暗号化用のOracle ACFSコマンドライン・ツール

表13-66に、Oracle ACFS暗号化用コマンドの概要を示します。

すべてのプラットフォームでacfsutil helpを実行して、ヘルプ・テキストを表示できます。すべてのプラットフォームでacfsutil versionを実行して、Oracle ACFSのバージョンを表示できます。

Windowsプラットフォームでコマンドにオプションを付けて入力するときには、オプションとともに-のかわりに/を使用します。たとえば、acfsutil -hを使用してLinuxプラットフォームでacfsutilのヘルプを表示できます。Windowsプラットフォームでは、acfsutil /hを使用します。

Windowsオペレーティング・システムでのマウント・ポイントはドライブ文字またはドライブ文字を含むディレクトリのいずれでもよいことに注意してください。

表13-66 Oracle ACFS暗号化用のコマンドの概要

コマンド	説明
acfsutil encr info	Oracle ACFSファイルシステムの暗号化関連の情報を表示します。
acfsutil encr init	暗号化キー用のストレージを作成します。
acfsutil encr off	Oracle ACFSファイルシステムの暗号化を無効にします。
acfsutil encr on	Oracle ACFSファイルシステムを暗号化します。
acfsutil encr rekey	Oracle ACFSファイルシステムの新しいキーを作成し再暗号化します。
acfsutil encr set	Oracle ACFSファイルシステムの暗号化パラメータを設定または変更します。

acfsutil encr info

用途

Oracle ACFSファイルシステム、ディレクトリまたはファイルの暗号化関連の情報を表示します。

構文および説明

acfsutil encr info -h
acfsutil encr info -m mount_point [[-r] path [path…]]

acfsutil encr info -hは、ヘルプ・テキストを表示して終了します。

表13-67に、acfsutil encr infoコマンドで使用可能なオプションを示します。

表13-67 acfsutil encr infoコマンドのオプション

オプション	説明
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
-r	pathで識別される既存のディレクトリ・フォルダでの再帰的アクションを指定します。
path	ディレクトリの絶対パスまたは相対パスを表示します。複数のパス値を指定できます。

pathを指定せずに-mを指定すると、暗号化の状態、アルゴリズムおよびキー長がファイルシステム・レベルで表示されます。

pathを指定して-rを指定すると、暗号化の状態、アルゴリズムおよびキー長がpathで指定したディレクトリの下のすべてのオブジェクトに対して表示されます。

ファイルがpathオプションで指定される場合、acfsutil encr infoコマンドはスナップショット内のファイルの暗号化状態とパラメータを表示します。

レルム保護されたオブジェクト上で実行される場合、このコマンドは失敗します。

どのユーザーもこのコマンドを実行して、ファイルシステム、ディレクトリまたはファイルの暗号化情報を表示できます。

例

次に、acfsutil encr infoの使用例を示します。

例13-59 acfsutil encr infoコマンドの使用方法

# /sbin/acfsutil encr info -m /u01/app/acfsmounts/myacfs

# /sbin/acfsutil encr info -m /u01/app/acfsmounts/myacfs 
                           -r /u01/app/acfsmounts/myacfs/myfiles

acfsutil encr init

用途

暗号化キー用のストレージを作成します。

構文および説明

acfsutil encr init -h
acfsutil encr init [-p ]

acfsutil encr init -hは、ヘルプ・テキストを表示して終了します。

表13-68に、acfsutil encr initコマンドで使用可能なオプションを示します。

表13-68 acfsutil encr initコマンドのオプション

オプション	説明
-p	キー用のPKCS(パスワード保護)ストレージを作成します。

acfsutil encr initコマンドを実行してからでないと、他の暗号化acfsutilコマンドは実行できません。このコマンドはOracle ACFS暗号化が実行するクラスタごとに1度実行する必要があります。

-pオプションを指定すると、パスワードを求められたときに入力する必要があります。パスワードは、「acfsutil sec init」で説明した形式に従う必要があります。

-pオプションを指定しないと、シングル・サインオン(SSO)ウォレットが作成されます。

rootまたはシステム管理者権限を持つユーザーのみがこのコマンドを実行できます。

例

次に、acfsutil encr initコマンドの使用例を示します。

例13-60 acfsutil encr initコマンドの使用方法

# /sbin/acfsutil encr init

acfsutil encr off

用途

Oracle ACFSファイルシステム、ディレクトリまたは個別のファイルの暗号化を無効にします。

構文および説明

acfsutil encr off -h
acfsutil encr off -m mount_point [[-r] path [ path...]]

acfsutil encr off -hは、ヘルプ・テキストを表示して終了します。

表13-70に、acfsutil encr offコマンドで使用可能なオプションを示します。

表13-69 acfsutil encr offコマンドのオプション

オプション	説明
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
-r	pathで識別される既存のディレクトリで再帰的に暗号化を無効にするよう指定します。
path	ディレクトリの絶対パスまたは相対パスを表示します。複数のパス値を指定できます。

