ex1-lab

Linux, CentOS, Mac OS X, Windows, 仮想化, Apache等のLinux中心に気になることをメモがわりに・・・

320.3 暗号化ファイルシステム

      2017/02/03 この記事は約5分で読むことができます。

320.3 暗号化ファイルシステム

重要度 3
説明 暗号化ファイルシステムのセットアップと設定ができること。

主要な知識範囲

  • LUKSの知識
  • dm-cryptコマンドおよびCBC、ESSIV、LRW、XTSの各モードを知っている

重要なファイル、用語、ユーティリティ

  • dm-crypt
  • cryptmount
  • cryptsetup

cryptsetup

cryptsetupでは、ファイルシステムの暗号化できるコマンドです

書式

create [名前] [暗号化対象デバイス] 対象デバイスを暗号化。
暗号化したデバイスにアクセスをするには、/dev/mapper/[名前]を指定。
他のオプション利用時は、ここで指定した名前を指定
reload [名前] 指定した名前の暗号化マッピングを再読み込み
remove [名前] 指定した名前の暗号化マッピングを解除
resize [名前] 指定した名前の暗号化マッピングのりサイズ
status [名前] 暗号化した暗号化マッピングの状態を表示

LUKS

LUKS(Linux Unified Key Setup. ラックス)とは、Linuxの暗号化ファイルシステムの標準規格。
LUKS暗号化デバイスを管理するには、cryptsetupコマンドのあとにLUKSのサブコマンドを指定します

LUKSの主なサブコマンド

luksAddkey [デバイスファイル名] [キーファイル名] 指定したデバイスファイルシステムにキーを追加
luksClose [名前] 暗号化パーティッションを閉じる
luksDelKey [デバイスファイル名] [キーファイル名] 作成したキーを削除。
キースロット番号は0〜7(登録した順番に0から採番)から指定
luksKillSlot [デバイスファイル名] [キーファイル名] 作成したキーを削除。
キースロット番号は0〜7(登録した順番に0から採番)から指定
luksFormat [デバイスファイル名] 指定したデバイスファイルシステムに暗号化パーティッションを作成
luksOpen [デバイスファイル名] [名前] 作成済みの暗号化パーティッションを開く。
暗号化パーティッションが開かれると、/dev/mapperフォルダ配下にマッピングされる

cryptmount

cryptmountシステム上で暗号されたファイルシステムのマウント、アンマウント、設定をおこなうコマンド

書式
cryptmount [オプション]
[]は省略可能

オプション

-c [ターゲット ...] または
--change-password [ターゲット ...]
複合キーの解除パスワードを変更
-l [ターゲット ...] または
--list [ターゲット ...]
このコマンドで指定できる全てのターゲットの基本情報を表示
-m [ターゲット ...] または
--mount [ターゲット ...]
指定されたターゲットのマウントする
-s [ターゲット ...] または
--swapon [ターゲット ...]
指定されたターゲットのスワップを有効に設定
-u [ターゲット ...] または
--umount [ターゲット ...]
指定されたターゲットのアンマウントする
-x [ターゲット ...] または
--swapoff [ターゲット ...]
指定されたターゲットのスワップを無効に設定

/etc/crypttab
暗号化ボリュームを自動でマウントする場合は、/etc/crypttab に設定を書きます。
OS起動時にOS起動時にLUKSへの接続ができます

cryptmount-setup
cryptmount-setupは、Cryptmountを試す一番対話式スクリプトです。暗号化されたファイルシステムを1つのファイルとして簡単に手早く作成できる。

dm-crypt

dm-cryptは、Linuxカーネルに組み込まれているDevice-mapper を利用してファイルシステムを暗号化する仕組みです。
頭についているdmは「Device Mapper」の略です。ブロックデバイスを暗号化する仕組みですので、ディスクの暗号化を行う場合、対象となるディスクにパーティションを作成し、そのパーティションを丸ごと暗号化します。ですから、その上位にあるファイルシステムはどのような種類のファイルシステムでも使用可能です。

dm-crypt 暗号化モード

CBC ブロック暗号の利用モードの1種。Cipher Block Chainingの略。
ESSIV Encrypted Salt-Sector Initialization Vectorの略
LRW Liskov、Rivest、Wagnerの頭文字を取った暗号化方式
XTS XEX(Xor Encrypt Xor)-TCB(Tweaked CodeBook)-CTS(Cipher Text Stealing)の略。LRWよりも高速で安全な暗号化方式。

 

 - LPIC 30x