pnco's blog

iptables init script

2008-03-11T14:23:00.006+07:00

#!/bin/sh
#
# This is a simple iptables firewall script.
# This can be used stand-alone or put in /etc/init.d/firewall.
# This works on both Ubuntu and RedHat systems.
# On Ubuntu, run "update-rc.d firewall defaults" to install this on startup.
# On RedHat, run "chkconfig --add firewall" to install this on startup.
# Note that RedHat has its own iptables init script that needs to be turned
# off if this script is to be used.
#
# Load firewall on boot:
#
# For Ubuntu/Debian you can put an init script into /etc/init.d then link to an 'S' file in /etc/rc2.d
# cp firewall /etc/init.d/firewall
# chmod 755 /etc/init.d/firewall
# cd /etc/rc2.d/
# ln -s ../init.d/firewall S99firewall
#
# For RedHat you need to edit:
# /etc/sysconfig/iptables
# Don't confuse this with /etc/sysconfig/iptables-config.
# Also note that RedHat has a tool called system-security-level that overwrites /etc/sysconfig/iptables,
# so if you run system-security-level you will loose your changes.
# You can edit the file manually or you can use system-security-level.
# Choose one or the other, not both.
# You can also setup the firewall the way you want using the iptables command
# and then save the settings using RedHat's inti.d script:
# /etc/init.d/iptables save
#
# rule by conmale (modified by pnco)
#
# chkconfig: 2345 08 92
# description: This configures iptables.
#
### BEGIN INIT INFO
# Provides: firewall
# Required-Start: $network $local_fs $remote_fs
# Required-Stop: $network $local_fs $remote_fs
# Default-Start: 2 3 4 5
# Default-Stop: S 0 1 6
# Short-Description: This loads iptables with firewall rules.
# Description: This loads iptables with firewall rules. Placed this in /etc/init.d.
# This isn't technically a daemon control script.
# This just puts a familiar interface around iptables.
### END INIT INFO

PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
IF=`route | grep -i 'default' | awk '{print$8}'`
IP=`ifconfig $IF | grep "inet addr" | awk -F":" '{print$2}' | awk '{print $1}'`
IPT="iptables"
NET="any/0"
DNS="203.162.4.190 203.162.4.191"
SERV_TCP="21 22 25 80 443 50000:60000"
SERV_UDP="53 123"
HI_PORTS="1024:65535"
NON_NET="10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 224.0.0.0/4 240.0.0.0/5 169.254.0.0/16 192.0.2.0/24"
OK_ICMP="0 3 4 8 11"

case "$1" in
start)

# Flush any old policies and rules.

$IPT -F
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# Allow loopback interface for local services. If you don't use that service then safe comment out its.

$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A FORWARD -i lo -j ACCEPT

# Drop illegal packets

$IPT -A INPUT -m state --state INVALID -m limit --limit 1/s -j LOG --log-prefix "INVALID_STATE: "
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A INPUT -i $IF -s $IP -d $IP -m limit --limit 1/s -j LOG --log-prefix "SPOOFING: "
$IPT -A INPUT -i $IF -s $IP -d $IP -j DROP
$IPT -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -s $NET -j DROP
$IPT -A INPUT -p tcp --tcp-flags ALL ALL -s $NET -j DROP
$IPT -A INPUT -p tcp --tcp-flags ALL NONE -s $NET -j DROP
$IPT -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -s $NET -j DROP
$IPT -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -s $NET -j DROP
$IPT -A INPUT -p tcp --tcp-flags FIN,ACK FIN -s $NET -j DROP
$IPT -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -s $NET -j DROP

# New TCP connections must be SYN packets, else DROP

$IPT -A INPUT -p tcp ! --syn -m state --state NEW -s $NET -j DROP

# Drop any packet from private IP

for entry in $NON_NET; do
$IPT -A INPUT -i $IF -s $entry -m limit --limit 1/s -j LOG --log-level 5 --log-prefix "BAD_NET: "
$IPT -A INPUT -i $IF -s $entry -j DROP
done

