19.2. volume_key を 1 ユーザーとして使用する

volume_key を 1 ユーザーとして使用して暗号キーを保存することができます。以下の手順を実行します。

注記

このファイル内の全サンプルで /path/to/volume は LUKS デバイスになり、その中に含まれるプレーンテキストデバイスにはなりません。blkid -s type /path/to/volume を使用すると type="crypto_LUKS" が表示されるはずです。

手順19.1 volume_key をスタンドアロンで使用する

  1. 次を実行します。
    volume_key --save /path/to/volume -o escrow-packet
    キーを保護するためのエスクローパケットのパスフレーズの入力を求めるプロンプトが表示されます。
  2. 生成された escrow-packet ファイルを保存し、 パスフレーズを忘れないようにしてください。
ボリュームのパスフレーズを忘れてしまった場合は、保存したエスクローパケットを使ってデータへのアクセスを復元します。

手順19.2 エスクローパケットでデータへのアクセスを取り戻す

  1. volume_key を実行することができ、エスクローパケットが使用できる環境でシステムを起動します (レスキューモードなど)。
  2. 次を実行します。
    volume_key --restore /path/to/volume escrow-packet
    エスクローパケットの作成時に使用したエスクローパケットのパスフレーズの入力を求めるプロンプト、次にボリュームの新しいパスフレーズの入力を求めるプロンプトが表示されます。
  3. 選択したパスフレーズを使ってこのボリュームをマウントします。
暗号化したボリュームの LUKS ヘッダー内にあるパスフレーズスロットを解放するには、忘れてしまった古いパスフレーズを cryptsetup luksKillSlot コマンドを使って削除します。