このコマンドは、セキュリティ・レルム保護されたファイルでは実行できません。

管理者だけがこのコマンドをOracle ACFSファイルシステムで実行できます(pathを指定しない-mオプション)。pathを指定せずに-mオプションを指定すると、マウント・ポイントの下のすべてのファイルが復号化されます。

pathオプションは、読取り-書込みスナップショット内のファイルまたはディレクトリへのパスを指定できます。rootディレクトリ上で-rオプションがコマンドで指定されている場合、コマンドは.ACFSディレクトリ下でスナップショットを横断しません。復号化操作がファイルシステムのレベルで指定されている場合、その操作では、.ACFS/snaps/ディレクトリ内のスナップショットのファイルとディレクトリを処理しません。

rootまたはシステム管理者権限を持つユーザーのみがこのコマンドを実行して、ファイルシステムで暗号化を無効にできます。ファイルの所有者もこのコマンドを実行してディレクトリまたはファイルの暗号化を無効にできます。

例

次に、acfsutil encr offの使用例を示します。

例13-61 acfsutil encr offコマンドの使用方法

# /sbin/acfsutil encr off -m /u01/app/acfsmounts/myacfs

# /sbin/acfsutil encr off -m /u01/app/acfsmounts/myacfs
                          -r /u01/app/acfsmounts/myacfs/myfiles

acfsutil encr on

用途

Oracle ACFSファイルシステム、ディレクトリまたは個別のファイルを暗号化します。

構文および説明

acfsutil encr on -h
acfsutil encr on -m mount_point
     [-a {AES} -k {128|192|256}] [[-r] path [ path...]]

acfsutil encr on -hは、ヘルプ・テキストを表示して終了します。

表13-70に、acfsutil encr onコマンドで使用可能なオプションを示します。

表13-70 acfsutil encr onコマンドのオプション

オプション	説明
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
-a algorithm	ディレクトリまたはファイルの暗号化アルゴリズムのタイプを指定します。Advanced Encryption Standard(AES)がこのリリースでサポートされる唯一の暗号化アルゴリズムです。
-k key_length	ディレクトリまたはファイルの暗号化キー長を指定します。
-r	pathで識別される既存のディレクトリ・フォルダで再帰的な暗号化を指定します。
path	ディレクトリの絶対パスまたは相対パスを表示します。複数のパス値を指定できます。

このコマンドは、レルム保護されたファイルでは実行できません。

-aおよび-kのデフォルト値はacfsutil encr setが実行したときに指定したボリューム・パラメータにより決定されます。ボリューム・レベルでキー長を設定するには、acfsutil encr setコマンドを使用します。

管理者だけがこのコマンドをOracle ACFSファイルシステムで実行できます(pathを指定しない-mオプション)。pathを指定せずに-mオプションを指定すると、マウント・ポイントの下のすべてのファイルが暗号化されます。

pathオプションは、読取り-書込みスナップショット内のファイルまたはディレクトリへのパスを指定できます。rootディレクトリ上で-rオプションがコマンドで指定されている場合、コマンドは.ACFSディレクトリ下でスナップショットを横断しません。暗号化操作がファイルシステムのレベルで指定されている場合、その操作では、.ACFS/snaps/ディレクトリ内のスナップショットのファイルとディレクトリを処理しません。

rootまたはシステム管理者権限を持つユーザーのみがこのコマンドを実行して、ファイルシステムで暗号化を有効にできます。ファイルの所有者もこのコマンドを実行してディレクトリまたはファイルの暗号化を有効にできます。

例

次に、acfsutil encr onの使用例を示します。

例13-62 acfsutil encr onコマンドの使用方法

# /sbin/acfsutil encr on -m /u01/app/acfsmounts/myacfs

# /sbin/acfsutil encr on -m /u01/app/acfsmounts/myacfs
                         -a AES -k 128 -r /u01/app/acfsmounts/myacfs/myfiles

acfsutil encr rekey

用途

新しいキーを作成しボリュームまたはファイルを再暗号化します。

構文および説明

acfsutil encr rekey -h
acfsutil encr rekey -m mount_point
     {-f [-r] path [path…] |-v } [-a {AES} -k {128|192 |256}]

acfsutil encr rekey -hは、ヘルプ・テキストを表示して終了します。

表13-71に、acfsutil encr rekeyコマンドで使用可能なオプションを示します。

表13-71 acfsutil encr rekeyコマンドのオプション

オプション	説明
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
-f [-r] path ...	指定したパスに対し新しいファイル暗号化キーを生成し、その新しいキーでデータを暗号化します。 -rを指定すると、pathの下でキー更新操作が再帰的に実行されます。 pathはディレクトリの絶対パスまたは相対パスを指定します。複数のパス値を指定できます。
-v	指定したマウント・ポイントに対し新しいボリューム暗号化キー(VEK)を生成し、その新しいキーでファイルシステムのすべてのファイル暗号化キーを暗号化します。新しいVEKを格納するのにウォレットにアクセスする必要があるため、ウォレット・パスワードが求められます。
-a algorithm	アルゴリズムを指定します。Advanced Encryption Standard(AES)がこのリリースでサポートされる唯一の暗号化です。
-k key_length	pathで指定されたディレクトリまたはファイルのキー長を指定します。

