暗号化用のOracle ACFSコマンドライン・ツール
このトピックでは、Oracle ACFS暗号化用コマンドの概要を示します。
表16-79に、Oracle ACFS暗号化コマンドと簡単な説明を示します。Oracle ACFS暗号化の概要は、「Oracle ACFS暗号化」を参照してください。
acfsutil
encr
on
、acfsutil
encr
off
コマンドおよびacfsutil
encr
rekey
コマンドは、128 MBを超えるファイルでサポートされません。128 MBを超えるファイルでのこれらのコマンドの操作は失敗し、結果として発生するエラー・メッセージに代替アクションが表示されます。
Oracle ACFS acfsutil
コマンドの実行の詳細は、「Oracle ACFSコマンドライン・ツールの使用について」を参照してください。
表16-79 Oracle ACFS暗号化用のコマンドの概要
コマンド | 説明 |
---|---|
Oracle ACFSファイルシステムの暗号化関連の情報を表示します。 |
|
暗号化キー用のストレージを作成します。 |
|
Oracle ACFSファイルシステムの暗号化を無効にします。 |
|
Oracle ACFSファイルシステムを暗号化します。 |
|
Oracle ACFSファイルシステムの新しいキーを作成し再暗号化します。 |
|
Oracle ACFSファイルシステムの暗号化パラメータを設定または変更します。 |
|
暗号化キーストアを移行します。 |
acfsutil encr info
目的
Oracle ACFSファイルシステム、ディレクトリまたはファイルの暗号化関連の情報を表示します。
構文および説明
acfsutil encr info -h acfsutil encr info -m mount_point [[-r] path [path …]]
acfsutil
encr
info
-h
は、ヘルプ・テキストを表示して終了します。
表16-80に、acfsutil
encr
info
コマンドで使用可能なオプションを示します。
表16-80 acfsutil encr infoコマンドのオプション
オプション | 説明 |
---|---|
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
|
|
ディレクトリの絶対パスまたは相対パスを表示します。複数のパス値を指定できます。 |
path
を指定せずに-m
を指定すると、暗号化の状態、アルゴリズムおよびキー長がファイルシステム・レベルで表示されます。
path
を指定して-r
を指定すると、暗号化の状態、アルゴリズムおよびキー長がpath
で指定したディレクトリの下のすべてのオブジェクトに対して表示されます。
ファイルがpath
オプションで指定される場合、acfsutil
encr
info
コマンドはスナップショット内のファイルの暗号化状態とパラメータを表示します。
レルム保護されたオブジェクト上で実行される場合、このコマンドは失敗します。
どのユーザーもこのコマンドを実行して、ファイルシステム、ディレクトリまたはファイルの暗号化情報を表示できます。
acfsutil
encr
info
コマンドをシステム管理者として実行すると、使用されているキーストアのタイプが出力に表示されます。タイプは、OCR (SSO)内のシングルサインオン・ウォレット、OCR (PKS)内のパスワード保護ウォレットおよびキー・ストアとしてのOracle Key Vault (OKV)です。
例
次に、acfsutil
encr
info
の使用例を示します。
例16-76 acfsutil encr infoコマンドの使用方法
# /sbin/acfsutil encr info -m /acfsmounts/acfs1 # /sbin/acfsutil encr info -m /acfsmounts/acfs1 -r /acfsmounts/acfs1/myfiles
acfsutil encr init
目的
暗号化キー用のストレージを作成します。
構文および説明
acfsutil encr init -h acfsutil encr init [-p ]
acfsutil
encr
init
-h
は、ヘルプ・テキストを表示して終了します。
表16-81に、acfsutil
encr
init
コマンドで使用可能なオプションを示します。
表16-81 acfsutil encr initコマンドのオプション
オプション | 説明 |
---|---|
|
キー用のPKCS(パスワード保護)ストレージを作成します。 |
acfsutil
encr
init
コマンドを実行してからでないと、他の暗号化acfsutil
コマンドは実行できません。このコマンドはOracle ACFS暗号化が実行するクラスタごとに1度実行する必要があります。
Oracle Key Vaultをキー・ストアとして使用する場合は、引き続き最初にacfsutil
encr
init
を実行する必要があります。
関連項目:
Oracle Key Vaultの詳細は、『Oracle Key Vault管理者ガイド』を参照してください。
-p
オプションを指定すると、パスワードを求められたときに入力する必要があります。パスワードは、「acfsutil sec init」で説明した形式に従う必要があります。
-p
オプションを指定しないと、シングル・サインオン(SSO)ウォレットが作成されます。
rootまたはシステム管理者権限を持つユーザーのみがこのコマンドを実行できます。
例
次に、acfsutil
encr
init
コマンドの使用例を示します。
例16-77 acfsutil encr initコマンドの使用方法
# /sbin/acfsutil encr init
acfsutil encr off
目的
Oracle ACFSファイルシステム、ディレクトリまたは個別のファイルの暗号化を無効にします。
構文および説明
acfsutil encr off -h acfsutil encr off -m mount_point [[-r] path [ path ...]]
