*BSD中文用户社区

cgdconfig 程序操纵cgd 设备, 使用特征文件来保存每个cgd的信息，这些信息包含加密类型、key长度以及随机密码盐. (译者注：这里将password salt翻译为密码盐，也就是用来给password加密的一个密钥，先这样翻译了，如果有正式的词汇请emial to:[email protected],网上的定义请参看：http://en.wikipedia.org/wiki/Password_salt) 这些文件非常重要,要妥善保管 —— 没有它们你将不能加密数据!

我们将创建一个特征文件并将它保存到默认的位置 (请先确认目录 /etc/cgd 已存在，而且这个目录的属性为700):

这将创建一个特征文件 /etc/cgd/wd0e，它描述了一个 cgd 使用 aes-cbc 加密方式, 一个 disklabel的key验证方法, 以及长度为 256 位的key。它看起来像这样:

algorithm aes-cbc;
iv-method encblkno;
keylength 256;
verify_method disklabel;
keygen pkcs5_pbkdf2/sha1 {
iterations 6275;
salt AAAAgHTg/jKCd2ZJiOSGrgnadGw=;
};

Note
记住, 你一会儿要把这个文件保存在某个安全的地方。

提示
当你建立特征文件时, cgdconfig 阅读 /dev/random 文件并产生密码盐。 如果没有在随机池收集到足够的熵, 这个阅读可能会被阻止。 这不太可能, 特别是如果你刚参照前一个步骤完成了对磁盘的复写, 但是如果出现了这种情况，你可以在控制台随意按键和/或移动你的鼠标直到 rnd 设备收集到足够的熵。

现在可以创建cgd了, 为此我们需要一个密码短语。这个密码短语需要在每次cgd开启时被输入, 通常是每次重新启动。 加密的key采集自这个密码短语和盐。 请确认你不会忘记这个密码短语, 而且其他人猜不出来。

我们第一次配置 cgd, 在逻辑设备上没有有效的disklabel, 所以我们后面要用到的验证机制目前无效。我们覆盖它一次:

将提示您输入两次加密短语，以防万一输入时有错误, 否则你可能带入一个错误的加密短语配置的 cgd 加密环境，这可不是你希望的。

现在我们有了一个新的 cgd, 我们需要对其分区和创建文件系统。重建原来的分区并保持同样的大小及分区名。

提示
记住使用 disklabel -I 参数, 因为你是为一个新硬盘创建一个初始的label.

说明
虽然你想让你的新分区与旧分区保持一样的大小,这里说的旧分区是指原来那些不加密的分区, 但因为它们开始于这个虚拟磁盘，所以偏移量是不同的。

然后, 使用 newfs 命令在所有相关分区创建文件系统。这时你的分区将反映出 cgd 磁盘名称, 例如: