Configurer OpenBSD 5.6 avec Full Disk Encryption

Ce tutoriel vous montrera comment configurer OpenBSD 5.6 avec un disque entièrement crypté sur votre Vultr VPS. Remarque sur la partie chiffrement: la plupart des centres de données du monde entier sont des installations assez sécurisées avec d'excellentes mesures en place pour empêcher l'accès physique à vos données. Néanmoins, il est toujours possible que le serveur hébergeant votre machine soit volé. Avec le cryptage en place, ce scénario ne vous affecterait pas.

Pour commencer, vous devrez obtenir une copie d'OpenBSD 5.6, qui peut être obtenue directement à partir des serveurs du projet OpenBSD . Téléchargez l'ISO d'OpenBSD sur votre panneau de contrôle Vultr (qui se trouve sous / iso / ). Vous pouvez maintenant faire tourner une nouvelle instance. Étant donné que les besoins en ressources d'OpenBSD sont très faibles, la plus petite instance est parfaitement adaptée.

Une fois le processus d'installation de Vultr terminé, passez à la vue de la console de votre serveur et appuyez sur " s " pour ouvrir un shell. Cela doit être fait avant de démarrer le programme d'installation afin que vous puissiez configurer manuellement le cryptage.

Pour connaître l'identifiant de votre disque dur principal, exécutez la commande suivante:

dmesg | grep "^[sw]d"

Il s'agit très probablement de " sd0 ", nous l'assumerons donc dans le reste du didacticiel. Pour vous assurer qu'il ne reste aucune partition, vous devez réécrire le MBR et la table de partition:

fdisk -iy sd0

Le partitionnement se fait avec l' utilitaire disklabel :

disklabel -E sd0

Vous avez besoin de deux partitions. Une partition de swap, avec 1 Go d'espace, et une partition RAID spéciale qui occupera le reste de l'espace (elle sera utilisée pour le chiffrement). Étant donné que la syntaxe de disklabel est assez rare, vous pouvez simplement copier / coller les commandes suivantes. Si vous souhaitez en savoir plus sur leur syntaxe, il existe une excellente page de manuel:

a b
# Defaults are okay, size is "1g"

a a
# Defaults are okay, size is "*", type is "RAID"

w
q

Maintenant, vous devez crypter le périphérique RAID. Utilisez une bonne phrase de passe et assurez-vous de ne pas l'oublier. Il est extrêmement difficile (voire impossible) de récupérer une phrase secrète perdue:

bioctl -c C -l /dev/sd0a softraid0

À ce stade, le travail de préparation est terminé et vous pouvez maintenant revenir au programme d'installation:

exit

Démarrez le programme d'installation en appuyant sur " i ", et procédez comme suit:

• Choisissez votre disposition de clavier.
• Attribuez un nom d' hôte au système.
• Configurez l'interface réseau (Il très probablement être vio0 )).
• Attribuez une passerelle par défaut .
• Attribuez un nom de domaine DNS et des serveurs DNS .
• Ajoutez un mot de passe pour le compte administratif.
• Activez sshd et ntpd , mais désactivez les options spécifiques au bureau telles que xdm .
• Ajoutez un utilisateur non privilégié (si vous le souhaitez).
• Configurez le fuseau horaire.

Il est maintenant temps de décider où OpenBSD doit être installé. En entrant " ? ", Le programme d'installation d'OpenBSD vous montrera tous les disques disponibles. La sortie doit contenir une ligne similaire à la suivante:

sd1: SR CRYPTO (119.0G)

C'est le bon choix. Sélectionnez " Whole Disk " en saisissant " w ", puis acceptez " Auto layout " en saisissant " a ".

Selon la taille du disque dur, ce processus prendra quelques minutes. Une fois terminé, vous pouvez installer tous les ensembles nécessaires à partir de " cd ". Les options par défaut sont parfaitement correctes, uniquement en ce qui concerne la vérification de signature, vous devez remplacer la réponse par défaut par " oui " (sauf si vous avez téléchargé la somme de contrôle au préalable). Encore une fois, cela prendra quelques minutes.

Une fois l'installation des packages terminée, supprimez l'image et " redémarrez " le serveur.

Félicitations, votre serveur entièrement crypté est en ligne!