Article Index

 

Mounten en copyeren

 

 

  1. Maak een directory aan en mount de encrypted partitie
    # cd /mnt
    # mkdir encryptos
    # mount /dev/label/oshide.elib /mnt/encryptos



 

  1. Controleer de grootte van je partitie/schijf.

    # df -h



     

  2. Nu gaan we het OS stuk voor stuk kopieren naar het encrypted gedeelte

    # cd /
    # ls
    # cp -rpnv .cshrc /mnt/encryptos/
    # cp -rpnv bin /mnt/encryptos/



  3. Alle directory's gaan we af behalve /mnt, dan zou een loop veroorzaken ;-)
    # cp -rpnv entropy /mnt/encryptos/
    # cp -rpnv media /mnt/encryptos/
    # cp -rpnv sbin /mnt/encryptos/
    # cp -rpnv .profile /mnt/encryptos/
    # cp -rpnv boot /mnt/encryptos/
    # cp -rpnv etc /mnt/encryptos/
    # cp -rpnv sys /mnt/encryptos/
    # cp -rpnv cdrom /mnt/encryptos/
    # cp -rpnv home /mnt/encryptos/
    # cp -rpnv proc /mnt/encryptos/
    # cp -rpnv tmp /mnt/encryptos/
    # cp -rpnv .sujournal /mnt/encryptos/
    # cp -rpnv dev /mnt/encryptos/
    # cp -rpnv lib /mnt/encryptos/
    # cp -rpnv rescue /mnt/encryptos/
    # cp -rpnv usr /mnt/encryptos/
    # cp -rpnv COPYRIGHT /mnt/encryptos/
    # cp -rpnv libexec /mnt/encryptos/
    # cp -rpnv root /mnt/encryptos/
    # cp -rpnv var /mnt/encryptos/
    # cp -rpnv media /mnt/encryptos/

    # cp -rpnv .rnd /mnt/encryptos/

  4. Controleer of de directory in / en in /mnt/encryptos gelijk zijn, behalve /encrypt en /mnt.


  5. Reboot het systeem nogmaals en controleer of geli word geladen bij het opstarten:


  6. Controleer ook of je de passphrase moet invullen bij het opstarten, dit verzekert je dat alles goed staat ingesteld om fstab aan te passen.


  7. Verander nu fstab
    # vi /etc/fstab

    en zet een hekje voor: /dev/gpt/ospublic

    en voeg /dev/label/oshide.elib / ufs rw 1 1 toe




  8. Copyeer dit naar het encrypted gedeelte:

    mount /dev/label/oshide.elib /mnt/encryptos
    # cp /etc/fstab /mnt/encryptos/etc/fstab

  9. Controleer nogmaals of het label klopt, dit voorkomt wat problemen na het opstarten:


  10. Herstart de machine:
    #shutdown -r now

  11. En jawel, nu heb ik een ge-encrypte partite!


  12. Vergeet ook deze stap niet, even een mnt (mount) directory aanmaken
    # mkdir /mnt
    # cd /mnt
    # mkdir unencrypted

  13. Nu gaan we de swap parttie ook encrypten:

    # vi /etc/fstab

    en zet een hekje voor de standaard swap partitie en voeg
    /dev/label/oshide.elia none swap sw 0 0

    toe.

  14. Copyeer de nieuwe fstab naar het unencrypted gedeelte zodat dit bij het opstarten word opgepikt en gebruikt:

    # mount /dev/gpt/ospublic /mnt/unencrypted/
    # cp /etc/fstab /mnt/unencrypted/etc


  15. Controleer of in het unencrypted gedeelte de nieuwe fstab aanwezig is:
    # cat /mnt/unencrypted/etc/fstab



  16. Wat moet je nu doen als je de volgende melding krijgt?

    1. Reboot het systeem
    2. Start van de FreeBSD dvd / USB stick



  17. Kies optie 2 Single User



  18. Bij de vraag "Enter full pathname of shell or RETURN for /bin/sh" druk je op [ENTER]



  19. Mount de publicOS
    # mount /dev/gpt/publicos /media




  20. Normaal gebruik ik altijd vi, maar die lijkt caching nodig te hebben, dus ik gebruik ee.

    #ee /media/etc/fstab

    en ik verander de laatste wijziging weer terug naar de oude en herstart de machine.