# Allow some ICMP packet

for item in $OK_ICMP; do
$IPT -A INPUT -i $IF -s $NET -p icmp --icmp-type $item -m state --state ESTABLISHED \
-m limit --limit 1/s --limit-burst 1 -j ACCEPT
$IPT -A OUTPUT -o $IF -s $IP -p icmp --icmp-type $item -m state --state NEW,ESTABLISHED \
-m limit --limit 1/s --limit-burst 1 -j ACCEPT
done

# Allow DNS packet query to trusted DNS server

for entry in $DNS; do
$IPT -A OUTPUT -o $IF -p udp -s $IP --sport $HI_PORTS -d $entry --dport 53 -m state --state NEW -j ACCEPT
$IPT -A INPUT -i $IF -p udp -s $entry --sport 53 -d $IP --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
done

# Allow some UDP services

for port in $SERV_UDP; do
$IPT -A INPUT -i $IF -p udp -s $NET --sport $port -d $IP --dport $port -m state --state NEW,ESTABLISHED \
-m limit --limit 2/s --limit-burst 2 -j ACCEPT
$IPT -A OUTPUT -o $IF -p udp -s $IP --sport $port -d $NET --dport $port -m state --state ESTABLISHED \
-m limit --limit 2/s --limit-burst 2 -j ACCEPT
if test $port -eq 53
then
$IPT -A INPUT -i $IF -p udp -s $NET --sport $port -d $IP --dport $port -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -o $IF -p udp -s $IP --sport $port -d $NET --dport $port -m state --state ESTABLISHED -j ACCEPT
else
$IPT -A INPUT -i $IF -p udp -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -j ACCEPT
$IPT -A OUTPUT -o $IF -p udp -s $IP --sport $port -d $NET --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
fi
done

# Allow some TCP services

for port in $ SERV_TCP; do
$IPT -A INPUT -p tcp ! --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW \
-m limit --limit 1/s -j LOG --log-prefix "INVALID_SERVICE_REQUEST: "
$IPT -A INPUT -p tcp ! --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -j DROP
#$IPT -A INPUT -i $IF -p tcp --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m limit --limit 3/s --limit-burst 5 \
#-m state --state NEW -m connlimit ! --connlimit-above 2 -j ACCEPT
$IPT -A INPUT -i $IF -p tcp --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m limit --limit 3/s --limit-burst 5 \
-m state --state NEW -j ACCEPT
$IPT -A OUTPUT -o $IF -p tcp ! --syn -s $IP --sport $port -d $NET --dport $HI_PORTS -m state --state ESTABLISHED -j ACCEPT
$IPT -A INPUT -i $IF -p tcp ! --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state ESTABLISHED -j ACCEPT
done

# Clean up rules

$IPT -A INPUT -i $IF -d $IP -m limit --limit 1/s -j LOG --log-level 5 --log-prefix "BAD_INPUT: "
$IPT -A INPUT -i $IF -d $IP -j DROP
$IPT -A OUTPUT -o $IF -d $IP -m limit --limit 1/s -j LOG --log-level 5 --log-prefix "BAD_OUTPUT: "
$IPT -A OUTPUT -o $IF -d $IP -j DROP
$IPT -A FORWARD -i $IF -d $IP -m limit --limit 1/s -j LOG --log-level 5 --log-prefix "BAD_FORWARD: "
$IPT -A FORWARD -i $IF -d $IP -j DROP
;;
stop)
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -F
$IPT -X
;;
restart)
stop
start
;;
status)
$IPT -L -v
;;
*)
echo "Usage: $0 {start|stop|restart|status}" >&2
exit 1
;;
esac