このコマンドは、セキュリティ・レルム保護されたファイルでは実行できません。

-aおよび-kのデフォルト値はacfsutil encr setが実行したときに指定したボリューム・パラメータにより決定されます。

pathオプションは、読取り-書込みスナップショット内のファイルまたはディレクトリへのパスを指定できます。rootディレクトリ上で-rオプションがコマンドで指定されている場合、コマンドは.ACFSディレクトリ下でスナップショットを横断しません。キー更新操作がファイルシステムのレベルで指定されている場合、その操作では、.ACFS/snaps/ディレクトリ内のスナップショットのファイルとディレクトリを処理しません。

rootまたはシステム管理者権限を持つユーザーのみが-vオプションを指定してこのコマンドを実行できます。ファイルの所有者も-fオプションを指定してこのコマンドを実行して、ディレクトリまたはファイルの暗号化のキーを更新できます。

このコマンドを-vオプションとともに実行した後に、Oracle Cluster Registry(OCR)をバックアップして、ファイルシステムのすべてのボリューム暗号化キー(VEK)を含むOCRバックアップを確保する必要があります。

例

次に、acfsutil encr rekeyの使用例を示します。

例13-63 acfsutil encr rekeyコマンドの使用方法

# /sbin/acfsutil encr rekey -m /u01/app/acfsmounts/myacfs -v

# /sbin/acfsutil encr rekey -m /u01/app/acfsmounts/myacfs -f
                            -r /u01/app/acfsmounts/myacfs/myfiles

acfsutil encr set

用途

Oracle ACFSファイルシステムの暗号化パラメータを設定または変更します。

構文および説明

acfsutil encr set -h
acfsutil encr set [-a {AES } -k {128|192|256} | -u] -m mount_point

acfsutil encr set -hは、ヘルプ・テキストを表示して終了します。

表13-72に、acfsutil encr setコマンドで使用可能なオプションを示します。

表13-72 acfsutil encr setコマンドのオプション

オプション	説明
-a algorithm	アルゴリズムを指定します。Advanced Encryption Standard(AES)がデフォルト値で、このリリースでサポートされる唯一の暗号化です。-kを指定した場合、アルゴリズムを指定する必要があります。
-k { 128|192|256}	キー長を指定します。キー長はボリューム・レベルで設定されます。デフォルトは192です。-aを指定した場合は指定する必要があります。
-u	暗号化を取り消します。このコマンドは、ファイルシステムのすべての暗号化されたファイルを復号化し、acfsutil encr setがファイルシステムで実行する前の状態にファイルシステムを戻します。セキュリティが使用されている場合、このコマンドはセキュリティが取り消された後にのみ実行できます。セキュリティを削除するには、「acfsutil sec prepare」を参照してください。
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。

acfsutil encr setコマンドを実行するには、先にacfsutil encr initコマンドを実行する必要があります。

acfsutil encr setコマンドはファイルシステム用の暗号化パラメータを構成し、ボリューム暗号化キーを透過的に生成し、acfsutil encr initコマンドで構成済のキー・ストアに生成したキーを格納します。

さらに、acfsutil encr setはmount_point/.Security/encryption/logs/ディレクトリを作成し、これには監査および診断データを収集するログ・ファイル(encr-host_name.log)が含まれます。

キーの格納時のパスワードの要求は、暗号化キー・ストレージの構成方法によって異なります。-pがacfsutil encr initとともに指定された場合、このコマンドの実行にはパスワードが必要です。

スナップショットがファイルシステムに存在する場合、acfsutil encr set –uコマンドを使用できません。

rootまたはシステム管理者権限を持つユーザーのみがacfsutil encr setコマンドを実行できます。

このコマンドを実行した後に、Oracle Cluster Registry(OCR)をバックアップして、ファイルシステムのすべてのボリューム暗号化キー(VEK)を含むOCRバックアップを確保する必要があります。

例

次に、acfsutil encr setコマンドの使用例を示します。

例13-64 acfsutil encr setコマンドの使用方法

# /sbin/acfsutil encr set -a AES -k 256 -m /u01/app/acfsmounts/myacfs