Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第20章 volume_key 機能

volume_key 関数は、libvolume_key と volume_key の 2 つのツールを提供します。libvolume_key は、ストレージボリューム暗号化キーを操作し、ボリュームとは別に保存するためのライブラリーです。volume_key は、暗号化されたハードドライブへのアクセスを復元するために鍵とパスフレーズを抽出するために使用される、関連するコマンドラインツールです。
第一ユーザーがキーやパスワードを忘れてしまった、ユーザーが突然退職してしまった、ハードウェアまたはソフトウェアの障害で暗号化していたボリュームのヘッダーが破損したためデータを抽出する必要がある、などといった場合にこの機能は便利です。企業設定では、IT ヘルプデスクは、コンピューターをエンドユーザーに渡す前に volume_key を使用して暗号化キーをバックアップできます。
現在、volume_key は LUKS ボリュームの暗号化形式のみをサポートします。
注記
volume_key は、Red Hat Enterprise Linux 7 サーバーの標準インストールには含まれていません。インストール方法については、http://fedoraproject.org/wiki/Disk_encryption_key_escrow_use_cases を参照してください。

20.1. volume_key コマンド

volume_key の形式は次のとおりです。
volume_key [OPTION]... OPERAND
volume_key のオペランドおよび操作のモードは、以下のオプションのいずれかを指定して決定されます。
--save
このコマンドは、オペランドのボリューム [パケット] を想定しています。パケット が提供されている場合、volume_key はそこからキーとパスフレーズを抽出します。packet が指定されていない場合は、volume_keyボリューム から鍵とパスフレーズを抽出し、必要に応じてユーザーに要求します。この鍵およびパスフレーズは、1 つ以上の出力パケットに格納されます。
--restore
このコマンドは、オペランドのボリュームパケットを想定します。次に volume を開き、packet のキーとパスフレーズを使用して volume を再度アクセス可能にし、必要に応じてユーザー (たとえば、ユーザーが新しいパスフレーズの入力を許可するなど) を求めるプロンプトを出します。
--setup-volume
このコマンドは、オペランドのボリュームパケット名 を想定しています。次に volume を開き、packet のキーとパスフレーズを使用して、復号されたデータを name として使用するための volume を設定します。
Name は、dm-crypt ボリュームの名前です。この操作により、復号化されたボリュームは /dev/mapper/ として利用可能になります。
この動作は、たとえば、新しいパスフレーズを追加しても、ボリューム を永続的に変更することはありません。ユーザーは復号された volume にアクセスし、変更できます。
--reencrypt--secrets、および --dump
この 3 つのコマンドは、出力方法が異なりますが、同様の機能を実行します。それらは、それぞれがオペランド パケット を必要とし、それぞれが パケット を開き、必要に応じて復号化します。--reencrypt は、情報を 1 つ以上の新しい出力パケットに保存します。--secrets は、パケット に含まれるキーとパスフレーズを出力します。--dumpパケット の内容を出力しますが、鍵とパスフレーズはデフォルトでは出力されません。これは、--with-secrets をコマンドに追加することで変更できます。--unencrypted コマンドを使用して、暗号化されていない部分(存在する場合)のみをダンプすることもできます。パスフレーズや秘密鍵のアクセスは必要ありません。
各オプションは、以下のように追加できます。
-o--output packet
このコマンドは、デフォルトの鍵またはパスフレーズをパケットに書き込みます。デフォルトの鍵またはパスフレーズは、ボリューム形式によって異なります。有効期限が切れる可能性が低いものであることを確認し、--restore がボリュームへのアクセスを復元できるようにします。
--output-format format
このコマンドは、すべての出力パケットに指定された format 形式を使用します。現在、format は以下のいずれかになります。
  • 非対称: CMS を使用してパケット全体を暗号化し、証明書を必要とします。
  • asymmetric_wrap_secret_only: シークレットまたは鍵とパスフレーズのみをラップし、証明書を必要とします。
  • passphrase: GPG を使用してパケット全体を暗号化し、パスフレーズを必要とします。
--create-random-passphrase packet
このコマンドは、ランダムな英数字のパスフレーズを生成し、それを ボリューム に追加して (他のパスフレーズに影響を与えることなく)、このランダムなパスフレーズを パケット に格納します。