exit 0

Linux Firewalls

2008-03-04T08:26:00.003+07:00

Đối với các quản trị viên hệ thống linux thì "Làm thế nào để bảo mật hệ thống?" luôn là một câu hỏi dai dẳng. Bất kể bạn là một người mới bắt đầu đến với linux hay là một quản trị viên có một ít kinh nghiệm câu trả lời chính vẫn là firewall. Tuy rằng công tác bảo mật liên quan đến rất nhiều khía cạnh, nhưng việc nắm rõ cánh cổng - nơi từng gói tin dữ liệu ra vào hàng ngày sẽ mang đến cho bạn cái nhìn tổng thể về các hoạt động cuả hệ thống mình. Xin trân trọng giới thiệu đến quý vị đọc giả quyển sách Linux Firewalls, nguồn tham khảo đầy đủ và toàn diện nhất về firewall trên hệ thống linux. Điểm thú vị nhất cuả quyển sách là giới thiệu các loại tấn công phổ biến ở các layer khác nhau cũng như cách phòng thủ trước những loại tấn công này. Ngoài ra cuốn sách cũng giới thiệu một số công cụ bổ sung nhằm phát hiện, ngăn ngừa những cuộc tấn công đang hay sắp diễn ra giúp cho firewall cuả bạn hoạt động một cách trên cả tuyệt vời. Quyển sách đã được Richard Bejtlich đánh giá top những quyển sách hay nhất năm 2007 còn tôi thì đánh giá là một trong những quyển sách đáng được download nhất :D

Linux Firewalls: Attack Detection and Response with iptables, psad, and fwsnort

FreeBSD on usb (2)

2007-07-25T17:27:00.000+07:00

3. Cài đặt FreeBSD lên usb

- Đưa usb vào và chạy lệnh sau:

#fdisk -BI /dev/da0
#bsdlabel -B -w /dev/da0s1
#newfs /dev/da0s1a

- Mount usb và cài đặt:

#mount /dev/da0s1a /mnt
#cd /usr/src
#make installworld DESTDIR=/mnt
#cd etc
#make distribution DESTDIR=/mnt
#cd ..
#make installkernel DESTDIR=/mnt

- Tạo fstab và rc.conf:

#cp /etc/fstab /mnt/etc
#ee /mnt/etc/fstab
# Device Mountpoint FStype Options Dump Pass
/dev/da0s1a / ufs rw 1 1
/dev/acd0 /cdrom cd9660 ro,noauto 0 0
#cp /etc/rc.conf /mnt/etc
#umount /mnt

Lưu ý: Tập tin rc.conf là tập tin cấu hình hệ thống quan trọng vì vậy bạn hãy tham khảo trang man cẩn thận để tạo ra cấu hình phù hợp nhất với mình. Sau đó bạn hãy khởi động lại máy tính với usb để chắc chắn rằng nó làm việc tốt :mrgreen:

4. Cài đặt phần mềm với ports.

Đến đây chúng ta đã hoàn tất việc cài đặt FreeBSD lên usb, tuy nhiên chỉ có mỗi hệ điều hành. Việc tiếp theo cần làm là cài đặt thêm các ứng dụng yêu thích của mình. Cũng như nhiều bản phân phối linux khác FreeBSD có 1 hệ thống quản lý package riêng và rất độc đáo. Tất cả các pagkage đều được cài đặt từ source và bạn không cần phải quan tâm đến dependencies vì nó sẽ tự động được download và biên dịch.
- Để thực hiện việc này ta cần cài hệ thống ports vào đĩa cứng:

#mkdir /usr/ports
#mkdir /mnt/usr
#mount /dev/ad0s1f /mnt/usr
#mount /dev/acd0 /cdrom
#tar xzvf /cdrom/6.2-RELEASE/ports/ports.tgz -C /mnt/usr
#mount_nullfs /mnt/usr/ports /usr/ports

Từ bây giờ bạn có thể cài đặt bất kỳ software nào bằng cách di chuyển vào thư mục tương ứng và gõ lệnh make install clean. Ví dụ:

#cd /usr/ports/x11-wm/fluxbox
#make install clean

Bạn hãy tham khảo tại đây để biết phần mềm nào là được đặt ở đâu. Bạn cũng nên cập nhật ports tree để có được những phiên bản phần mềm mới nhất. Cách thực hiện điều này thì cũng giống như bước 1, có nghĩa là bạn phải cài đặt gói cvsup-without-gui-16.1h và cấu hình ports-supfile.

