Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

20.3.3. ボリュームへのアクセスの復元

暗号化キーの保存後( 「暗号化キーをセービングするための準備」 および 「暗号化鍵の保存」)は、必要に応じてドライバーへのアクセスを復元できます。

手順20.5 ボリュームへのアクセスの復元

  1. パケットストレージからボリュームのエスクローパケットを取得し、これを復号化用に指定されたユーザーの 1 つに送信します。
  2. 指定されたユーザーは以下を実行します。 
    volume_key --reencrypt -d /the/nss/directory escrow-packet-in -o escrow-packet-out
    NSS データベースのパスワードを指定したら、指定したユーザーは、暗号化用のパスフレーズを選択して、escrow -packet-out です。このパスフレーズは毎回異なる可能性があり、指定したユーザーからターゲットシステムに移動された間、暗号鍵を保護することができます。
  3. 指定したユーザーから、escrow-packet-out ファイルとパスフレーズを取得します。
  4. volume_key を実行し、レスキューモードなどでescrow -packet-out ファイルを利用できる環境でターゲットシステムを起動します。
  5. 以下を実行します。 
    volume_key --restore /path/to/volume escrow-packet-out
    指定されたユーザーが選択したパケットパスフレーズ、およびボリュームの新しいパスフレーズを求めるプロンプトが表示されます。
  6. 選択したボリュームパスフレーズを使用してボリュームをマウントします。
cryptsetup luksKillSlot を使用して記憶されている古いパスフレーズを削除することも可能です。たとえば、暗号化されたボリュームの LUKS ヘッダーでパスフレーズスロットを解放することができます。これは、コマンド cryptsetup luksKillSlot デバイス key-slot コマンドで行います。詳細および例については、cryptsetup --help を参照してください。