIC</filename> enthalten. Damit
+ das Modul automatisch beim Booten geladen wird, fügen Sie
+ folgende Zeile in <filename>/boot/loader.conf</filename>
+ ein:</para>
- <programlisting>options GEOM_ELI
-device crypto</programlisting>
+ <programlisting>geom_eli_load="YES"</programlisting>
- <para>Alternativ kann auch das
- <command>geli</command>-Kernelmodul beim Systemstart
- geladen werden, indem folgende Zeile in
- <filename>/boot/loader.conf</filename> eingefügt
- wird:</para>
+ <para>Um das Modul direkt zu laden:</para>
- <programlisting>geom_eli_load="YES"</programlisting>
+ <screen>&prompt.root; <userinput>kldload geom_eli</userinput></screen>
+
+ <para>Stellen Sie bei einer angepassten
+ Kernelkonfigurationsdatei sicher, dass diese Zeilen
+ enthalten sind:</para>
- <para>Ab sofort wird &man.geli.8; vom Kernel
- unterstützt.</para>
+ <programlisting>options GEOM_ELI
+device crypto</programlisting>
</step>
<step>
<title>Erzeugen des Master-Keys</title>
- <para>Das folgende Beispiel beschreibt, wie eine
- Schlüsseldatei erzeugt wird, die als Teil des
- Master-Keys für den Verschlüsselungs-Provider
- verwendet wird, der unter <filename>/private</filename>
- in den Verzeichnisbaum eingehängt wird. Die
- Schlüsseldatei liefert zufällige Daten, die für die
- Verschlüsselung des Master-Keys benutzt werden.
- Zusätzlich wird der Master-Key durch eine Passphrase
- geschützt. Die Sektorgröße des Providers beträgt
- 4 KB. Das Beispiel beschreibt, wie Sie einen
- <command>geli</command>-Provider aktivieren, ein vom ihm
- verwaltetes Dateisystem erzeugen, es mounten, mit ihm
- arbeiten und wie Sie es schließlich wieder unmounten
- und den Provider deaktivieren.</para>
-
- <para>Um eine bessere Leistung zu erzielen, wird eine
- größere Sektorgröße, beispielsweise 4 KB,
- empfohlen.</para>
-
- <para>Der Master-Key wird durch eine Passphrase sowie, den
- Daten der Schlüsseldatei aus
- <filename>/dev/random</filename> geschützt.
- Die Sektorgröße des Providers
- <filename>/dev/<replaceable>da2</replaceable>.eli</filename>
- beträgt 4 KB.</para>
+ <para>Die folgenden Befehle erzeugen einen Master-Key
+ (<filename>/root/da2.key</filename>), der durch eine
+ Passphrase geschützt ist. Die Datenquelle für die
+ Schlüsseldatei ist <filename>/dev/random</filename>. Um
+ eine bessere Leistung zu erzielen beträgt die Sektorgröße
+ des Providers (<filename>/dev/da2.eli</filename>)
+ 4 KB:</para>
<screen>&prompt.root; <userinput>dd if=/dev/random of=/root/da2.key bs=64 count=1</userinput>
&prompt.root; <userinput>geli init -s 4096 -K /root/da2.key /dev/da2</userinput>
@@ -2982,9 +2973,8 @@ Reenter new passphrase:</screen>
<para>Wird für die Schlüsseldatei
<quote>-</quote> angegeben, wird dafür die
- Standardeingabe verwendet. Das folgende Beispiel zeigt,
- dass auch mehr als eine Schlüsseldatei verwendet werden
- kann:</para>
+ Standardeingabe verwendet. Das folgende Kommando erzeugt
+ beispielsweise drei Schlüsseldateien:</para>
<screen>&prompt.root; <userinput>cat keyfile1 keyfile2 keyfile3 | geli init -K - /dev/da2</userinput></screen>
</step>
@@ -2993,12 +2983,15 @@ Reenter new passphrase:</screen>
<title>Aktivieren des Providers mit dem erzeugten
Schlüssel</title>
+ <para>Um den Provider zu aktivieren, geben Sie die
+ Schlüsseldatei, den Namen des Laufwerks und die Passphrase
+ an:</para>
+
<screen>&prompt.root; <userinput>geli attach -k /root/da2.key /dev/da2</userinput>
