geli da0: uyota 匠の一手

# geli init /dev/da0
Enter new passphrase:
Reenter new passphrase:
# geli attach -d /dev/da0
Enter passphrase:
GEOM_ELI: Device da0.eli created.
GEOM_ELI:     Cipher: AES
GEOM_ELI: Key length: 128
GEOM_ELI:     Crypto: software
# newfs -U /dev/da0.eli
/dev/da0.eli: ....
....
GEOM_ELI: Detached da0.eli on last close.
# geli attach /dev/da0
Enter passphrase:
GEOM_ELI: Device da0.eli created.
GEOM_ELI:     Cipher: AES
GEOM_ELI: Key length: 128
GEOM_ELI:     Crypto: software
# mount /dev/da0.eli /export

久しぶりに GELI の設定。長いこと GELI を使っているが、個人的に使っている分には何も問題は無い。それなりに CPU を喰うようになるが、気にならない程度だ。

init で初期化。-a algo を指定することで、初期設定のAES 以外にも Blowfish や 3DES を使うことも出来る。この方式だと、パスワードを聞いて来る。パスワードを設定し、もう一度入力する。これで、GELI の初期化が終わった。

その後、attach で GELI デバイスを認識させる。-d を付けると、最後の close にて、GELI が detach される。最初に初期化をしている時は、付けない方がいい。newfs などをするたびに、detach されてしまう。

今回は、ディスク全体を使うため、da0 を使った。FreeBSD 自体はスライスやパーティションがどの様に切られていようとも、正しく mount される所が指定されていれば関係ない。そこで、da0s1c.eli よりも短い da0.eli を選んだだけだ。一度、attach すると後は普通のデバイスと変わらない。newfs -U /dev/da0.eli をやった後に mount 出来る。

GELI には他にも色々な形の鍵を利用できる詳しくは、man geli を見て欲しい。

echo 'geom_geli_load="YES"' >> /boot/loader.conf

これをやることで、

/dev/da0.eli          /export         ufs     rw              2       2

と fstab に記述して、起動時に自動的に mount 出来るようにもなる。パスワードは mount の最中に聞かれるようになる。