この項では、LinuxでOracle ACFSファイルシステムの暗号化を管理するための基本操作について説明します。この項の例は、Oracle ACFSファイルシステムで診療履歴ファイルが暗号化されているシナリオを示します。
この項の手順では、Oracle ACFSセキュリティがファイルシステムに構成されていないことを前提としていますが、Oracle ACFSセキュリティと暗号化の両方を同じファイルシステムで使用できます。セキュリティと暗号化の両方を使用する場合は、ファイルシステムを含むクラスタで、暗号化とセキュリティの両方を初期化する必要があります。ファイルシステムでセキュリティを初期化してから、Oracle ACFSセキュリティ管理者はacfsutil
sec
コマンドを実行して、ファイルシステムの暗号化を有効にします。暗号化を伴うセキュリティの設定の詳細は、「Oracle ACFSファイルシステムのセキュリティ保護」を参照してください。
acfsutil
encr
set
およびacfsutil
encr
rekey
-v
コマンドは、暗号化キー・ストアを変更するため、これらのコマンドを実行した後にOracle Cluster Registry(OCR)をバックアップし、ファイルシステムのすべてのボリューム暗号化キー(VEK)を含むOCRバックアップを保持する必要があります。
ファイルシステム用に作成したボリューム上のディスク・グループのASM
およびADVM
の互換性属性は11.2.0.3
以上に設定されています。ディスク・グループの互換性の詳細は、「ディスク・グループの互換性」を参照してください。
この項の例では、様々なオペレーティング・システム・ユーザー、オペレーティング・システム・グループおよびディレクトリが存在する必要があります。
暗号化を管理するための基本手順は次のとおりです。
暗号化を初期化します。
acfsutil
encr
init
コマンドを実行して、暗号化を初期化し、暗号化キーに必要なストレージを作成します。このコマンドは暗号化を設定するクラスタごとに1度実行する必要があります。
たとえば、次のコマンドはクラスタの暗号化を初期化します。
# /sbin/acfsutil encr init
このコマンドは、他の暗号化コマンドの前に実行する必要があり、実行するにはroot権限または管理者権限が必要です。
詳細は、「acfsutil encr init」を参照してください。
暗号化パラメータを設定します。
acfsutil
encr
set
コマンドを実行し、Oracle ACFSファイルシステム全体の暗号化パラメータを設定します。
たとえば、次のコマンドでは、/acfsmounts/acfs1
ディレクトリにマウントされているファイルシステムに対し、AES
暗号化アルゴリズムと、ファイルのキー長を128
に設定します。
# /sbin/acfsutil encr set -a AES -k 128 -m /acfsmounts/acfs1/
acfsutil
encr
set
コマンドも、acfsutil
encr
init
コマンドで構成済のキー・ストアに格納されるボリューム暗号化キーを透過的に生成します。
このコマンドを実行するにはroot権限または管理者権限が必要です。
詳細は、「acfsutil encr set」を参照してください。
暗号化を有効にします。
acfsutil
encr
on
コマンドを実行し、ディレクトリおよびファイルの暗号化を有効にします。
たとえば、次のコマンドでは、/acfsmounts/acfs1/medicalrecords
ディレクトリのすべてのファイルで再帰的な暗号化を有効にします。
# /sbin/acfsutil encr on -r /acfsmounts/acfs1/medicalrecords -m /acfsmounts/acfs1/
/acfsmounts/acfs1/medicalrecords
ディレクトリ内のファイルにアクセスするための適切な権限のあるユーザーは、復号化されたファイルを読み取ることができます。
このコマンドは、管理者またはファイルの所有者が実行できます。
詳細は、「acfsutil encr on」を参照してください。
暗号化情報を表示します。
acfsutil
encr
info
コマンドを実行し、ディレクトリおよびファイルの暗号化の情報を表示します。
# /sbin/acfsutil encr info -m /acfsmounts/acfs1/ -r /acfsmounts/acfs1/medicalrecords
このコマンドは、管理者またはファイルの所有者が実行できます。
詳細は、「acfsutil encr info」を参照してください。
Oracle ACFS暗号化の監査および診断データがログ・ファイルに保存されます。ログ・ファイルを含む、Oracle ACFS暗号化の詳細は、「Oracle ACFS暗号化」を参照してください。