#cp /usr/share/example/cvsup/ports-supfile /etc
#ee /etc/ports-supfile

Điều chỉnh dòng 51 lại thành *default host=cvsup.freebsd.org và chạy lệnh sau để update ports tree:

#cvsup -g -L 2 /etc/ports-supfile

Bạn cũng nên cài đặt portupgrade (/usr/ports/ports-mgmt/portupgrade) và portaudit (/usr/ports/ports-mgmt/portaudit) để dễ dàng cho việc nâng cấp sau này cũng như nâng cao bảo mật cho các phần mềm được cài đặt.
Cuối cùng thì sau khi đã cài đặt các phần mềm yêu thích của mình xong thì hãy backup usb cẩn thận phòng khi bạn hào phóng tặng không usb cho ai đó :))

FreeBSD on usb (1)

2007-07-25T11:13:00.000+07:00

Chào các bạn hâm mộ *nix!

Nhân dịp dụ khị được vài bạn sử dụng FreeBSD nên cũng thấy vui vui :)) Hôm nay rảnh rỗi giới thiệu với các bạn một thủ thuật nhỏ về việc cài đặt FreeBSD lên usb disk. Những lý do chính để cài đặt FreeBSD lên usb disk là:
- Tính di động: Bạn xây dựng 1 hệ điều hành cùng với các ứng dụng yêu thích của mình lên 1 thiết bị và đem nó theo bất cứ nơi nào bạn đến (home, office,...)
- Nâng cao bảo mật: Với việc cài đặt hệ điều hành và ứng dụng lên usb bạn có thể giải phóng hard disk của mình, dùng nó hoàn toàn chỉ trong việc lưu trữ dữ liệu và bạn có thể áp dụng các biện pháp bảo mật cho dữ liệu của mình.
Khuyết điểm: Việc đọc ghi lên usb là khá chậm, tuy vậy chúng ta sẽ cải thiện bằng cách dời những phần tương tác đọc ghi nhiều vào đĩa cứng như swap, /tmp, /usr/ports, /usr/obj,... và tăng thêm RAM :P)
Hiện nay có rất nhiều distro linux được phân phối dưới dạng livecd, tuy nhiên khuyết điểm của chúng (đối với 1 số trường hợp thì nó là ưu điểm :P)) là không thể lưu trữ. Bạn khó có thể bổ sung các ứng dụng yêu thích của mình vào các bản phân phối này. Việc cài đặt chúng lên usb thì cũng khá đơn giản tuy nhiên trong bài này tôi sẽ giới thiệu cho các bạn một cách thức khác xây dựng FreeBSD từ source giúp cho hệ điều hành và ứng dụng của bạn stable hơn.
Nào bây giờ chúng ta bắt đầu thực hiện. Yêu cầu cần có là 1 đĩa cứng tạm (dùng để build FreeBSD) hoặc một phân vùng còn trống trên đĩa cứng tối thiểu cỡ 10GB (OpenOffice build từ source cần 9GB đĩa cứng trống). Bạn nên dùng đĩa cứng tạm nếu có thể, nếu không thì phải backup dữ liệu cẩn thận. An toàn nhất thì nên dùng máy ảo.

1. Cài đặt FreeBSD lên đĩa cứng (phần này để giới thiệu với những bạn chưa từng cài đặt FreeBSD.)
- Download FreeBSD và khởi động

- Chọn Custom -> chọn Partition (3) -> chọn A (Use Entire Disk) -> chọn Q (Quit) (Lưu ý: Trường hợp bạn chỉ có 1 phân vùng trống trên đĩa cứng thì hãy chọn vào phân vùng trống và chọn C (Create Slice) và chọn type là 165 default).