  21. Reboot en check! Hoe groot is die swap partitie nou?


  22. Door naar ZFS!
    Bron ZFS: https://www.dan.me.uk/blog/2012/05/06/full-disk-encryption-with-zfs-root-for-freebsd-9-x/

 

 

ZFS Opzetten

  1. Als eerst gaan we in loader.conf de ZFS module toevoegen, dit doen we in het unencrypted gedeelte en encrypted gedeelte. Ik weet niet precies wanneer het omslagpunt is van unencrypted en encrypted.
    # vi /boot/loader.conf

    Voeg de volgende regel toe

    # zfs_load="YES"

  2. Mount het unencrypted gedeelte:

    # mount /dev/gpt/publicos /mnt/unencrypted

  3. copyeer /boot/loader.conf naar het unencrypted gedeelte

    # cp /boot/loader.conf /mnt/unencrypted/boot.conf

  4. Reboot het systeem en controleer of ZFS word geladen.



  5. We gaan de schijven voor bereiden voor ZFS

    # gpart create -s gpt da1



  6. Daarna:
    # gpart add -t freebsd-ufs –s 1860g da0

    Ik had gelezen dat je de partities iets kleiner moet houden voor ZFS, zodat het vervangen van een schijf makkelijker gaat zodat je niet per ongeluk een 2 TB harde schijf hebt waar net iets minder op past dan de rest.

    Je kan eventueel resizen met het volgende commando:
    # gpart resize -i 1 -s 1860G da1



    Herhaal dit voor alle hardeschrijven, dus da0, da1, enzovoorts...


    Mocht je een gemixte opstelling hebben met bijvoorbeeld een RAID kaartje en schijven aangesloten op het moederbord kan het er zo uit zien:

  7. Controleer het serienummer met diskinfo van de harde shcijf.
    # diskinfo –v da1


    Geef de hardeschijf de naam serienummer:
    # glabel label –v WMC4N0DCRTRJ /dev/da1p1


    Opmerking: Je moet echt het label toewijzen aan daxxp1, en NIET aan daxx. Anders krijg je foutmeldingen, zie artikel:
    De foute manier van labelen

  8. Bovenstaand process herhaal ik voor elke drive:


  9. Controleer of de labels zijn aangemaakt:
    # cd /dev/label
    # ls


  10. Encrypt het eerste label:
    # geli init -b -s 4096 -l 256 /dev/label/5YD90EQW



  11. Gevolgd door de rest

    Opmerking: Sinds FreeBSD10 hoef je bij het opstarten slechts eenmaal de encryptie sleutel in te voeren als alle harde schijven dezelfde encryptie sleutel hebben.

  12. Reboot de machine en controleer of je met 1 Passphrase code door het boot process komt.
    # shutdown -r now

  13. Alle encrypted harddisks met een label worden allemaal verbonden met FreeBSD.


  14. Als alles goed gaat moet per label ook een .eli staan:
    # cd /dev/label
    # ls


  15. Ik zie dat ik er 1 heb gemist, deze doe ik als nog:
    # geli init -b -s 4096 -l 256 /dev/label/5XW0MLL4


  16. We controleren nogmaals:
    # shutdown -r now

    # cd/dev/label
    # ls -ilsa



  17. Maak een zfs raid pool aan, ik noem mijn pool "zdata" , en gebruikt raidz1 (Soort Raid 5).

    # zpool create zdata raidz2 /dev/label/5XW0MLL4.eli /dev/label/5YD90EQW.eli /dev/label/5YD90G96.eli /dev/label/5YD9Z9P6.eli /dev/label/85KPZSKTS.eli /dev/label/85KPZSYTS.eli /dev/label/85KR6BKTS.eli /dev/label/B9JRMEMF.eli /dev/label/JK11A8B9JRLXNF.eli /dev/label/JK11A8B9JS4LBR.eli /dev/label/S2HGJD2B303864.eli /dev/label/Z1E3S1T9.eli




    Opmerking: Deze handleiding heb ik afgemaakt op mijn backup server, op mijn hoofdserver heb ik raidz2 gebruikt, een soort RAID6. Dit is wel aan te raden met deze hoeveelheid harde schijven in het systeem.

  18. Controller of checksum aanstaat, dit is een geweldige eigenschap van ZFS, dit kan veel fouten corrigeren.
    # zfs get checksum zdata


  19. Kijk hoe groot je schijf is geworden
    # df -h

  20. Altijd teleurstellend wat je overhoud, staat compressie wel aan?
    # zfs get compression zdata


  21. Zet compressie aan, hier droomde ik al van in windows 95!

    # zfs set compression=lz4 zdata



  22. Controleer jezelf met het commando:

    # zfs get compression zdata



  23. Zorg ervoor dat zfs bij het booten word geladen:
    # vi /etc/rc.conf

    Voeg zfs_enable="YES" toe.


  24. Bij een reboot zie je ook dat alle modules van zfs worden geladen



  25. Als je overnieuw opstart en je controleert je mount points, zie je dat zfs (zdata) is gemount, je hoeft niets aan te passen in /etc/fstab



  26. We willen later smaba4 installeren, dus moeten we acl aanschakelen voor ZFS:
    # zfs set aclmode=passthrough zdata
    # zfs set aclinherit=passthrough zdata

    En even controleren met:
    # getfacl /zdata


  27. Op dit punt wil ik ook het root wachtwoord aanpassen:
    # passwd root

  28. Maak aliases aan om sendmail foutmeldingen te voorkomen.
    # cd /etc/mail
    # make aliases



 

Lamp Omgeving installeren (F.a.m.p.)