暗号化用のOracle ACFSコマンドライン・ツール

このトピックでは、Oracle ACFS暗号化用コマンドの概要を示します。

表16-79に、Oracle ACFS暗号化コマンドと簡単な説明を示します。Oracle ACFS暗号化の概要は、「Oracle ACFS暗号化」を参照してください。

acfsutil encr on、acfsutil encr offコマンドおよびacfsutil encr rekeyコマンドは、128 MBを超えるファイルでサポートされません。128 MBを超えるファイルでのこれらのコマンドの操作は失敗し、結果として発生するエラー・メッセージに代替アクションが表示されます。

Oracle ACFS acfsutilコマンドの実行の詳細は、「Oracle ACFSコマンドライン・ツールの使用について」を参照してください。

表16-79 Oracle ACFS暗号化用のコマンドの概要

コマンド	説明
acfsutil encr info	Oracle ACFSファイルシステムの暗号化関連の情報を表示します。
acfsutil encr init	暗号化キー用のストレージを作成します。
acfsutil encr off	Oracle ACFSファイルシステムの暗号化を無効にします。
acfsutil encr on	Oracle ACFSファイルシステムを暗号化します。
acfsutil encr rekey	Oracle ACFSファイルシステムの新しいキーを作成し再暗号化します。
acfsutil encr set	Oracle ACFSファイルシステムの暗号化パラメータを設定または変更します。
acfsutil keystore migrate	暗号化キーストアを移行します。

acfsutil encr info

目的

Oracle ACFSファイルシステム、ディレクトリまたはファイルの暗号化関連の情報を表示します。

構文および説明

acfsutil encr info -h
acfsutil encr info -m mount_point [[-r] path [path …]]

acfsutil encr info -hは、ヘルプ・テキストを表示して終了します。

表16-80に、acfsutil encr infoコマンドで使用可能なオプションを示します。

表16-80 acfsutil encr infoコマンドのオプション

オプション	説明
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
-r	pathで識別される既存のディレクトリ・フォルダでの再帰的アクションを指定します。
path	ディレクトリの絶対パスまたは相対パスを表示します。複数のパス値を指定できます。

pathを指定せずに-mを指定すると、暗号化の状態、アルゴリズムおよびキー長がファイルシステム・レベルで表示されます。

pathを指定して-rを指定すると、暗号化の状態、アルゴリズムおよびキー長がpathで指定したディレクトリの下のすべてのオブジェクトに対して表示されます。

ファイルがpathオプションで指定される場合、acfsutil encr infoコマンドはスナップショット内のファイルの暗号化状態とパラメータを表示します。

レルム保護されたオブジェクト上で実行される場合、このコマンドは失敗します。

どのユーザーもこのコマンドを実行して、ファイルシステム、ディレクトリまたはファイルの暗号化情報を表示できます。

acfsutil encr infoコマンドをシステム管理者として実行すると、使用されているキーストアのタイプが出力に表示されます。タイプは、OCR (SSO)内のシングルサインオン・ウォレット、OCR (PKS)内のパスワード保護ウォレットおよびキー・ストアとしてのOracle Key Vault (OKV)です。

例

次に、acfsutil encr infoの使用例を示します。

例16-76 acfsutil encr infoコマンドの使用方法

# /sbin/acfsutil encr info -m /acfsmounts/acfs1

# /sbin/acfsutil encr info -m /acfsmounts/acfs1 
                           -r /acfsmounts/acfs1/myfiles

acfsutil encr init

目的

暗号化キー用のストレージを作成します。

構文および説明

acfsutil encr init -h
acfsutil encr init [-p ]

acfsutil encr init -hは、ヘルプ・テキストを表示して終了します。

表16-81に、acfsutil encr initコマンドで使用可能なオプションを示します。

表16-81 acfsutil encr initコマンドのオプション

オプション	説明
-p	キー用のPKCS(パスワード保護)ストレージを作成します。

acfsutil encr initコマンドを実行してからでないと、他の暗号化acfsutilコマンドは実行できません。このコマンドはOracle ACFS暗号化が実行するクラスタごとに1度実行する必要があります。

Oracle Key Vaultをキー・ストアとして使用する場合は、引き続き最初にacfsutil encr initを実行する必要があります。

関連項目:

Oracle Key Vaultの詳細は、『Oracle Key Vault管理者ガイド』を参照してください。

-pオプションを指定すると、パスワードを求められたときに入力する必要があります。パスワードは、「acfsutil sec init」で説明した形式に従う必要があります。

-pオプションを指定しないと、シングル・サインオン(SSO)ウォレットが作成されます。

rootまたはシステム管理者権限を持つユーザーのみがこのコマンドを実行できます。

例

次に、acfsutil encr initコマンドの使用例を示します。

例16-77 acfsutil encr initコマンドの使用方法

# /sbin/acfsutil encr init

acfsutil encr off

目的

Oracle ACFSファイルシステム、ディレクトリまたは個別のファイルの暗号化を無効にします。

構文および説明

acfsutil encr off -h
acfsutil encr off -m mount_point [[-r] path [ path ...]]

acfsutil encr off -hは、ヘルプ・テキストを表示して終了します。

表16-83に、acfsutil encr offコマンドで使用可能なオプションを示します。

表16-82 acfsutil encr offコマンドのオプション

オプション	説明
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
-r	pathで識別される既存のディレクトリで再帰的に暗号化を無効にするよう指定します。
path	ディレクトリの絶対パスまたは相対パスを表示します。複数のパス値を指定できます。

このコマンドは、セキュリティ・レルム保護されたファイルでは実行できません。

管理者だけがこのコマンドをOracle ACFSファイルシステムで実行できます(pathを指定しない-mオプション)。pathを指定せずに-mオプションを指定すると、マウント・ポイントの下のすべてのファイルが復号化されます。

pathオプションは、読取り-書込みスナップショット内のファイルまたはディレクトリへのパスを指定できます。rootディレクトリ上で-rオプションがコマンドで指定されている場合、コマンドは.ACFSディレクトリ下でスナップショットを横断しません。復号化操作がファイルシステムのレベルで指定されている場合、その操作では、.ACFS/snaps/ディレクトリ内のスナップショットのファイルとディレクトリを処理しません。

rootまたはシステム管理者権限を持つユーザーのみがこのコマンドを実行して、ファイルシステムで暗号化を無効にできます。ファイルの所有者もこのコマンドを実行してディレクトリまたはファイルの暗号化を無効にできます。

例

次に、acfsutil encr offの使用例を示します。

例16-78 acfsutil encr offコマンドの使用方法

# /sbin/acfsutil encr off -m /acfsmounts/acfs1

# /sbin/acfsutil encr off -m /acfsmounts/acfs1
                          -r /acfsmounts/acfs1/myfiles

acfsutil encr on

目的

Oracle ACFSファイルシステム、ディレクトリまたは個別のファイルを暗号化します。

構文および説明

acfsutil encr on -h
acfsutil encr on -m mount_point
          [-a {AES} -k {128|192|256}] [[-r] path [path...]]

acfsutil encr on -hは、ヘルプ・テキストを表示して終了します。

表16-83に、acfsutil encr onコマンドで使用可能なオプションを示します。

表16-83 acfsutil encr onコマンドのオプション

オプション	説明
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
-a algorithm	ディレクトリまたはファイルの暗号化アルゴリズムのタイプを指定します。Advanced Encryption Standard(AES)がこのリリースでサポートされる唯一の暗号化アルゴリズムです。
-k key_length	ディレクトリまたはファイルの暗号化キー長を指定します。
-r	pathで識別される既存のディレクトリ・フォルダで再帰的な暗号化を指定します。
path	ディレクトリの絶対パスまたは相対パスを表示します。複数のパス値を指定できます。

このコマンドは、レルム保護されたファイルでは実行できません。

-aおよび-kのデフォルト値はacfsutil encr setが実行したときに指定したボリューム・パラメータにより決定されます。ボリューム・レベルでキー長を設定するには、acfsutil encr setコマンドを使用します。

管理者だけがこのコマンドをOracle ACFSファイルシステムで実行できます(pathを指定しない-mオプション)。pathを指定せずに-mオプションを指定すると、マウント・ポイントの下のすべてのファイルが暗号化されます。

pathオプションは、読取り-書込みスナップショット内のファイルまたはディレクトリへのパスを指定できます。rootディレクトリ上で-rオプションがコマンドで指定されている場合、コマンドは.ACFSディレクトリ下でスナップショットを横断しません。暗号化操作がファイルシステムのレベルで指定されている場合、その操作では、.ACFS/snaps/ディレクトリ内のスナップショットのファイルとディレクトリを処理しません。