- Chọn Standard
- Chọn Label (4) -> chọn A (Auto Default) -> chọn Q (Quit).
- Chọn Distribution (5) -> chọn Custom -> chọn base + kernels GENERIC (hoặc SMP nếu bạn có may mắn có 1 hệ thống đa xử lý) + src (chọn all) -> OK -> OK.
- Chọn Media (6) là CD/DVD.
- Chọn Comit (7) và hệ thống sẽ được cài đặt.
- Sau khi cài đặt xong bạn sẽ được hỏi "Visit the general configuration menu for a chance to set any last option" hãy chọn Yes. Bạn sẽ được đưa vào menu sau:

Tại đây bạn có thể tinh chỉnh các thứ như root passwd, time zone, add user, config network,... Sau khi làm xong chọn Exit 3 lần máy tính sẽ khởi động lại. Nếu không có trục trặc thì chúc mừng bạn bạn đã cài đặt FreeBSD thành công :mrgreen:

2. Cập nhật mã nguồn và tiến hành biên dịch hệ thống.

- Sau khi khởi động lại vào hệ thống thì bạn cần cài đặt gói cvsup-without-gui-16.1h để cập nhật mã nguồn.

#/usr/sbin/sysintall

- Chọn Configure -> chọn packages -> chọn FTP (nếu chọn CD/DVD thì bạn phải download ISO image thứ 2 của FreeBSD) -> chọn net -> chọn cvsup-without-gui-16.1h -> OK -> Install -> OK -> Exit.

#cp /usr/share/example/cvsup/stable-supfile /etc

- Điều chỉnh cấu hình:

#ee /etc/stable-supfile

- Điều chỉnh dòng 68 lại thành *default host=cvsup.freebsd.org -> ESC -> leave and save. Bạn có thể tham khảo danh sách mirror các cvsup server để lựa chọn 1 server thích hợp.
- Chạy lệnh sau để update source code:

#cvsup -g -L 2 /etc/stable-supfile

- Trong lúc chờ đợi chuyển sang terminal thứ 2 và soạn thảo file cấu hình kernel.

#ee /usr/src/sys/i386/conf/MYKERNEL

Bởi vì nội dung của file cấu hình kernel là khá nhiều nên tôi sẽ đính kèm để các bạn download về tham khảo, ngoài ra còn có 1 lưu ý ở đây. File cấu hình kernel này bao gồm tất cả các cấu hình phần cứng mà FreeBSD hỗ trợ, trừ trường hợp bạn có ý muốn sử dụng cho nhiều máy tính khác nhau còn không thì bạn hãy tìm hiểu kỹ phần cứng máy tính của mình và loại bỏ những phần không liên quan, chi tiết về các loại phần cứng được FreeBSD hỗ trợ các bạn có thể tham khảo tại đây, để loại bỏ những phần không liên quan trong file cấu hình kernel thì chỉ cần đánh dấu # vào dòng cần loại bỏ.

- Tạo make.conf:

#ee /etc/make.conf
# $FreeBSD: src/share/examples/etc/make.conf,v 1.265.2.8 2006/09/13 08:39:16 des Exp $
#
# The CPUTYPE variable controls which processor should be targeted for
# generated code. This controls processor-specific optimizations in
# certain code (currently only OpenSSL) as well as modifying the value
# of CFLAGS to contain the appropriate optimization directive to gcc.
# The automatic setting of CFLAGS may be overridden using the
# NO_CPU_CFLAGS variable below.
# Currently the following CPU types are recognized:
# Intel x86 architecture:
# (AMD CPUs) opteron athlon64 athlon-mp athlon-xp athlon-4
# athlon-tbird athlon k8 k6-3 k6-2 k6 k5
# (Intel CPUs) nocona pentium4[m] prescott pentium3[m] pentium-m
# pentium2 pentiumpro pentium-mmx pentium i486 i386
# (Via CPUs) c3 c3-2
# Alpha/AXP architecture: ev67 ev6 pca56 ev56 ev5 ev45 ev4
# AMD64 architecture: opteron, athlon64, nocona
# Intel ia64 architecture: itanium2, itanium
#
# (?= allows to buildworld for a different CPUTYPE.)
#
CPUTYPE=pentium4
#
CFLAGS= -O2 -pipe
COPTFLAGS= -O2 -pipe
#
INSTALL=install -C
#
NO_ATM= # do not build ATM related programs and libraries
NO_DICT= # do not build the Webster dictionary files
NO_I4B= # do not build isdn4bsd package
NO_INFO= # do not make or install info files
NO_IPFILTER= # do not build IP Filter package
NO_KERBEROS= # do not build and install Kerberos 5 (KTH Heimdal)
NO_MAN= # do not build manual pages
NO_NIS= # do not build NIS support and related programs.
NO_PROFILE= # Avoid compiling profiled libraries
NO_RCMDS= # do not build or install BSD r* commands (rsh, etc).
NO_SENDMAIL= # do not build sendmail and related programs
NO_SHAREDOCS= # do not build the 4.4BSD legacy docs
NO_BIND= # Do not build any part of BIND
NO_BIND_DNSSEC= # Do not build dnssec-keygen, dnssec-signzone
NO_BIND_ETC= # Do not install files to /etc/namedb
NO_BIND_LIBS_LWRES= # Do not install the lwres library
NO_BIND_MTREE= # Do not run mtree to create chroot directories
NO_BIND_NAMED= # Do not build named, rndc, lwresd, etc.
NO_BIND_UTILS= # Do not build dig, host, nslookup, nsupdate
#
MAKE_IDEA=yes # IDEA (128 bit symmetric encryption)
#
KERNCONF=MYKERNEL