acfsutil
encr
off
-h
は、ヘルプ・テキストを表示して終了します。
表16-83に、acfsutil
encr
off
コマンドで使用可能なオプションを示します。
表16-82 acfsutil encr offコマンドのオプション
オプション | 説明 |
---|---|
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
|
|
ディレクトリの絶対パスまたは相対パスを表示します。複数のパス値を指定できます。 |
このコマンドは、セキュリティ・レルム保護されたファイルでは実行できません。
管理者だけがこのコマンドをOracle ACFSファイルシステムで実行できます(path
を指定しない
-mオプション)。path
を指定せずに-m
オプションを指定すると、マウント・ポイントの下のすべてのファイルが復号化されます。
path
オプションは、読取り-書込みスナップショット内のファイルまたはディレクトリへのパスを指定できます。rootディレクトリ上で-r
オプションがコマンドで指定されている場合、コマンドは.ACFS
ディレクトリ下でスナップショットを横断しません。復号化操作がファイルシステムのレベルで指定されている場合、その操作では、.ACFS/snaps/
ディレクトリ内のスナップショットのファイルとディレクトリを処理しません。
rootまたはシステム管理者権限を持つユーザーのみがこのコマンドを実行して、ファイルシステムで暗号化を無効にできます。ファイルの所有者もこのコマンドを実行してディレクトリまたはファイルの暗号化を無効にできます。
例
次に、acfsutil
encr
off
の使用例を示します。
例16-78 acfsutil encr offコマンドの使用方法
# /sbin/acfsutil encr off -m /acfsmounts/acfs1 # /sbin/acfsutil encr off -m /acfsmounts/acfs1 -r /acfsmounts/acfs1/myfiles
acfsutil encr on
目的
Oracle ACFSファイルシステム、ディレクトリまたは個別のファイルを暗号化します。
構文および説明
acfsutil encr on -h acfsutil encr on -m mount_point [-a {AES} -k {128|192|256}] [[-r] path [path...]]
acfsutil
encr
on
-h
は、ヘルプ・テキストを表示して終了します。
表16-83に、acfsutil
encr
on
コマンドで使用可能なオプションを示します。
表16-83 acfsutil encr onコマンドのオプション
オプション | 説明 |
---|---|
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
ディレクトリまたはファイルの暗号化アルゴリズムのタイプを指定します。Advanced Encryption Standard(AES)がこのリリースでサポートされる唯一の暗号化アルゴリズムです。 |
|
ディレクトリまたはファイルの暗号化キー長を指定します。 |
|
|
|
ディレクトリの絶対パスまたは相対パスを表示します。複数のパス値を指定できます。 |
このコマンドは、レルム保護されたファイルでは実行できません。
-a
および-k
のデフォルト値はacfsutil
encr
set
が実行したときに指定したボリューム・パラメータにより決定されます。ボリューム・レベルでキー長を設定するには、acfsutil
encr
set
コマンドを使用します。
管理者だけがこのコマンドをOracle ACFSファイルシステムで実行できます(path
を指定しない
-mオプション)。path
を指定せずに-m
オプションを指定すると、マウント・ポイントの下のすべてのファイルが暗号化されます。
path
オプションは、読取り-書込みスナップショット内のファイルまたはディレクトリへのパスを指定できます。rootディレクトリ上で-r
オプションがコマンドで指定されている場合、コマンドは.ACFS
ディレクトリ下でスナップショットを横断しません。暗号化操作がファイルシステムのレベルで指定されている場合、その操作では、.ACFS/snaps/
ディレクトリ内のスナップショットのファイルとディレクトリを処理しません。
-r
オプションを指定してacfsutil
encr
on
を実行すると、指定されたディレクトリは再帰的に暗号化されますが、ファイルシステム・レベルでは暗号化は有効化されません。
