暗号化ボリュームの作成
cryptsetupユーティリティは、デバイスにLinux Unified Key Setup (LUKS)暗号化を設定し、認証を管理します。
LUKSは、プラットフォームに依存しない標準のディスク上の形式を実装する暗号化仕様です。 この標準により、異なるディストリビューションおよびプログラム間の相互運用性と互換性が確保されます。 実装には、暗号化されたディスクの管理を簡素化するツールも含まれています。 この機能を使用する場合は、ブート時にパスフレーズが必要です。 正しいパスフレーズは、暗号化キーのロックを解除してボリュームの復号化を有効にします。
LUKSの詳細は、https://gitlab.com/cryptsetup/cryptsetup/blob/master/README.mdファイルを参照してください。
LUKSを使用してボリュームを暗号化するには、次の手順に従います。
-
デバイスのLUKSパーティションを初期化し、初期キーを設定します。たとえば:
sudo cryptsetup luksFormat /dev/sdd
次の警告が表示されます。
WARNING! ======== This will overwrite data on /dev/sdd irrevocably. Are you sure? (Type 'yes' in capital letters): YES Enter LUKS passphrase: passphrase Verify passphrase: passphrase
-
デバイスをオープンし、次のようにデバイス・マッピングを作成します。
sudo cryptsetup luksOpen /dev/sdd cryptfs
パスフレーズの入力を要求されます:
Enter passphrase for /dev/sdd: passphrase暗号化されたボリュームは、
/dev/mapper/cryptfsでアクセスできます。 -
/etc/crypttabの暗号化ボリュームにエントリを作成します。たとえば:# <target name> <source device> <key file> <options> cryptfs /dev/sdd none luks
このエントリにより、OSはブート時にパスフレーズを要求します。
暗号化されたボリュームは、物理ストレージ・デバイスと同じ方法(LVM物理ボリューム、ファイル・システム、スワップ・パーティション、自動ストレージ管理(ASM)ディスク、RAWデバイスなど)で使用します。 たとえば、暗号化ボリュームを自動的にマウントするには、/etc/fstabにエントリを作成して、物理デバイス(/dev/sdd)ではなく、マップされたデバイス(/dev/mapper/cryptfs)をマウントします。
暗号化ボリュームのステータスを検証するには:
sudo cryptsetup status cryptfs
次のような出力結果が表示されます。
/dev/mapper/cryptfs is active. type: LUKS2 cipher: aes-xts-plain64 keysize: 512 bits key location: keyring device: /dev/sdd sector size: 4096 offset: 32768 sectors size: 104824832 sectors mode: read/write
デバイス・マッピングを削除するには:
-
暗号化ボリューム内の既存のファイル・システムをアンマウントします。
-
マップされたデバイスを
/dev/mapperから削除します。たとえば、暗号化ボリューム
cryptfsの場合は、次のコマンドを使用します。sudo cryptsetup luksClose /dev/mapper/cryptfs
詳細は、cryptsetup(8)およびcrypttab(5)の各マニュアル・ページを参照してください。