Lưu ý:

- Dòng CPUTYPE, bạn hãy chọn đúng loại CPU của mình.
- Sendmail và bind là 2 phần mềm nổi tiếng và rất lâu đời trong thế giới *nix, vì thế không có gì lạ khi nó mặc định được cài đặt trong hầu hết các phiên bản UNIX cũng như linux. Cá nhân tôi không thích dùng chúng vì thế trong file cấu hình make.conf tôi lựa chọn là không build các software này, nếu bạn thích dùng nó thì đơn giản thêm # vào các dòng tương ứng. Ngoài ra các bạn có thể tham khảo trang man để biết thêm chi tiết.

Phần chuẩn bị đã xong, chuyển sang terminal 1 coi source đã được update xong chưa, nếu mọi thứ đã xong hãy chạy lệnh sau để tiến hành biên dịch hệ thống:

#cd /usr/src
#make buildworld && make buildkernel

Trên máy Pentium4 của tôi phải mất gần 2 giờ để công việc này hoàn tất, vì vậy bạn hãy pha 1 ly cafe và bật tivi theo dõi trận Việt Nam - IRAQ trong thời gian chờ đợi :D)

Mã hóa root file system với FreeBSD geli

2007-07-25T11:10:00.000+07:00

Chào các bạn hâm mộ *nix!

Kể từ lúc tôi đọc được bài viết của mrro "Nếu tôi là Huyremy" tại blog bảo mật thông tin, tôi thực sự ngỡ ngàng. Đó là kể từ lúc tôi biết sử dụng máy tính đến nay tôi chưa áp dụng bất kỳ một biện pháp nào để bảo vệ dữ liệu của mình. Điều này cũng giống như việc bạn cài đặt một phiên bản windows lên máy tính của mình mà không cài thêm cho nó một chương trình chống virus. Kết cục là điều dễ thấy. Tuy việc so sánh này có hơi khập khiễng nhưng nó có cùng một lý lẽ: Nếu bạn không biết tự bảo vệ mình thì ai khác sẽ làm điều đó đây? Nếu bạn không có biện pháp nào để bảo vệ dữ liệu thì bất kỳ ai cũng có thể đọc được nó. Thật chẳng có ý nghĩa gì khi bạn tạo ra một hệ thống được bảo mật chặt chẽ với mật khẩu root dài tới hàng trăm ký tự, thế nhưng bất kỳ ai với một đĩa livecd đều có thể mount nó lên với quyền root mà không gặp phải một sự kháng cự nào. Hãy nghĩ đến viễn cảnh chiếc máy laptop yêu dấu hoặc ổ đĩa usb chứa toàn dữ liệu nhạy cảm mà bạn vô tình đánh rơi ở đâu đó.
Tuy rằng trong bài viết đó mrro có mạnh mẽ khuyên rằng đừng có làm theo nhưng tôi nghĩ rằng bảo vệ dữ liệu của mình là một việc nên làm. Bài viết của mrro có giới thiệu công cụ LKUS dành cho linux, nhưng tôi đang dùng FreeBSD và tôi tự hỏi không biết hệ điều hành này có công cụ nào tương tự. Thật ngạc nhiên là nó có tới hai công cụ gbde và geli. Tuy nhiên trong bài này tôi chỉ sử dụng geli vì khả năng mã hóa cả root file system. Ưu điểm của việc mã hóa cả root file system là bạn không thể đọc được bất kỳ một thông tin nào nếu bạn không cung cấp được 1 keyfile và 1 passphrase.