-rオプションを指定してacfsutil encr onを実行すると、指定されたディレクトリは再帰的に暗号化されますが、ファイルシステム・レベルでは暗号化は有効化されません。

rootまたはシステム管理者権限を持つユーザーのみがこのコマンドを実行して、ファイルシステムで暗号化を有効にできます。ファイルの所有者もこのコマンドを実行してディレクトリまたはファイルの暗号化を有効にできます。

例

次に、acfsutil encr onの使用例を示します。

例16-79 acfsutil encr onコマンドの使用方法

# /sbin/acfsutil encr on -m /acfsmounts/acfs1

# /sbin/acfsutil encr on -m /acfsmounts/acfs1
                         -a AES -k 128 -r /acfsmounts/acfs1/myfiles

acfsutil encr rekey

目的

新しいキーを作成しボリュームまたはファイルを再暗号化します。

構文および説明

acfsutil encr rekey -h
acfsutil encr rekey -m mount_point
    {-f [-r] path [path…] |-v } [-a {AES} -k {128|192 |256}]

acfsutil encr rekey -hは、ヘルプ・テキストを表示して終了します。

表16-84に、acfsutil encr rekeyコマンドで使用可能なオプションを示します。

表16-84 acfsutil encr rekeyコマンドのオプション

オプション	説明
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。
-f [-r] path ...	指定したパスに対し新しいファイル暗号化キーを生成し、その新しいキーでデータを暗号化します。 -rを指定すると、pathの下でキー更新操作が再帰的に実行されます。 pathはディレクトリの絶対パスまたは相対パスを指定します。複数のパス値を指定できます。
-v	指定したマウント・ポイントに対し新しいボリューム暗号化キー(VEK)を生成し、その新しいキーでファイルシステムのすべてのファイル暗号化キーを暗号化します。新しいVEKを格納するのにウォレットにアクセスする必要があるため、ウォレット・パスワードが求められます。 生成されたキーは、前にacfsutil encr initコマンドで構成されたキー・ストアに格納されます。
-a algorithm	アルゴリズムを指定します。Advanced Encryption Standard(AES)がこのリリースでサポートされる唯一の暗号化です。
-k key_length	pathで指定されたディレクトリまたはファイルのキー長を指定します。

このコマンドは、セキュリティ・レルム保護されたファイルでは実行できません。

-aおよび-kのデフォルト値はacfsutil encr setが実行したときに指定したボリューム・パラメータにより決定されます。

pathオプションは、読取り-書込みスナップショット内のファイルまたはディレクトリへのパスを指定できます。rootディレクトリ上で-rオプションがコマンドで指定されている場合、コマンドは.ACFSディレクトリ下でスナップショットを横断しません。キー更新操作がファイルシステムのレベルで指定されている場合、その操作では、.ACFS/snaps/ディレクトリ内のスナップショットのファイルとディレクトリを処理しません。

Oracle Key Vaultがファイルシステムのキー・ストアである場合、-vオプションを使用して新しいボリューム・キーを生成する際に、Oracle Key Vaultホーム環境変数(OKV_HOME)を設定する必要があります。クライアントがOracle Key Vaultでパスワードを使用するように構成されている場合、求められたら同じパスワードを入力する必要があります。

関連項目:

Oracle Key Vaultの詳細は、『Oracle Key Vault管理者ガイド』を参照してください。

rootまたはシステム管理者権限を持つユーザーのみが-vオプションを指定してこのコマンドを実行できます。ファイルの所有者も-fオプションを指定してこのコマンドを実行して、ディレクトリまたはファイルの暗号化のキーを更新できます。