rootまたはシステム管理者権限を持つユーザーのみがこのコマンドを実行して、ファイルシステムで暗号化を有効にできます。ファイルの所有者もこのコマンドを実行してディレクトリまたはファイルの暗号化を有効にできます。
例
次に、acfsutil
encr
on
の使用例を示します。
例16-79 acfsutil encr onコマンドの使用方法
# /sbin/acfsutil encr on -m /acfsmounts/acfs1 # /sbin/acfsutil encr on -m /acfsmounts/acfs1 -a AES -k 128 -r /acfsmounts/acfs1/myfiles
acfsutil encr rekey
目的
新しいキーを作成しボリュームまたはファイルを再暗号化します。
構文および説明
acfsutil encr rekey -h acfsutil encr rekey -m mount_point {-f [-r] path [path…] |-v } [-a {AES} -k {128|192 |256}]
acfsutil
encr
rekey
-h
は、ヘルプ・テキストを表示して終了します。
表16-84に、acfsutil
encr
rekey
コマンドで使用可能なオプションを示します。
表16-84 acfsutil encr rekeyコマンドのオプション
オプション | 説明 |
---|---|
|
このファイルシステムがマウントされるディレクトリを指定します。 |
|
指定したパスに対し新しいファイル暗号化キーを生成し、その新しいキーでデータを暗号化します。 -rを指定すると、
|
|
指定したマウント・ポイントに対し新しいボリューム暗号化キー(VEK)を生成し、その新しいキーでファイルシステムのすべてのファイル暗号化キーを暗号化します。新しいVEKを格納するのにウォレットにアクセスする必要があるため、ウォレット・パスワードが求められます。 生成されたキーは、前に |
|
アルゴリズムを指定します。Advanced Encryption Standard(AES)がこのリリースでサポートされる唯一の暗号化です。 |
|
|
このコマンドは、セキュリティ・レルム保護されたファイルでは実行できません。
-a
および-k
のデフォルト値はacfsutil
encr
set
が実行したときに指定したボリューム・パラメータにより決定されます。
path
オプションは、読取り-書込みスナップショット内のファイルまたはディレクトリへのパスを指定できます。rootディレクトリ上で-r
オプションがコマンドで指定されている場合、コマンドは.ACFS
ディレクトリ下でスナップショットを横断しません。キー更新操作がファイルシステムのレベルで指定されている場合、その操作では、.ACFS/snaps/
ディレクトリ内のスナップショットのファイルとディレクトリを処理しません。
Oracle Key Vaultがファイルシステムのキー・ストアである場合、-v
オプションを使用して新しいボリューム・キーを生成する際に、Oracle Key Vaultホーム環境変数(OKV_HOME
)を設定する必要があります。クライアントがOracle Key Vaultでパスワードを使用するように構成されている場合、求められたら同じパスワードを入力する必要があります。
関連項目:
Oracle Key Vaultの詳細は、『Oracle Key Vault管理者ガイド』を参照してください。
rootまたはシステム管理者権限を持つユーザーのみが-v
オプションを指定してこのコマンドを実行できます。ファイルの所有者も-f
オプションを指定してこのコマンドを実行して、ディレクトリまたはファイルの暗号化のキーを更新できます。
例
次に、acfsutil
encr
rekey
の使用例を示します。
例16-80 acfsutil encr rekeyコマンドの使用方法
# /sbin/acfsutil encr rekey -m /acfsmounts/acfs1 -v # /sbin/acfsutil encr rekey -m /acfsmounts/acfs1 -f -r /acfsmounts/acfs1/myfiles
acfsutil encr set
目的
Oracle ACFSファイルシステムの暗号化パラメータを設定または変更します。
構文および説明
acfsutil encr set -h
acfsutil encr set [ [-a {AES} -k {128|192|256}] [-e] | -u ] -m mount_point
acfsutil
encr
set
-h
は、ヘルプ・テキストを表示して終了します。
表16-85に、acfsutil
encr
set
コマンドで使用可能なオプションを示します。
表16-85 acfsutil encr setコマンドのオプション
オプション | 説明 |
---|---|
|
アルゴリズムを指定します。Advanced Encryption Standard( |
|
キー長を指定します。キー長はボリューム・レベルで設定されます。デフォルトは |
|
Oracle Key Vaultをキー・ストアとして使用するように指定します。 |
|
暗号化を取り消します。このコマンドは、ファイルシステムのすべての暗号化されたファイルを復号化し、 |
|
このファイルシステムがマウントされるディレクトリを指定します。 |
acfsutil
encr
set
コマンドを実行するには、先にacfsutil
encr
init
コマンドを実行する必要があります。
acfsutil
encr
set
コマンドはファイルシステム用の暗号化パラメータを構成し、ボリューム暗号化キーを透過的に生成し、acfsutil
encr
init
コマンドで構成済のキー・ストアに生成したキーを格納します。
監査がクラスタで初期化された場合、このコマンドによって、ファイルシステム上のOracle ACFS暗号化の監査ソースも有効化されます。この監査ソースを有効にしたときに実行されるアクションは、acfsutil
audit
enable
コマンドを直接実行したときに行われるアクションと同じです。詳細は、「acfsutil audit enable」を参照してください。
さらに、acfsutil
encr
set
はmount_point
/.Security
/encryption/logs/
ディレクトリを作成し、これには監査および診断データを収集するログ・ファイル(encr-
hostname
_fsid.log
)が含まれます。
キーの格納時のパスワードの要求は、暗号化キー・ストレージの構成方法によって異なります。-p
がacfsutil
encr
init
とともに指定された場合、このコマンドの実行にはパスワードが必要です。
-e
オプションを使用してOracle Key Vaultをキー・ストアとして指定する前に、まずOracle Key Vaultを構成する必要があります。Oracle Key Vaultをファイルシステムのキー・ストアとして選択する場合、-e
オプションを指定してコマンドを実行する際に、Oracle Key Vaultホーム環境変数(OKV_HOME
)を設定する必要があります。クライアントがOracle Key Vaultでパスワードを使用するように構成されている場合、求められたら同じパスワードを入力する必要があります。
関連項目:
Oracle Key Vaultの構成の詳細は、『Oracle Key Vault管理者ガイド』を参照してください。
スナップショットがファイルシステムに存在する場合、acfsutil
encr
set
–u
コマンドを使用できません。
rootまたはシステム管理者権限を持つユーザーのみがacfsutil
encr
set
コマンドを実行できます。
例
次に、acfsutil
encr
set
コマンドの使用例を示します。
例16-81 acfsutil encr setコマンドの使用方法
# /sbin/acfsutil encr set -a AES -k 256 -m /acfsmounts/acfs1
acfsutil keystore migrate
目的
暗号化キーストアを移行します。
構文および説明
acfsutil keystore migrate -h acfsutil keystore migrate [-p ]
acfsutil
keystore migrate
-h
は、ヘルプ・テキストを表示して終了します。
表16-81に、acfsutil
keystore migrate
コマンドで使用可能なオプションを示します。
表16-86 acfsutil keystore migrateコマンドのオプション
オプション | 説明 |
---|---|
|
暗号化キーストアを、SSOウォレットからPKCSウォレットに変換します。 |
-p
オプションを指定した場合、acfsutil
keystore
migrate
は、SSOウォレットをPKCSウォレットに変換します。-p
オプションを指定しない場合、acfsutil
keystore
migrate
は、PKCSウォレットをSSOウォレットに変換します。
rootまたはシステム管理者権限を持つユーザーのみがこのコマンドを実行できます。
例
次に、acfsutil
keystore
migrate
コマンドの使用例を示します。
例16-82 acfsutil keystore migrateコマンドの使用方法
# /sbin/acfsutil keystore migrate