ホーム
製品
Red Hat Enterprise Linux
8
ストレージデバイスの管理
21.5. 独立したヘッダーがある LUKS2 を使用してブロックデバイスの既存データの暗号化

21.5. 独立したヘッダーがある LUKS2 を使用してブロックデバイスの既存データの暗号化

LUKS ヘッダーを保存するための空き領域を作成せずに、ブロックデバイスの既存のデータを暗号化できます。ヘッダーは、追加のセキュリティー層としても使用できる、独立した場所に保存されます。この手順では、LUKS2 暗号化形式を使用します。

前提条件

ブロックデバイスにファイルシステムがある。
データがバックアップ済みである。
警告
ハードウェア、カーネル、または人的ミスにより、暗号化プロセス時にデータが失われる場合があります。データの暗号化を開始する前に、信頼性の高いバックアップを作成してください。

手順

以下のように、そのデバイスのファイルシステムをすべてアンマウントします。
```
umount /dev/<nvme0n1p1>
```
```
# umount /dev/<nvme0n1p1>
```
Copy to Clipboard Toggle word wrap
<nvme0n1p1> は、アンマウントするパーティションに対応するデバイス識別子に置き換えます。
暗号化を初期化します。
```
cryptsetup reencrypt --encrypt --init-only --header </home/header> /dev/<nvme0n1p1> <nvme_encrypted>
```
```
# cryptsetup reencrypt --encrypt --init-only --header </home/header> /dev/<nvme0n1p1> <nvme_encrypted>

WARNING!
========
Header file does not exist, do you want to create it?

Are you sure? (Type 'yes' in capital letters): YES
Enter passphrase for </home/header>:
Verify passphrase:
/dev/mapper/<nvme_encrypted> is now active and ready for online encryption.
```
Copy to Clipboard Toggle word wrap
以下のように置き換えます。
- </home/header> には、独立した LUKS ヘッダーを含むファイルへのパスを指定します。後で暗号化したデバイスのロックを解除するために、独立した LUKS ヘッダーにアクセスできる必要があります。
- <nvme_encrypted> は、暗号化後に作成されるデバイスマッパーの名前に置き換えます。

デバイスをマウントします。

mount /dev/mapper/<nvme_encrypted> /mnt/<nvme_encrypted>

# mount /dev/mapper/<nvme_encrypted> /mnt/<nvme_encrypted>

Copy to Clipboard

Toggle word wrap

永続的なマッピングのエントリーを /etc/crypttab ファイルに追加します。
```
<nvme_encrypted> /dev/disk/by-id/<nvme-partition-id> none header=</home/header>
```
```
# <nvme_encrypted> /dev/disk/by-id/<nvme-partition-id> none header=</home/header>
```
Copy to Clipboard Toggle word wrap
<nvme-partition-id> は、NVMe パーティションの識別子に置き換えます。
dracut を使用して initramfs を再生成します。
```
dracut -f --regenerate-all -v
```
```
# dracut -f --regenerate-all -v
```
Copy to Clipboard Toggle word wrap
/etc/fstab ファイルに永続的なマウントのエントリーを追加します。
1. アクティブな LUKS ブロックデバイスのファイルシステムの UUID を見つけます。
  $ blkid -p /dev/mapper/<nvme_encrypted> /dev/mapper/<nvme_encrypted>: UUID="37bc2492-d8fa-4969-9d9b-bb64d3685aa9" BLOCK_SIZE="4096" TYPE="xfs" USAGE="filesystem"
  Copy to Clipboard Toggle word wrap
2. テキストエディターで /etc/fstab を開き、このファイルにデバイスを追加します。次に例を示します。
  UUID=<file_system_UUID> /home auto rw,user,auto 0
  Copy to Clipboard Toggle word wrap
  <file_system_UUID> は、前の手順で見つかったファイルシステムの UUID に置き換えます。

オンライン暗号化を再開します。

cryptsetup reencrypt --resume-only --header </home/header> /dev/<nvme0n1p1>

# cryptsetup reencrypt --resume-only --header </home/header> /dev/<nvme0n1p1>

Enter passphrase for /dev/<nvme0n1p1>:
Auto-detected active dm device '<nvme_encrypted>' for data device /dev/<nvme0n1p1>.
Finished, time 00m51s,   10 GiB written, speed 198.2 MiB/s

Copy to Clipboard

Toggle word wrap

検証

独立したヘッダーがある LUKS2 を使用するブロックデバイスの既存のデータが暗号化されているかどうかを確認します。

cryptsetup luksDump </home/header>

# cryptsetup luksDump </home/header>

LUKS header information
Version:       	2
Epoch:         	88
Metadata area: 	16384 [bytes]
Keyslots area: 	16744448 [bytes]
UUID:          	c4f5d274-f4c0-41e3-ac36-22a917ab0386
Label:         	(no label)
Subsystem:     	(no subsystem)
Flags:       	(no flags)

Data segments:
  0: crypt
	offset: 0 [bytes]
	length: (whole device)
	cipher: aes-xts-plain64
	sector: 512 [bytes]
[...]

Copy to Clipboard

Toggle word wrap

暗号化された空のブロックデバイスのステータスを表示します。

cryptsetup status <nvme_encrypted>

# cryptsetup status <nvme_encrypted>

/dev/mapper/<nvme_encrypted> is active and is in use.
  type:    LUKS2
  cipher:  aes-xts-plain64
  keysize: 512 bits
  key location: keyring
  device:  /dev/<nvme0n1p1>

Copy to Clipboard

Toggle word wrap

トップに戻る

21.5. 独立したヘッダーがある LUKS2 を使用してブロックデバイスの既存データの暗号化

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links