表13-66に、Oracle ACFS暗号化用コマンドの概要を示します。
すべてのプラットフォームでacfsutil
help
を実行して、ヘルプ・テキストを表示できます。すべてのプラットフォームでacfsutil
version
を実行して、Oracle ACFSのバージョンを表示できます。
Windowsプラットフォームでコマンドにオプションを付けて入力するときには、オプションとともに-
のかわりに/
を使用します。たとえば、acfsutil
-h
を使用してLinuxプラットフォームでacfsutil
のヘルプを表示できます。Windowsプラットフォームでは、acfsutil
/h
を使用します。
Windowsオペレーティング・システムでのマウント・ポイントはドライブ文字またはドライブ文字を含むディレクトリのいずれでもよいことに注意してください。
表13-66 Oracle ACFS暗号化用のコマンドの概要
コマンド | 説明 |
---|---|
|
Oracle ACFSファイルシステムの暗号化関連の情報を表示します。 |
|
暗号化キー用のストレージを作成します。 |
|
Oracle ACFSファイルシステムの暗号化を無効にします。 |
|
Oracle ACFSファイルシステムを暗号化します。 |
|
Oracle ACFSファイルシステムの新しいキーを作成し再暗号化します。 |
|
Oracle ACFSファイルシステムの暗号化パラメータを設定または変更します。 |
用途
Oracle ACFSファイルシステム、ディレクトリまたはファイルの暗号化関連の情報を表示します。
構文および説明
acfsutil
encr
info
-h
acfsutil
encr
info
-m
mount_point
[[-r
] path
[path
…]]acfsutil
encr
info
-h
は、ヘルプ・テキストを表示して終了します。
表13-67に、acfsutil
encr
info
コマンドで使用可能なオプションを示します。
表13-67 acfsutil encr infoコマンドのオプション
オプション | 説明 |
---|---|
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
|
|
ディレクトリの絶対パスまたは相対パスを表示します。複数のパス値を指定できます。 |
path
を指定せずに-m
を指定すると、暗号化の状態、アルゴリズムおよびキー長がファイルシステム・レベルで表示されます。
path
を指定して-r
を指定すると、暗号化の状態、アルゴリズムおよびキー長がpath
で指定したディレクトリの下のすべてのオブジェクトに対して表示されます。
ファイルがpath
オプションで指定される場合、acfsutil
encr
info
コマンドはスナップショット内のファイルの暗号化状態とパラメータを表示します。
レルム保護されたオブジェクト上で実行される場合、このコマンドは失敗します。
どのユーザーもこのコマンドを実行して、ファイルシステム、ディレクトリまたはファイルの暗号化情報を表示できます。
例
次に、acfsutil
encr
info
の使用例を示します。
用途
暗号化キー用のストレージを作成します。
構文および説明
acfsutil
encr
init
-h
acfsutil
encr
init
[-p
]acfsutil
encr
init
-h
は、ヘルプ・テキストを表示して終了します。
表13-68に、acfsutil
encr
init
コマンドで使用可能なオプションを示します。
acfsutil
encr
init
コマンドを実行してからでないと、他の暗号化acfsutil
コマンドは実行できません。このコマンドはOracle ACFS暗号化が実行するクラスタごとに1度実行する必要があります。
-p
オプションを指定すると、パスワードを求められたときに入力する必要があります。パスワードは、「acfsutil sec init」で説明した形式に従う必要があります。
-p
オプションを指定しないと、シングル・サインオン(SSO)ウォレットが作成されます。
rootまたはシステム管理者権限を持つユーザーのみがこのコマンドを実行できます。
例
次に、acfsutil
encr
init
コマンドの使用例を示します。
用途
Oracle ACFSファイルシステム、ディレクトリまたは個別のファイルの暗号化を無効にします。
構文および説明
acfsutil
encr
off
-h
acfsutil
encr
off
-m
mount_point
[[-r
] path
[ path
...]]acfsutil
encr
off
-h
は、ヘルプ・テキストを表示して終了します。
表13-70に、acfsutil
encr
off
