Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

17.5. 独立したヘッダーがある LUKS2 を使用してブロックデバイスの既存データの暗号化

LUKS ヘッダーを保存するための空き領域を作成せずに、ブロックデバイスの既存のデータを暗号化できます。ヘッダーは、追加のセキュリティー層としても使用できる、独立した場所に保存されます。この手順では、LUKS2 暗号化形式を使用します。

前提条件

  • ブロックデバイスにファイルシステムがある。

  • データがバックアップ済みである。

    警告

    ハードウェア、カーネル、または人的ミスにより、暗号化プロセス時にデータが失われる場合があります。データの暗号化を開始する前に、信頼性の高いバックアップを作成してください。

手順

  1. 以下のように、そのデバイスのファイルシステムをすべてアンマウントします。 

    # umount /dev/<nvme0n1p1>

    <nvme0n1p1> は、アンマウントするパーティションに対応するデバイス識別子に置き換えます。

  2. 暗号化を初期化します。 

    # cryptsetup reencrypt --encrypt --init-only --header </home/header> /dev/<nvme0n1p1> <nvme_encrypted>

WARNING!
========
Header file does not exist, do you want to create it?

Are you sure? (Type 'yes' in capital letters): YES
Enter passphrase for </home/header>:
Verify passphrase:
/dev/mapper/<nvme_encrypted> is now active and ready for online encryption.

    以下のように置き換えます。

    • </home/header> には、独立した LUKS ヘッダーを含むファイルへのパスを指定します。後で暗号化したデバイスのロックを解除するために、独立した LUKS ヘッダーにアクセスできる必要があります。
    • <nvme_encrypted> は、暗号化後に作成されるデバイスマッパーの名前に置き換えます。

  3. デバイスをマウントします。 

    # mount /dev/mapper/<nvme_encrypted> /mnt/<nvme_encrypted>

  4. 永続的なマッピングのエントリーを /etc/crypttab ファイルに追加します。 

    # <nvme_encrypted> /dev/disk/by-id/<nvme-partition-id> none header=</home/header>

    <nvme-partition-id> は、NVMe パーティションの識別子に置き換えます。

  5. dracut を使用して initramfs を再生成します。 

    # dracut -f --regenerate-all -v

  6. /etc/fstab ファイルに永続的なマウントのエントリーを追加します。

    1. アクティブな LUKS ブロックデバイスのファイルシステムの UUID を見つけます。 

      $ blkid -p /dev/mapper/<nvme_encrypted>

/dev/mapper/<nvme_encrypted>: UUID="37bc2492-d8fa-4969-9d9b-bb64d3685aa9" BLOCK_SIZE="4096" TYPE="xfs" USAGE="filesystem"

    2. テキストエディターで /etc/fstab を開き、このファイルにデバイスを追加します。次に例を示します。 

      $ vi /etc/fstab

UUID=<file_system_UUID> /home auto rw,user,auto 0

      <file_system_UUID> は、ファイルシステムの UUID に置き換えます。

  7. オンライン暗号化を再開します。 

    # cryptsetup reencrypt --resume-only --header </home/header> /dev/<nvme0n1p1>

Enter passphrase for /dev/<nvme0n1p1>:
Auto-detected active dm device '<nvme_encrypted>' for data device /dev/<nvme0n1p1>.
Finished, time 00m51s,   10 GiB written, speed 198.2 MiB/s

検証

  1. 独立したヘッダーがある LUKS2 を使用するブロックデバイスの既存のデータが暗号化されているかどうかを確認します。 

    # cryptsetup luksDump </home/header>

LUKS header information
Version:       	2
Epoch:         	88
Metadata area: 	16384 [bytes]
Keyslots area: 	16744448 [bytes]
UUID:          	c4f5d274-f4c0-41e3-ac36-22a917ab0386
Label:         	(no label)
Subsystem:     	(no subsystem)
Flags:       	(no flags)

Data segments:
  0: crypt
	offset: 0 [bytes]
	length: (whole device)
	cipher: aes-xts-plain64
	sector: 512 [bytes]
[...]

  2. 暗号化された空のブロックデバイスのステータスを表示します。 

    # cryptsetup status <nvme_encrypted> --header </home/header>

/dev/mapper/<nvme_encrypted> is active and is in use.
  type: LUKS2
  cipher: aes-xts-plain64
  keysize: 512 bits
  key location: keyring
  device: /dev/<nvme0n1p1>
  sector size: 512
  offset: 0 sectors
  size: 10485760 sectors
  mode: read/write
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hatトップに戻る