Cảnh báo quan trọng: Nếu bạn thích thú với tính năng này và có ý định làm theo thì hãy backup tất cả dữ liệu.
Mẹo: Trước khi thực hiện trên máy thật bạn có thể dùng máy ảo.

Ưu điểm thì đã thấy, tuy nhiên cũng nên nói thêm rằng bảo mật và tiện dụng là 2 khái niệm mâu thuẫn nhau. Nếu bạn sử dụng tính năng này thì phải hết sức cẩn thận, nếu bạn làm mất keyfile, hoặc đĩa cứng của bạn gặp vấn đề thì dữ liệu của bạn sẽ ra đi không phải xa mà là... rất xa.

Bây giờ chúng ta bắt đầu thực hiện. Yêu cầu cần có là 1 ổ CDRW, 1 cdrom FreeBSD phiên bản 6.1 hoặc 6.2 và 1 đĩa usb để lưu keyfile, Frenzy để tạo đĩa khởi động.

1. Boot máy với đĩa FreeBSD và chọn FixIt -> CD/DVD -> có shell. Gõ lệnh sau ở shell:

FixIt# ln -s /dist/boot/kernel /boot/kernel
FixIt# ln -s /dist/lib /lib
FixIt# geli load

2. Gắn usb disk vào và tạo keyfile:

FixIt# mkdir /mnt/umass
FixIt# mount_msdosfs /dev/da0s1 /mnt/umass
FixIt# dd if=/dev/random of=/mnt/umass/ad0.key bs=128k count=1
FixIt# geli init -b -l 256 -K /mnt/umass/ad0.key /dev/ad0
Enter new passphrase: <-- Nhập vào passphare
Reenter new passphrase: <-- Xác nhận passphare
FixIt# geli attach -k /mnt/umass/ad0.key /dev/ad0
Enter passphrase: <-- Nhập vào passphare

Sau bước này đĩa cứng của bạn đã ở chế độ mã hóa.

3. Phân vùng đĩa cứng và cài hệ điều hành:

FixIt# bsdlabel -w /dev/ad0.eli
FixIt# EDITOR=/mnt2/usr/bin/ee; export EDITOR <-- thay đổi text editor sang ee
FixIt# bsdlabel -e /dev/ad0.eli

Bạn sẽ nhận được 1 màn hình có dạng như sau:

# /dev/ad0.eli 8 partitions:
# size offset fstype [fsize bsize bps/cpg]
a: 78200413 16 unused 0 0
c: 78200431 0 unused 0 0 # "raw" part, don't edit

Tùy theo dung lượng ổ cứng mà bạn có mà điều chỉnh cho hợp lý, ở đây tôi có ổ cứng 40GB. Tôi sẽ điều chỉnh như sau:

# /dev/ad0.eli 8 partitions:
# size offset fstype [fsize bsize bps/cpg]
a: 256M 0 4.2BSD 0 0
b: 934M * swap
c: 78200431 0 unused 0 0 # "raw" part, don't edit
d: 4096M * 4.2BSD 0 0
e: 8192M * 4.2BSD 0 0
f: 512M * 4.2BSD 0 0
g: * * 4.2BSD 0 0

4. Format file system:

FixIt# newfs /dev/ad0.elia
FixIt# newfs /dev/ad0.elid
FixIt# newfs /dev/ad0.elie
FixIt# newfs /dev/ad0.elif
FixIt# newfs /dev/ad0.elig