コマンドで使用可能なオプションを示します。
表13-69 acfsutil encr offコマンドのオプション
オプション | 説明 |
---|---|
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
|
|
ディレクトリの絶対パスまたは相対パスを表示します。複数のパス値を指定できます。 |
このコマンドは、セキュリティ・レルム保護されたファイルでは実行できません。
管理者だけがこのコマンドをOracle ACFSファイルシステムで実行できます(path
を指定しない-m
オプション)。path
を指定せずに-m
オプションを指定すると、マウント・ポイントの下のすべてのファイルが復号化されます。
path
オプションは、読取り-書込みスナップショット内のファイルまたはディレクトリへのパスを指定できます。rootディレクトリ上で-r
オプションがコマンドで指定されている場合、コマンドは.ACFS
ディレクトリ下でスナップショットを横断しません。復号化操作がファイルシステムのレベルで指定されている場合、その操作では、.ACFS/snaps/
ディレクトリ内のスナップショットのファイルとディレクトリを処理しません。
rootまたはシステム管理者権限を持つユーザーのみがこのコマンドを実行して、ファイルシステムで暗号化を無効にできます。ファイルの所有者もこのコマンドを実行してディレクトリまたはファイルの暗号化を無効にできます。
例
次に、acfsutil
encr
off
の使用例を示します。
用途
Oracle ACFSファイルシステム、ディレクトリまたは個別のファイルを暗号化します。
構文および説明
acfsutil
encr
on
-h
acfsutil
encr
on
-m
mount_point
[-a
{AES
} -k
{128
|192
|256
}] [[-r
] path
[ path
...]]acfsutil
encr
on
-h
は、ヘルプ・テキストを表示して終了します。
表13-70に、acfsutil
encr
on
コマンドで使用可能なオプションを示します。
表13-70 acfsutil encr onコマンドのオプション
オプション | 説明 |
---|---|
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
ディレクトリまたはファイルの暗号化アルゴリズムのタイプを指定します。Advanced Encryption Standard(AES)がこのリリースでサポートされる唯一の暗号化アルゴリズムです。 |
|
ディレクトリまたはファイルの暗号化キー長を指定します。 |
|
|
|
ディレクトリの絶対パスまたは相対パスを表示します。複数のパス値を指定できます。 |
このコマンドは、レルム保護されたファイルでは実行できません。
-a
および-k
のデフォルト値はacfsutil
encr
set
が実行したときに指定したボリューム・パラメータにより決定されます。ボリューム・レベルでキー長を設定するには、acfsutil
encr
set
コマンドを使用します。
管理者だけがこのコマンドをOracle ACFSファイルシステムで実行できます(path
を指定しない-m
オプション)。path
を指定せずに-m
オプションを指定すると、マウント・ポイントの下のすべてのファイルが暗号化されます。
path
オプションは、読取り-書込みスナップショット内のファイルまたはディレクトリへのパスを指定できます。rootディレクトリ上で-r
オプションがコマンドで指定されている場合、コマンドは.ACFS
ディレクトリ下でスナップショットを横断しません。暗号化操作がファイルシステムのレベルで指定されている場合、その操作では、.ACFS/snaps/
ディレクトリ内のスナップショットのファイルとディレクトリを処理しません。
rootまたはシステム管理者権限を持つユーザーのみがこのコマンドを実行して、ファイルシステムで暗号化を有効にできます。ファイルの所有者もこのコマンドを実行してディレクトリまたはファイルの暗号化を有効にできます。
例
次に、acfsutil
encr
on
の使用例を示します。
用途
新しいキーを作成しボリュームまたはファイルを再暗号化します。
構文および説明
acfsutil
encr
rekey
-h
acfsutil
encr
rekey
-m
mount_point
{-f
[-r
] path
[path
…] |-v
} [-a
{AES
} -k
{128
|192
|256
}]acfsutil
encr
rekey
-h
は、ヘルプ・テキストを表示して終了します。
表13-71に、acfsutil
encr
rekey
コマンドで使用可能なオプションを示します。
