Red Hat Enterprise Linuxのストレージ暗号化 – LUKSとその設定法

Red Hat Enterprise Linuxのストレージ暗号化 – LUKSとその設定法

Red Hat Enterprise Linux (RHEL) でのストレージ暗号化は、データのセキュリティを強化するために非常に重要です。この記事ではLUKS(Linux Unified Key Setup)を使用してストレージを暗号化する方法を詳しく説明します。

LUKSの基本概要

LUKSは、ディスク暗号化用の標準仕様であり、個々のパーティションの暗号化をサポートする機能を提供します。これにより、データの整合性とセキュリティが強化されます。

cryptsetupパッケージのインストール

LUKSによる暗号化を行うためのcryptsetupユーティリティをインストールします。

sudo yum install cryptsetup

ディスクの初期化

新しいパーティションを作成し、暗号化の準備をします。

sudo fdisk /dev/sdX

# カンマンドラインで n を押して新しいパーティションを作成し、w を押して書き込みます

LUKSでのディスク暗号化

LUKSを使用してパーティションを暗号化し、パスフレーズの設定を行います。

sudo cryptsetup luksFormat /dev/sdX1

暗号化されたディスクを開く

暗号化されたディスクをシステムで使用できるように開きます。

sudo cryptsetup luksOpen /dev/sdX1 my_secure_disk

ファイルシステムの作成

暗号化したパーティションにファイルシステムを作成し、データ保存に備えます。

sudo mkfs.ext4 /dev/mapper/my_secure_disk

ディスクのマウント

暗号化ディスクを指定のマウントポイントにマウントし、利用を可能にします。

sudo mount /dev/mapper/my_secure_disk /mnt/secure

暗号化ボリュームのアンマウント

使用終わりに、暗号化デバイスを安全に閉じてアンマウントします。

sudo umount /mnt/secure
sudo cryptsetup luksClose my_secure_disk

起動時の自動マウント設定

システムが起動する際に自動的にLUKSボリュームをマウントするよう設定します。

sudo vi /etc/crypttab
# my_secure_disk /dev/sdX1 none luks

sudo vi /etc/fstab
# /dev/mapper/my_secure_disk /mnt/secure ext4 defaults 0 2

LUKSのパスフレーズ管理

セキュリティ上の理由から、LUKSのパスフレーズは定期的に更新することが重要です。

sudo cryptsetup luksAddKey /dev/sdX1
sudo cryptsetup luksRemoveKey /dev/sdX1

マルチキーの追加

LUKSは複数のパスフレーズが管理可能で、特定のアクセス要件に応じて異なるキーを設定することができます。

データバックアップとリカバリ計画

LUKSボリュームのデータを安全にバックアップし、大規模障害時のリカバリ計画を策定します。

これらのステップを利用することで、RHEL上でLUKSを使用したストレージ暗号化の実装が可能になり、データの安全性を確保できます。