19.2. volume_key を個別ユーザーとして使用する手順
個々のユーザーとして、以下の手順に従って、volume_key を使用して暗号化キーを保存できます。
注記
このファイルのすべての例では、
/path/to/volume は LUKS デバイスであり、内に含まれる平文デバイスではありません。blkid -s type /path/to/volume should report type="crypto_LUKS".
手順19.1 volume_key スタンドアロンの使用
- 以下を実行します。
volume_key --save次に、キーを保護するために、パケットパスフレーズの入力を求めるプロンプトが表示されます。/path/to/volume-o escrow-packet - generatedescrow
-packetファイルを保存して、パスフレーズが記憶されないようにします。
ボリュームのパスフレーズが記憶されたら、保存された escrow パケットを使用してデータへのアクセスを復元します。
手順19.2 エスクローパケットを使用したデータへのアクセスの復元
- volume_key を実行できる環境でシステムを起動し、エスクローパケットが利用できる(例: レスキューモード)
- 以下を実行します。
volume_key --restoreエスクローパケットの作成時に使用された escrow パケットパスフレーズ、およびボリュームの新しいパスフレーズ用にプロンプトが表示されます。/path/to/volumeescrow-packet - 選択したパスフレーズを使用してボリュームをマウントします。
暗号化されたボリュームの LUKS ヘッダーでパスフレーズスロットを解放するには、cryptsetup luksKillSlot を使用して、以前のパスフレーズを削除します。