表13-71 acfsutil encr rekeyコマンドのオプション
オプション | 説明 |
---|---|
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
指定したパスに対し新しいファイル暗号化キーを生成し、その新しいキーでデータを暗号化します。 -rを指定すると、
|
|
指定したマウント・ポイントに対し新しいボリューム暗号化キー(VEK)を生成し、その新しいキーでファイルシステムのすべてのファイル暗号化キーを暗号化します。新しいVEKを格納するのにウォレットにアクセスする必要があるため、ウォレット・パスワードが求められます。 |
|
アルゴリズムを指定します。Advanced Encryption Standard(AES)がこのリリースでサポートされる唯一の暗号化です。 |
|
|
このコマンドは、セキュリティ・レルム保護されたファイルでは実行できません。
-a
および-k
のデフォルト値はacfsutil
encr
set
が実行したときに指定したボリューム・パラメータにより決定されます。
path
オプションは、読取り-書込みスナップショット内のファイルまたはディレクトリへのパスを指定できます。rootディレクトリ上で-r
オプションがコマンドで指定されている場合、コマンドは.ACFS
ディレクトリ下でスナップショットを横断しません。キー更新操作がファイルシステムのレベルで指定されている場合、その操作では、.ACFS/snaps/
ディレクトリ内のスナップショットのファイルとディレクトリを処理しません。
rootまたはシステム管理者権限を持つユーザーのみが-v
オプションを指定してこのコマンドを実行できます。ファイルの所有者も-f
オプションを指定してこのコマンドを実行して、ディレクトリまたはファイルの暗号化のキーを更新できます。
このコマンドを-v
オプションとともに実行した後に、Oracle Cluster Registry(OCR)をバックアップして、ファイルシステムのすべてのボリューム暗号化キー(VEK)を含むOCRバックアップを確保する必要があります。
例
次に、acfsutil
encr
rekey
の使用例を示します。
用途
Oracle ACFSファイルシステムの暗号化パラメータを設定または変更します。
構文および説明
acfsutil
encr
set
-h
acfsutil
encr
set
[-a
{AES
} -k
{128
|192
|256
} | -u
] -m
mount_point
acfsutil
encr
set
-h
は、ヘルプ・テキストを表示して終了します。
表13-72に、acfsutil
encr
set
コマンドで使用可能なオプションを示します。
表13-72 acfsutil encr setコマンドのオプション
オプション | 説明 |
---|---|
|
アルゴリズムを指定します。Advanced Encryption Standard( |
|
キー長を指定します。キー長はボリューム・レベルで設定されます。デフォルトは |
|
暗号化を取り消します。このコマンドは、ファイルシステムのすべての暗号化されたファイルを復号化し、 |
|
このファイルシステムがマウントされるディレクトリを指定します。 |
acfsutil
encr
set
コマンドを実行するには、先にacfsutil
encr
init
コマンドを実行する必要があります。
acfsutil
encr
set
コマンドはファイルシステム用の暗号化パラメータを構成し、ボリューム暗号化キーを透過的に生成し、acfsutil
encr
init
コマンドで構成済のキー・ストアに生成したキーを格納します。
さらに、acfsutil
encr
set
はmount_point
/.Security
/encryption/logs/
ディレクトリを作成し、これには監査および診断データを収集するログ・ファイル(encr-
host_name
.log
)が含まれます。
キーの格納時のパスワードの要求は、暗号化キー・ストレージの構成方法によって異なります。-p
がacfsutil
encr
init
とともに指定された場合、このコマンドの実行にはパスワードが必要です。
スナップショットがファイルシステムに存在する場合、acfsutil
encr
set
–u
コマンドを使用できません。
rootまたはシステム管理者権限を持つユーザーのみがacfsutil
encr
set
コマンドを実行できます。
このコマンドを実行した後に、Oracle Cluster Registry(OCR)をバックアップして、ファイルシステムのすべてのボリューム暗号化キー(VEK)を含むOCRバックアップを確保する必要があります。
例
次に、acfsutil
encr
set
コマンドの使用例を示します。