<br><br><div class="gmail_quote">On Tue, Feb 16, 2010 at 2:44 PM, Kris Moore <span dir="ltr">&lt;<a href="mailto:kris@pcbsd.com">kris@pcbsd.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div><div></div><div class="h5">On 02/15/2010 03:56, <a href="mailto:finid@linuxbsdos.com">finid@linuxbsdos.com</a> wrote:<br>
&gt;<br>
&gt; I&#39;m trying to get a better understanding of how disk encryption on PC-BSD<br>
&gt; works. Here&#39;s what I&#39;ve gleaned by playing with the installer:<br>
&gt;<br>
&gt; By default, the installer creates slices for /, swap, /var and /usr.<br>
&gt;<br>
&gt; If you switch to &quot;custom partition ...&quot; and edit the slices, there will be<br>
&gt; options to encrypt each slice. When I chose to encrypt /, the installation<br>
&gt; failed with an error message that amounted to &quot;encryption of / is not<br>
&gt; supported.&quot;<br>
&gt;<br>
&gt; So I tried the installation again and chose to encrypt /usr. From a real<br>
&gt; security perspective, this does nothing for me. Just trying to get to know<br>
&gt; encryption on PC-BSD. I was expecting the installer to ask for a<br>
&gt; passphrase (this is how it works on Linux). But it did not. Instead it<br>
&gt; generated two random keys and stored them in the /boot/keys directory.<br>
&gt;<br>
&gt; Now I&#39;m thinking, if I do not know what the keys are, how useful is this<br>
&gt; to me? In any case, I finished the installation and the system rebooted<br>
&gt; without asking me for a key.<br>
&gt;<br>
&gt; Now my question. How does disk encryption work on PC-BSD? I&#39;m hoping that<br>
&gt; someone with a better understanding of how this works will jump in and<br>
&gt; help me understand how it works.<br>
&gt;<br>
&gt; I&#39;m assuming that encryption of / is not supported because /boot is a<br>
&gt; directory under it. Wouldn&#39;t it be better to create a separate slice for<br>
&gt; /boot? That way / can be encrypted.<br>
&gt;<br>
&gt; I hope this makes sense to somebody.<br>
&gt;<br>
&gt; Thanks,<br>
&gt;<br>
&gt; --<br>
&gt; FD<br>
<br>
</div></div>You are correct in your assesment. Right now the GUI isn&#39;t allowing<br>
encryption of &quot;/&quot; just yet. I&#39;ve got it on my list to flesh that part of<br>
the installer out for 8.1, such as it automatically creating a small<br>
/boot partition for the kernel / keys to load when you use encryption on<br>
&quot;/&quot;.<br>
<br>
As for the keys, they are simply random passwords essentially, without<br>
those you cannot mount / read the partition. Right now this is more<br>
suited to creating a new file-system, like &quot;/private&quot; or something, so<br>
that you can mount-unmount it on the fly and store private data on it.<br>
However when I add the new gui functionality, it&#39;ll be more suitable for<br>
encrypting / or /usr, and prompting for a password at bootup instead,<br>
which is the ultimate goal :)<br>
<br>
BTW, just for fun, lots of good info on FreeBSD encryption here:<br>
<a href="http://www.freebsd.org/doc/en/books/handbook/disks-encrypting.html" target="_blank">http://www.freebsd.org/doc/en/books/handbook/disks-encrypting.html</a><br>
<br>
We are using GELI for our encryption support.<br>
<font color="#888888"><br>
<br>
--<br>
<br>
Kris Moore<br>
PC-BSD Software<br>
<a href="http://www.pcbsd.com" target="_blank">http://www.pcbsd.com</a><br>
</font><div><div></div><div class="h5">_______________________________________________<br>
Testing mailing list<br>
<a href="mailto:Testing@lists.pcbsd.org">Testing@lists.pcbsd.org</a><br>
<a href="http://lists.pcbsd.org/mailman/listinfo/testing" target="_blank">http://lists.pcbsd.org/mailman/listinfo/testing</a><br>
<br>
</div></div></blockquote></div><br>It&#39;s also quite easy to re-configure GELI after install to prompt for a password, look for the keys on a removable media, etc.<br><br clear="all"><br>-- <br>Thanks,<br>Mike Bybee<br>