Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

20.3. 大規模な組織でのvolume_key の使用

大規模な組織では、すべてのシステム管理者が知っている単一のパスワードを使用し、システムごとに個別のパスワードを追跡することは非現実的であり、セキュリティー上のリスクがあります。これに対抗するために、volume_key は非対称暗号化を使用して、任意のコンピューター上の暗号化されたデータにアクセスするために必要なパスワードを知っている人の数を最小限に抑えることができます。
このセクションでは、暗号化キーを保存する前の準備、暗号化キーの保存方法、ボリュームへのアクセスの復元、および緊急パスフレーズの設定に必要な手順について説明します。

20.3.1. 暗号化キーを保存するための準備

暗号化キーの保存を開始するには、いくつかの準備が必要です。

手順20.3 準備

  1. X509 証明書/プライベートペアを作成します。
  2. 信頼できるユーザーを指定します。このユーザーは、秘密鍵を危険にさらさないという点で信頼されています。このようなユーザーは、escrow パケットを復号化できます。
  3. escrow パケットの復号に使用するシステムを選択します。このようなシステムでは、秘密鍵を含む NSS データベースを設定します。
    秘密鍵が NSS データベースで作成されていない場合は、以下の手順を行います。
    • 証明書および秘密鍵を PKCS#12 ファイルに保存します。
    • 以下を実行します。
      certutil -d /the/nss/directory -N
      この時点で、NSS データベースのパスワードを選択できます。各 NSS データベースには異なるパスワードを設定できるため、各ユーザーが個別の NSS データベースを使用する場合に、指定したユーザーは単一のパスワードを共有する必要はありません。
    • 以下を実行します。
      pk12util -d /the/nss/directory -i the-pkcs12-file
  4. システムをインストールしている人、または既存システムに鍵を保存している人に証明書を配布します。
  5. 保存した秘密鍵については、マシンおよびボリュームから検索できるように、ストレージを準備します。たとえば、マシンごとに 1 つのサブディレクトリーを持つ単純なディレクトリーや、その他のシステム管理タスクに使用されるデータベースなどです。