パスフレーズ、キー、またはキーファイルを既存の LUKS デバイスに追加する方法
Environment
- Red Hat Enterprise Linux 7
- Red Hat Enterprise Linux 6
- Red Hat Enterprise Linux 5
- LUKS
Issue
- 暗号化 (LUKS) ドライブに複数のパスフレーズを設定する必要がある
- LUKS デバイスに追加のパスワードを追加する必要がある
- 既存の LUKS パーティションを設定して、キー ファイルでも開くことができるようにする必要がある
Resolution
新しい LUKS パーティションを最初から作成する手順については、パスフレーズの代わりにエクスポート可能なキーを使用してファイルシステム (LUKS) を暗号化する方法 も参照してください。
背景情報:
-
LUKS フォーマットの dm-crypt ボリューム には 8 つのキースロットがあります。
-
空のキー スロットを埋めるには、問題となっている暗号化されたデバイス (これ以降は
DEVと呼びます) のデバイスノードパスが必要です。
例:/dev/sda3、/dev/sdb、/dev/VG/LV、/dev/mapper/mpath1
この場合、blkidコマンドが有用で、これを使用して「crypto_LUKS」タイプのデバイスのみ検索できます。blkid -t TYPE=crypto_LUKS
RHEL 6 以降では、
lsblkコマンドもデバイス間の関係を可視化するのに非常に役立ちます。
1 行のテキストのみのパスフレーズを既存の LUKS ボリュームに対話的に追加:
-
cryptsetup luksAddKey DEVのコマンドで新しいパスフレーズを追加します。
例:[root ~]# cryptsetup luksAddKey /dev/sda3 既存のパスフレーズを入力: DEV を開くために使用できる既存のパスフレーズ キースロットの新しいパスフレーズを入力: DEV に追加する新しいパスフレーズ [root ~]#
既存の LUKS ボリュームへのキーファイルの追加:
-
ランダムなデータでか特定のデータかにかかわらず、キーファイルを準備します。
以下に例を示します。dd if=/dev/random bs=32 count=1 of=/root/random_data_keyfile1printf "対話的に使用できるシンプルなパスフレーズ" >/root/plaintext_passphrase_keyfile2
信頼できないあらゆる人による読み取りを阻止するために、必ずキーファイルを非表示にしてください。
-
次のコマンドを使用して、キーファイルを暗号化されたデバイスに追加します:
cryptsetup luksAddKey DEV /PATH/TO/KEYFILE
例:[root ~]# cryptsetup luksAddKey /dev/sda3 /root/random_data_keyfile1 任意のパスフレーズを入力: DEV を開くために使用できる既存のパスフレーズ [root ~]#
-
起動時に
DEVを自動ロック解除する必要がある場合は、/etc/crypttabを編集する必要があります。
詳細については、上記のソリューション「パラフレーズの代わりにエクスポート可能なキーを使用してファイルシステム (LUKS) を暗号化する方法」の このセクション を参照してください。
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments