OpenBSD 5.3 के बाद से ही फुल-डिस्क एन्क्रिप्शन का समर्थन करता है । पहले के संस्करणों के लिए एक स्पष्ट बूट विभाजन की आवश्यकता होती है। मुझे नहीं पता कि इंस्टॉलर को एन्क्रिप्टेड पार्टीशन में डायरेक्ट इंस्टॉलेशन का समर्थन करने के लिए संशोधित किया गया था (बूटलोडर के साथ अभी भी अनएन्क्रिप्टेड है, क्योंकि अगले बिट को डिक्रिप्ट करना है)।
वैसे भी सिस्टम विभाजन को एन्क्रिप्ट करने में बहुत कम उपयोग होता है। इसलिए मैं सामान्य रूप से सिस्टम को स्थापित करने का सुझाव देता हूं, फिर एक एन्क्रिप्टेड फाइलसिस्टम इमेज बनाने और अपने संवेदनशील डेटा ( /home, कुछ हिस्सों /var, शायद कुछ फाइलों को /etc) में डाल देता हूं ।
यदि आप सिस्टम विभाजन को वैसे भी एन्क्रिप्ट करना चाहते हैं (क्योंकि आपके पास कुछ गोपनीय सॉफ़्टवेयर की तरह कुछ विशेष उपयोग का मामला है), और आपने मूल रूप से एक एन्क्रिप्टेड सिस्टम इंस्टॉल नहीं किया है, तो यहां बताया गया है कि आप इसे कैसे कर सकते हैं।
अपने OpenBSD इंस्टालेशन में बूट करें और एक फाइल बनाएं जिसमें एन्क्रिप्टेड फाइल सिस्टम इमेज हो। एक उचित आकार चुनना सुनिश्चित करें क्योंकि बाद में बदलना मुश्किल होगा (आप एक अतिरिक्त छवि बना सकते हैं, लेकिन आपको प्रत्येक छवि के लिए अलग से पासफ़्रेज़ दर्ज करना होगा)। vnconfigआदमी पेज उदाहरण (हालांकि वे कुछ ही कदम नहीं दिया है) है। संक्षेप में:
dd if=/dev/urandom of=/ENCRYPTED.img bs=1m count=4096
vnconfig -k svnd0 /ENCRYPTED.img # type your passphrase
{ echo a a; echo w; echo q; } | disklabel -E /svnd0 # create a single slice
newfs /dev/svnd0a
mount /dev/svnd0a /mnt
mv /home/* /mnt
umount /mnt
umount /dev/svnd0c
इसके लिए संबंधित प्रविष्टियाँ जोड़ें /etc/fstab:
/ENCRYPTED.img /dev/svnd0c vnd rw,noauto,-k
/dev/svnd0a /home ffs rw,noauto
बूट समय पर एन्क्रिप्टेड वॉल्यूम और उसमें फ़ाइल सिस्टम को माउंट करने के लिए कमांड जोड़ें /etc/rc.local:
echo "Mounting encrypted volumes:"
mount /dev/svnd0c
fsck -p /dev/svnd0a
mount /home
जांचें कि इन कमांडों को चलाने से सब कुछ सही ढंग से काम कर रहा है ( mount /dev/svnd0c && mount /home)।
ध्यान दें कि rc.localबूट प्रक्रिया में देर से क्रियान्वित किया जाता है, इसलिए आप एन्क्रिप्टेड वॉल्यूम पर मानक सेवाओं जैसे ssh या sendmail द्वारा उपयोग की जाने वाली फ़ाइलों को नहीं डाल सकते हैं। यदि आप ऐसा करना चाहते हैं, तो इन आज्ञाओं को /etc/rc, बस के बाद में रखें mount -a। फिर अपने फाइलसिस्टम के उन हिस्सों को स्थानांतरित करें जिन्हें आप संवेदनशील मानते हैं और उन्हें /homeवॉल्यूम में ले जाते हैं ।
mkdir /home/etc /home/var
mv /etc/ssh /home/etc
ln -s ../home/etc/ssh /home/etc
mv /var/mail /var/spool /home/var
ln -s ../home/var/mail ../home/var/spool /var
आपको अपने स्वैप को भी एन्क्रिप्ट करना चाहिए, लेकिन OpenBSD आजकल स्वचालित रूप से करता है।
एक एन्क्रिप्टेड फ़ाइल सिस्टम प्राप्त करने का नया तरीका सॉफ्टवेयर छापे चालक के माध्यम से है softraid । देखें softraidऔर bioctlआदमी पृष्ठों या Lykle डे व्रीज़ के OpenBSD NAS विधिपत्र एन्क्रिप्टेड अधिक जानकारी के लिए। एक softraid मात्रा और से OpenBSD समर्थन बूटिंग के हाल के संस्करणों को स्थापित करने से स्थापना के दौरान एक खोल करने के लिए छोड़ने मात्रा बनाने के लिए द्वारा एक softraid मात्रा करने के लिए।
¹
जहां तक मेरा बता सकते हैं, OpenBSD के मात्रा एन्क्रिप्शन गोपनीयता (ब्लोफिश के साथ) के लिए सुरक्षित है, के लिए नहीं अखंडता । ओएस की अखंडता की रक्षा करना महत्वपूर्ण है, लेकिन गोपनीयता की कोई आवश्यकता नहीं है। ओएस की अखंडता की रक्षा करने के तरीके भी हैं, लेकिन वे इस उत्तर के दायरे से परे हैं।