Language:
Format:

Red Hat Training

A Red Hat training course is available for RHEL 8

11.5. 独立したヘッダーがある LUKS2 を使用してブロックデバイスの既存データの暗号化

この手順では、LUKS ヘッダーを保存するための空き領域を作成せずに、ブロックデバイスの既存データを暗号化します。ヘッダーは、追加のセキュリティー層としても使用できる、独立した場所に保存されます。この手順では、LUKS2 暗号化形式を使用します。

前提条件

ブロックデバイスにファイルシステムが含まれている。
データのバックアップを作成している。
警告
ハードウェア、カーネル、または人的ミスにより、暗号化プロセス時にデータが失われる場合があります。データの暗号化を開始する前に、信頼性の高いバックアップを作成してください。

手順

プールにあるファイルシステムのマウントをすべて解除します。以下に例を示します。
```
# umount /dev/sdb1
```
暗号化を初期化します。
```
# cryptsetup reencrypt \
             --encrypt \
             --init-only \
             --header /path/to/header \
             /dev/sdb1 sdb1_encrypted
```
/path/to/header を、独立した LUKS ヘッダーのあるファイルへのパスに置き換えます。暗号化したデバイスを後でアンロックできるように、接続解除した LUKS ヘッダーにアクセスできる必要があります。
このコマンドを実行するとパスフレーズの入力が求められ、暗号化プロセスが開始します。

デバイスをマウントします。

# mount /dev/mapper/sdb1_encrypted /mnt/sdb1_encrypted

オンライン暗号化を開始します。

# cryptsetup reencrypt --resume-only --header /path/to/header /dev/sdb1

関連情報

cryptsetup(8) の man ページ