4.3 パーティションとファイルの暗号化

どのユーザも、第三者がアクセスできないようにするべき機密データを持っています。接続環境やモバイル環境が充実すればするほど、データの取り扱いに細心の注意を払わなければならなくなります。他の人がネットワーク接続によるアクセスや直接の物理的アクセスを行える場合には、ファイルまたはパーティション全体を暗号化することをお勧めします。

[Warning]メディアの暗号化による保護には限界がある

このセクションで説明している方法を使用しても、運用しているシステムを危険から保護できるわけではないことに注意してください。暗号化されたメディアが正常にマウントされると、適切なパーミッションを持つ人なら誰でもそれにアクセスできます。暗号化が意味を持つのは、コンピュータを紛失するか盗まれて、権限のない人物が機密のデータを読み出そうとする場合です。

以下に、想定される使用状況をいくつか挙げます。

ラップトップ

ラップトップを携えて出張する場合は、ハードディスク上の機密データを格納するパーティションを暗号化するとよいでしょう。データは暗号化ファイルシステムまたは1つの暗号化ファイル内にあるため、ラップトップの紛失や盗難の際にアクセスされる心配はありません。

リムーバブルメディア

USBフラッシュドライブや外付けハードディスクには、ラップトップと同様、盗難の危険があります。ファイルシステムを暗号化すれば、第三者によるアクセスから保護できます。

ワークステーション

自分のコンピュータにほとんど誰でもアクセスできるような会社では、パーティションや単一のファイルを暗号化することには意味があります。

4.3.1 YaSTによる暗号ファイルシステムのセットアップ

を使用して、インストール時に、またはインストール済みのシステムで、ファイルやパーティションを暗号化できます。暗号化ファイルは既存のパーティションレイアウトにうまく組み込めるので、いつでも作成できます。パーティション全体を暗号化するには、パーティションレイアウト内に暗号化用の専用パーティションが必要になります。ただし、によって提示されるデフォルトの標準パーティション設定には、暗号化パーティションは含まれていません。暗号化パーティションは、パーティション設定用のダイアログで手動で設定します。

4.3.1.1 インストール時の暗号化パーティションの作成

[Warning]パスワード入力

暗号化パーティションのパスワードを設定する際は、パスワードのセキュリティに関する警告をよく読み、パスワードをきちんと記憶してください。パスワードがないと、暗号化したデータのアクセスや復元を行えなくなります。

YaSTの[Expert Patitioner]ダイアログ(2.9.5項 「パーティション分割ツール」 (↑起動)を参照)には、暗号化パーティションの作成に必要なオプションが用意されています。通常のパーティションを作成するときと同様、[作成]をクリックします。表示されるダイアログで、フォーマット方式、マウントポイントなど、新しいパーティションのパーティションパラメータを指定します。[Encrypt File System]をクリックして暗号化パーティションを作成します。次のダイアログで、パスワードを2回入力します。パーティション作成ダイアログで[了解]をクリックすると、新しい暗号化パーティションが作成されます。ブート時に、オペレーティングシステムは、そのパーティションをマウントする前にパスワードを要求します。

起動時に暗号化パーティションをマウントしたくない場合は、パスワードの入力が求められたときにEnterキーを押します。その後、再度パスワードの入力が求められたらそれを拒否します。この場合、暗号化されたファイルシステムはマウントされません。オペレーティングシステムはブートを続けますが、データへのアクセスは遮断します。パーティションは、いったんマウントされるとすべてのユーザが使用できるようになります。

必要な場合にのみ暗号化ファイルシステムをマウントするには、[Fstabのオプション]ダイアログの[システムスタート時にマウントしない]をオンにします。そのパーティションは、システムのブート時にはマウントされなくなります。その後、そのパーティションを使用可能にするには、mount name_of_partition mount_pointを実行して手動でマウントします。要求されたときにはパスワードを入力してください。そのパーティションでの作業を終えたら、umount name_of_partitionを実行してアンマウントし、他のユーザからアクセスされないようにします。

4.3.1.2 稼動中のシステムでの暗号化パーティションの作成

[Warning]稼動中のシステムでの暗号化のアクティブ化

インストール時と同様に、稼動中のシステムに暗号化パーティションを作成することもできます。ただし、既存のパーティションを暗号化すると、そのパーティションの格納データはすべて失われます。

稼動しているシステムのYaSTコントロールセンターで、[システム]+[ディスクの分割]の順に選択します。[はい]をクリックして続行します。先ほどの[作成]ではなく、[編集]をクリックします。以降の手順は同じです。

4.3.1.3 暗号化ファイルのインストール

パーティションの使用の代わりに、単一のファイル内に機密データを保持する暗号化ファイルシステムを作成することもできます。暗号化ファイルシステムの作成にも同じYaSTダイアログを使用します。[暗号化ファイル]を選択し、作成するファイルのパスを予定サイズとともに入力します。フォーマット設定およびファイルシステム種別については、提示される設定をそのまま使用します。次に、マウントポイントを指定し、その暗号化ファイルシステムをブート時にマウントするかどうかを指定します。

暗号化ファイルの長所は、ハードディスクのパーティショニング操作を行わなくても追加できるという点です。暗号化ファイルは、ループデバイスを活用してマウントされ、通常のパーティションのように動作します。

4.3.1.4 viを使用したファイルの暗号化

暗号化パーティションの短所は、パーティションをマウントしている間、少なくともrootはデータにアクセスできるという点です。このことを防ぐため、viを暗号化モードで使用することができます。

vi -x filenameを使用して新しいファイルを編集します。viは、ファイルのコンテンツを暗号化し、パスワードの入力を求めます。このファイルにアクセスするたびに、viは正しいパスワードを要求します。

さらにセキュリティを向上させるため、暗号化されたファイルを暗号化されたパーティションに置くことができます。viによる暗号化はそれほど強力ではないので、このことが勧められます。

4.3.2 リムーバブルメディアの内容の暗号化

YaSTは、リムーバブルメディアを外部ハードディスクと同様に扱い、USBフラッシュドライブを他のハードディスクと同様に扱います。これらのメディアのファイルやパーティションは、前述の方法で暗号化することができます。しかし、これらのメディアをシステムのブート時にマウントするようには選択しないでください。これらは通常、システムの実行中にのみ接続するからです。