Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

20.3. 大規模組織での volume_key の使用

大型の組織では、各システム管理者が認識するパスワード 1 つを使用して、各システムに個別のパスワードを追跡することは難しいため、セキュリティーリスクが伴います。これをカウンターするために、volume_key は非対称暗号を使用して、どのコンピューターで暗号化されたデータへのアクセスに必要なパスワードを知っている人の数を最小限に抑えます。
本セクションでは、暗号化キーの保存、暗号鍵の保存、ボリュームへのアクセスの復元、緊急パスフレーズの設定に必要な手順について説明します。

20.3.1. 暗号化キーをセービングするための準備

暗号化キーの保存を開始するために、準備が必要になります。

手順20.3 準備

  1. X509 証明書/プライベートのペアを作成します。
  2. 秘密鍵を侵害しないように信頼できるユーザーを指定します。これらのユーザーは escrow パケットを復号化できます。
  3. escrow パケットの復号に使用するシステムを選択します。このシステムでは、秘密鍵が含まれる NSS データベースを設定します。
    秘密鍵が NSS データベースに作成されていない場合は、以下の手順に従います。
    • 証明書および秘密鍵を PKCS#12 ファイルに保存します。
    • 以下を実行します。
      certutil -d /the/nss/directory -N
      この時点で、NSS データベースパスワードを選択できます。各 NSS データベースは異なるパスワードを持つことができるため、指定したユーザーは各ユーザーが別の NSS データベースが使用される場合に、単一のパスワードを共有する必要はありません。
    • 以下を実行します。
      pk12util -d /the/nss/directory -i the-pkcs12-file
  4. システムのインストールや既存システムに鍵を保存したり、証明書を配布します。
  5. 保存された秘密鍵については、マシンおよびボリュームで検索できるストレージを準備します。たとえば、マシンごとに 1 つのサブディレクトリーを持つ簡単なディレクトリーや、他のシステム管理タスクに使用されるデータベースも指定できます。