Enter passphrase:</screen>
- <para>Dadurch wird die (Normaltext-)Gerätedatei
- <filename>/dev/da2.eli</filename>
- angelegt.</para>
+ <para>Dadurch wird ein neues Gerät mit der Erweiterung
+ <filename>.eli</filename> angelegt:</para>
<screen>&prompt.root; <userinput>ls /dev/da2*</userinput>
/dev/da2 /dev/da2.eli</screen>
@@ -3007,12 +3000,16 @@ Enter passphrase:</screen>
<step>
<title>Das neue Dateisystem erzeugen</title>
+ <para>Als nächstes muss das Gerät mit dem
+ <acronym>UFS</acronym>-Dateisystem formatiert und an einen
+ vorhandenen Mountpunkt eingehängt werden:</para>
+
<screen>&prompt.root; <userinput>dd if=/dev/random of=/dev/da2.eli bs=1m</userinput>
&prompt.root; <userinput>newfs /dev/da2.eli</userinput>
-&prompt.root; <userinput>mount /dev/da2.eli /private</userinput></screen>
+&prompt.root; <userinput>mount /dev/da2.eli <replaceable>/private</replaceable></userinput></screen>
- <para>Das verschlüsselte Dateisystem wird nun von
- &man.df.1; angezeigt und kann ab sofort eingesetzt werden.</para>
+ <para>Das verschlüsselte Dateisystem sollte jetzt erkannt
+ und benutzt werden können:</para>
<screen>&prompt.root; <userinput>df -H</userinput>
Filesystem Size Used Avail Capacity Mounted on
@@ -3022,11 +3019,8 @@ Filesystem Size Used Avail Capaci
/dev/ad0s1d 989M 1.5M 909M 0% /tmp
/dev/ad0s1e 3.9G 1.3G 2.3G 35% /var
/dev/da2.eli 150G 4.1K 138G 0% /private</screen>
-
</step>
-
- <step>
- <title>Das Dateisystem unmounten und den Provider deaktivieren</title>
+ </procedure>
<para>Wenn Sie nicht mehr mit dem verschlüsselten
Dateisystem arbeiten und die unter <filename>/private</filename> eingehängte
@@ -3037,25 +3031,15 @@ Filesystem Size Used Avail Capaci
<screen>&prompt.root; <userinput>umount /private</userinput>
&prompt.root; <userinput>geli detach da2.eli</userinput></screen>
- </step>
- </procedure>
-
- <para>Weitere Informationen zum Einsatz von
- <command>geli</command> finden Sie in &man.geli.8;.</para>
- <sect3>
- <title>Der Einsatz des <filename>geli</filename>-
- <filename>rc.d</filename>-Skripts</title>
-
- <para><command>geli</command> verfügt über ein
- <filename>rc.d</filename>-Skript,
- das den Einsatz von <command>geli</command>
- deutlich vereinfacht. Es folgt nun ein Beispiel, in dem
- <command>geli</command> über die Datei
- &man.rc.conf.5; konfiguriert wird:</para>
+ <para>&os; verfügt über ein <filename>rc.d</filename>-Skript,
+ das dass Einhängen von verschlüsselten Geräten beim Booten
+ deutlich vereinfacht. Für dieses Beispiel, fügen Sie
+ folgende Zeilen in <filename>/etc/rc.conf</filename>
+ hinzu:</para>
- <programlisting>geli_devices="da2"
-geli_da2_flags="-k /root/da2.key"</programlisting>
+ <programlisting>geli_devices="<replaceable>da2</replaceable>"
+geli_da2_flags="-k /root/<replaceable>da2.key</replaceable>"</programlisting>
<para>Dies konfiguriert <filename>/dev/da2</filename> als
<command>geli</command>-Provider mit dem Master-Key
@@ -3073,11 +3057,6 @@ geli_da2_flags="-k /root/da2.key"</progr
<xref linkend="mount-unmount"/> wenn Sie wissen möchten,
wie Sie ein Dateisystem konfigurieren, sodass es beim
booten automatisch gestartet wird.</para>
-
- <para>Weitere Informationen zur Konfiguration der
- <filename>rc.d</filename>-Skripten
- finden Sie im Abschnitt <link linkend="configtuning-rcd">rc.d</link> des Handbuchs.</para>
- </sect3>
</sect2>
</sect1>
More information about the svn-doc-all
mailing list