FC2ブログ

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

暗号化ファイルシステム

3日連続。
ネットワークスペシャリスト申し込みましたはい。
去年は午後Ⅰで59点とかごみみたいな点数取っておちたのでリベンジ。
午後Ⅱは最近噂のOpenFlowが出て混乱したので今回はちゃんと勉強していきます。
IPAの試験とかだとああいった問題は珍しいんですけどね。


はい今日もLPIC303の試験範囲のメモ書き
暗号化ファイルシステム

ファイルを1個1個暗号化することもできるけどめんどい
ファイルシステム丸ごと暗号化すればええやんというお話

暗号化の方法はいくつかあって

1.ループバックデバイスを使用
この業界だとよくループバックという言葉が出てきますな。
この場合マウントしたファイルシステム上の任意ファイルをマウントするという意味でループバックになります。

dd if=/dev/zero of=disk bs=1M count=1

こんな感じで作ったファイルを

mkfs.ext3 disk

フォーマットして

mount -o loop -t ext3 disk /mnt

マウントする。ねっ簡単でしょ?

暗号化する場合は
losetup -f
とかやればデバイスファイルとなって以降LUKSでやる時とおんなじ感じにできる。

ただ上記は主要な知識範囲に入ってなかったのででない可能性大

もう一つの方法が結構でそう

dm-crypt・・・ Device-mapper を利用してファイルシステムを暗号化する仕組み
cryptsetupコマンドで設定やらなにやらやります

cryptsetup create -y 名前 デバイスファイル
マップする名前と暗号化したいデバイスファイルを指定して上記コマンドを打つとパスフレーズを聞かれる
-yをつけることで再入力が求められるようになる

すると/dev/mapper/以下にファイルができる。あとはフォーマットしてマウントするだけ。
2回目以降はcreateしてからマウントする。
以降createするときに設定したパスがきかれる

取り除く時はアンマウントするだけでなく cryptsetup removeコマンドでマッピングを解除しなければならない。
さもないと幽霊ファイルとして残り続ける

暗号化モードも出そうなので
cryptsetup statusコマンドで現在の暗号化モードを確認できる。
chipherの項目は3つのブロックに分かれており
暗号化アルゴリズム
暗号化モード・・・複数のブロックを暗号化するときの方式
CBC,ESSIV,LRW、XTSとなる。ここら辺は覚えといた方がよさそう。詳細は後ほど追記

初期ベクトルとなる。


ちなみにパスを間違えると、変な形になるのでremoveしてやり直す。
間違っているときに気が付けないのが不便ということで
標準的な仕様として用意されているのがLUKS

cryptsetupコマンドを使うことに変わりはなくサブコマンドが用意されている。
cryptsetup luksFormat デバイスファイル ・・・暗号デバイスの初期化。この時にパスを設定。
cryptsetup luksOpen デバイスファイル 名前 ・・・パーティションを開く。この時にパスを聞かれる

ここで例の如く
/dev/mapper/以下にファイルができる

後はの流れは今までと同じ。
アンマウントした後は紐付けを解除するために
cryptsetup luksClose 名前を実行

後特徴は複数のパスワードが設定できること
cryptsetup luksAddKey デバイスファイル
これで既存のパスを聞かれ成功すれば新たなパスを追加できる。

スロット番号で管理され初期パスワードは0.残り6個の計7個のパスが設定できる。
複数パスがあれば初期パスワードも消すことができる

cryptsetup luksKillSlot デバイスファイル スロット番号

このほかの重要事項としては
cryptmountがあげられていた。軽く読んでみたがいまいち利点が不明
おそらくディレクトリ内に暗号化の領域を作って好きな時にマウントしたりできるといったところか

cryptmount-setupで初期設定を行い
cryptmountコマンドでマウントとかする感じ

意外と長くなったけどこれにて暗号化は終了。
次回からはアクセス制御に関して
スポンサーサイト

コメントの投稿

非公開コメント

最新記事
カウンター
月別アーカイブ
カテゴリ
リンク
RSSリンクの表示
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。