このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。
デバイス・マッパーは、dm-crypt
デバイス・ドライバを使用して暗号化ブロック・デバイスの作成をサポートします。 正しいパスワードを入力した場合にのみ、ブート時に暗号化デバイスのデータにアクセスできます。 基礎となるブロック・デバイスは暗号化され、ファイル・システムではないため、dm-crypt
を使用して、ディスク・パーティション、RAIDボリュームおよびLVM物理ボリュームを内容に関係なく暗号化できます。
Oracle Linuxをインストールする場合は、システムのブート元パーティション以外のシステム・ボリュームに対して暗号化を構成するオプションがあります。 ブート可能なパーティションを保護する場合は、BIOSに組み込まれているパスワード保護メカニズムの使用またはGRUBパスワードの設定を検討してください。
cryptsetupユーティリティを使用して、デバイスにLinux Unified Key Setup (LUKS)暗号化を設定し、認証を管理します。
暗号化ボリュームのマップされたデバイスを設定するには:
次の例のように、デバイスのLUKSパーティションを初期化し、初期キーを設定します。
#
cryptsetup luksFormat /dev/sdd
WARNING! ======== This will overwrite data on /dev/sdd irrevocably. Are you sure? (Type uppercase yes):YES
Enter LUKS passphrase:
Verify passphrase:passphrase
passphrase
デバイスをオープンし、デバイス・マッピングを作成します。
#
cryptsetup luksOpen /dev/sdd cryptfs
Enter passphrase for /dev/sdd:passphrase
この例では、暗号化されたボリュームは
/dev/mapper/cryptfs
としてアクセス可能です。次の例のように、
/etc/crypttab
の暗号化ボリュームにエントリを作成します。# <target name> <source device> <key file> <options> cryptfs /dev/sdd none luks
このエントリにより、ブート時にオペレーティング・システムからパスフレーズの入力を求めるプロンプトが表示されるようになります。
作成した暗号化ボリュームとそのデバイス・マッピングは、物理ストレージ・デバイスと同じ方法で構成および使用できます。 たとえば、LVM物理ボリューム、ファイル・システム、スワップ・パーティション、自動ストレージ管理(ASM)ディスクまたはRAWデバイスとして構成できます。 たとえば、物理デバイス(/dev/sdd
)ではなく、マップされたデバイス(/dev/mapper/cryptfs
)をマウントするために、/etc/fstab
にエントリを作成します。
暗号化ボリュームのステータスを検証するには、次のコマンドを使用します。
# cryptsetup status cryptfs
/dev/mapper/cryptfs is active.
type: LUKS1
cipher: aes-cbs-essiv:sha256
keysize: 256 bits
device: /dev/xvdd1
offset: 4096 sectors
size: 6309386 sectors
mode: read/write
デバイス・マッピングを削除する必要がある場合は、暗号化ボリュームに格納されたファイル・システムをアンマウントし、次のコマンドを実行します。
# cryptsetup luksClose /dev/mapper/cryptfs
詳細は、crypsetup(8)
およびcrypttab(5)
の各マニュアル・ページを参照してください。