完全なディスク暗号化でOpenBSD 5.6をセットアップする

このチュートリアルでは、Vultr VPSで完全に暗号化されたディスクを使用してOpenBSD 5.6を設定する方法を示します。暗号化に関する注意：世界中のほとんどのデータセンターは非常に安全な施設であり、データへの物理的なアクセスを防ぐための優れた対策が講じられています。それでもなお、マシンをホストしているサーバーが盗まれる可能性があります。暗号化が導入されていれば、このシナリオは影響しません。

まず、OpenBSD 5.6のコピーを入手する必要があります。これは、OpenBSDプロジェクトのサーバーから直接入手できます。OpenBSD ISOをVultrコントロールパネル（/ iso /の下にあります）にアップロードします。これで、新しいインスタンスを起動できます。OpenBSDのリソース要件は非常に低いため、最小のインスタンスで完全に問題ありません。

Vultrのインストールプロセスが完了したら、サーバーのコンソールビューに切り替え、「s」を押してシェルを開きます。暗号化を手動で設定できるように、これはインストーラーを開始する前に行う必要があります。

プライマリハードディスクの識別子を確認するには、次のコマンドを実行します。

dmesg | grep "^[sw]d"

おそらく「sd0」なので、チュートリアルの残りの部分ではこれを想定します。パーティションが残っていないことを確認するには、MBRとパーティションテーブルを書き換える必要があります。

fdisk -iy sd0

パーティショニングはdisklabelユーティリティで行われます：

disklabel -E sd0

2つのパーティションが必要です。1GBのスペースを持つ1つのswapパーティションと、残りのスペースを占める特別なRAIDパーティション（これは暗号化に使用されます）。disklabelの構文は非常に一般的ではないため、次のコマンドをコピーして貼り付けるだけで済みます。これらの構文について詳しく知りたい場合は、優れたマンページがあります。

a b
# Defaults are okay, size is "1g"

a a
# Defaults are okay, size is "*", type is "RAID"

w
q

次に、RAIDデバイスを暗号化する必要があります。適切なパスフレーズを使用し、忘れないようにしてください。失われたパスフレーズを復元することは（不可能ではないにしても）非常に困難です。

bioctl -c C -l /dev/sd0a softraid0

この時点で準備作業が完了しているので、インストーラーに戻すことができます。

exit

「i」を押してインストーラーを起動し、次の手順を実行します。

• キーボードレイアウトを選択します。
• システムにホスト名を割り当てます。
• ネットワーク・インターフェースを構成します（ほとんどの場合vio0です））。
• デフォルトゲートウェイを割り当てます。
• DNSドメイン名とDNSサーバーを割り当てます。
• 管理アカウントのパスワードを追加します。
• sshdとntpdを有効にしますが、xdmなどのデスクトップ固有のオプションは無効にします。
• 非特権ユーザーを追加します（必要な場合）。
• タイムゾーンを設定します。

OpenBSDをインストールする場所を決める時が来ました。「？」と入力すると、OpenBSDインストーラーは使用可能なすべてのディスクを表示します。出力には、次のような行が含まれているはずです。

sd1: SR CRYPTO (119.0G)

それは正しい選択です。「w」と入力して「ディスク全体」を選択し、「a」と入力して「自動レイアウト」を受け入れます。

ハードディスクのサイズにもよりますが、このプロセスには数分かかります。それが完了したら、「cd」から必要なすべてのセットをインストールできます。デフォルトのオプションは完全に問題ありません。署名の検証に関してのみ、デフォルトの回答を「yes」に置き換える必要があります（事前にチェックサムをダウンロードしていない場合）。繰り返しますが、これには数分かかります。

パッケージのインストールが完了したら、イメージを削除してサーバーを「再起動」します。

おめでとうございます。完全に暗号化されたサーバーがオンラインになりました！