例

次に、acfsutil encr rekeyの使用例を示します。

例16-80 acfsutil encr rekeyコマンドの使用方法

# /sbin/acfsutil encr rekey -m /acfsmounts/acfs1 -v

# /sbin/acfsutil encr rekey -m /acfsmounts/acfs1 -f
                            -r /acfsmounts/acfs1/myfiles

acfsutil encr set

目的

Oracle ACFSファイルシステムの暗号化パラメータを設定または変更します。

構文および説明

acfsutil encr set -h
acfsutil encr set [ [-a {AES} -k {128|192|256}] [-e] | -u ] -m mount_point

acfsutil encr set -hは、ヘルプ・テキストを表示して終了します。

表16-85に、acfsutil encr setコマンドで使用可能なオプションを示します。

表16-85 acfsutil encr setコマンドのオプション

オプション	説明
-a algorithm	アルゴリズムを指定します。Advanced Encryption Standard(AES)がデフォルト値で、このリリースでサポートされる唯一の暗号化です。-kを指定した場合、アルゴリズムを指定する必要があります。
-k {128|192|256}	キー長を指定します。キー長はボリューム・レベルで設定されます。デフォルトは192です。-aを指定した場合は指定する必要があります。
-e	Oracle Key Vaultをキー・ストアとして使用するように指定します。
-u	暗号化を取り消します。このコマンドは、ファイルシステムのすべての暗号化されたファイルを復号化し、acfsutil encr setがファイルシステムで実行する前の状態にファイルシステムを戻します。セキュリティが使用されている場合、このコマンドはセキュリティが取り消された後にのみ実行できます。セキュリティを削除するには、「acfsutil sec prepare」を参照してください。
-m mount_point	このファイルシステムがマウントされるディレクトリを指定します。

acfsutil encr setコマンドを実行するには、先にacfsutil encr initコマンドを実行する必要があります。

acfsutil encr setコマンドはファイルシステム用の暗号化パラメータを構成し、ボリューム暗号化キーを透過的に生成し、acfsutil encr initコマンドで構成済のキー・ストアに生成したキーを格納します。

監査がクラスタで初期化された場合、このコマンドによって、ファイルシステム上のOracle ACFS暗号化の監査ソースも有効化されます。この監査ソースを有効にしたときに実行されるアクションは、acfsutil audit enableコマンドを直接実行したときに行われるアクションと同じです。詳細は、「acfsutil audit enable」を参照してください。

さらに、acfsutil encr setはmount_point/.Security/encryption/logs/ディレクトリを作成し、これには監査および診断データを収集するログ・ファイル(encr-hostname_fsid.log)が含まれます。

キーの格納時のパスワードの要求は、暗号化キー・ストレージの構成方法によって異なります。-pがacfsutil encr initとともに指定された場合、このコマンドの実行にはパスワードが必要です。

-eオプションを使用してOracle Key Vaultをキー・ストアとして指定する前に、まずOracle Key Vaultを構成する必要があります。Oracle Key Vaultをファイルシステムのキー・ストアとして選択する場合、-eオプションを指定してコマンドを実行する際に、Oracle Key Vaultホーム環境変数(OKV_HOME)を設定する必要があります。クライアントがOracle Key Vaultでパスワードを使用するように構成されている場合、求められたら同じパスワードを入力する必要があります。

関連項目:

Oracle Key Vaultの構成の詳細は、『Oracle Key Vault管理者ガイド』を参照してください。

スナップショットがファイルシステムに存在する場合、acfsutil encr set –uコマンドを使用できません。

rootまたはシステム管理者権限を持つユーザーのみがacfsutil encr setコマンドを実行できます。

例

次に、acfsutil encr setコマンドの使用例を示します。

例16-81 acfsutil encr setコマンドの使用方法

# /sbin/acfsutil encr set -a AES -k 256 -m /acfsmounts/acfs1

acfsutil keystore migrate

目的

暗号化キーストアを移行します。

構文および説明

acfsutil keystore migrate -h
acfsutil keystore migrate [-p ]

acfsutil keystore migrate -hは、ヘルプ・テキストを表示して終了します。

表16-81に、acfsutil keystore migrateコマンドで使用可能なオプションを示します。

表16-86 acfsutil keystore migrateコマンドのオプション

オプション	説明
-p	暗号化キーストアを、SSOウォレットからPKCSウォレットに変換します。

-pオプションを指定した場合、acfsutil keystore migrateは、SSOウォレットをPKCSウォレットに変換します。-pオプションを指定しない場合、acfsutil keystore migrateは、PKCSウォレットをSSOウォレットに変換します。

rootまたはシステム管理者権限を持つユーザーのみがこのコマンドを実行できます。

例

次に、acfsutil keystore migrateコマンドの使用例を示します。

例16-82 acfsutil keystore migrateコマンドの使用方法

# /sbin/acfsutil keystore migrate