5. Mount file system và cài đặt:

FixIt# mkdir /mnt/root; mount /dev/ad0.elia /mnt/root
FixIt# cd /mnt/root; mkdir tmp home var usr
FixIt# mount /dev/ad0.elid /mnt/root/var
FixIt# mount /dev/ad0.elie /mnt/root/usr
FixIt# mount /dev/ad0.elif /mnt/root/tmp
FixIt# mount /dev/ad0.elig /mnt/root/home
FixIt# DESTDIR=/mnt/root; export DESTDIR <-- thay đổi biến môi trường cài đặt
FixIt# cd /dist/6.1-RELEASE/base (Nếu dùng phiên bản 6.2 thì đổi là 6.2-RELEASE)
FixIt# ./install.sh
FixIt# cd ../kernels
FixIt# ./install.sh generic (đổi lại là ./install.sh smp nếu bạn may mắn có 1 hệ thống đa xử lý)
FixIt# cd ../manpages
FixIt# ./install.sh
FixIt# cd ../ports
FixIt# ./install.sh
FixIt# cd ../src
FixIt# ./install.sh all
FixIt# rmdir /mnt/root/boot/kernel
FixIt# mv /mnt/root/boot/GENERIC /mnt/root/boot/kernel (nếu SMP thì đổi lại là mv /mnt/root/boot/SMP /mnt/root/boot/kernel)

6. Tạo fstab:

FixIt# ee /mnt/root/etc/fstab
# Device Mountpoint FStype Options Dump Pass
/dev/ad0.elib none swap sw 0 0
/dev/ad0.elia / ufs rw 1 1
/dev/ad0.elif /tmp ufs rw 2 2
/dev/ad0.elie /usr ufs rw 2 2
/dev/ad0.elid /var ufs rw 2 2
/dev/ad0.elig /home ufs rw 2 2
/dev/acd0 /cdrom cd9660 ro,noauto 0 0

7. Tạo đĩa khởi động. Đây là bước khó khăn và quan trọng. Bởi vì ổ đĩa cứng của bạn đã mã hóa hết nên máy tính không thể đọc được bất kỳ 1 thông tin nào, vì vậy bạn phải tạo 1 đĩa khởi động chưa mã hóa, trong đó có chứa keyfile để khởi động vào ổ cứng mã hóa.

FixIt# mkdir /mnt/umass/cdboot
FixIt# cp -Rpv /mnt/root/boot /mnt/umass/cdboot
FixIt# mkdir /mnt/umass/cdboot/boot/keys
FixIt# cp /mnt/umass/ad0.key /mnt/umass/cdboot/boot/keys

Tạo fstab cho cdboot:

FixIt# mkdir /mnt/umass/cdboot/etc
FixIt# ee /mnt/umass/cdboot/etc/fstab
# Device Mountpoint FStype Options Dump Pass
/dev/ad0.elia / ufs rw 1 1

Tạo loader.conf để nạp module geli vào kernel lúc khởi động và cấu hình keyfile:

FixIt# ee /mnt/cdboot/boot/loader.conf
geom_eli_load="YES"
geli_ad0_keyfile0_load="YES"
geli_ad0_keyfile0_type="ad0:geli_keyfile0"
geli_ad0_keyfile0_name="/boot/keys/ad0.key"

Nếu bạn dùng phiên bản 6.1 thì có 1 bug với kdbmux. Bug này làm cho lúc khởi động bạn không thể nhập passpharse. Hãy điều chỉnh như sau:

FixIt# ee /mnt/umass/cdboot/device.hints
...
hint.kdbmux.0.disabled="1"

Kế tiếp chúng ta boot Frenzy và tạo đĩa khởi động:

# mkdir /mnt/umass
# mount_msdosfs /dev/da0s1 /mnt/umass
# cd /mnt/umass
# mkisofs -R -U -V "Boot Encrypted" -no-emul-boot -b boot/cdboot -o be.iso /mnt/umass/cdboot

Bạn đã tạo được iso boot rồi, hãy burn nó và khởi động. Chúc may mắn.

Tài liệu tham khảo:
Complete Hard Disk Encryption