どのユーザも、第三者がアクセスできないようにするべき機密データを持っています。 モバイルコンピューティングや異なる環境およびネットワーク上での作業が増えるにつれ、データ処理への注意がより一層必要となります。システムに他者がネットワーク経由または物理的にアクセスできる場合は、ファイルまたはパーティション全体の暗号化を推奨します。ラップトップ、または外部ハードディスクやUSBスティックなどのリムーバブルメディアは、紛失したり、盗まれたりしやすいものです。このため、ファイルの機密データが含まれる部分を暗号化することを推奨します。
暗号化によりデータを保護するには、さまざまな方法があります。
- ハードディスクパーティションの暗号化
インストール中に、またはインストールが終了したシステムに、YaSTを使って暗号化パーティションを作成することができます。 詳細については、47.1.1項 「インストール時の暗号化パーティションの作成」と47.1.2項 「稼動中のシステムでの暗号化パーティションの作成」を参照してください。このオプションは、外部ハードディスクなどのリムーバブルメディアに対して使用することもできます。詳細は、47.1.4項 「リムーバブルメディアの内容の暗号化」を参照してください。
- 暗号化ファイルをコンテナとして作成
YaSTを使用して、ハードディスクまたはリムーバブルメディアにいつでも暗号化ファイルを作成できます。作成した暗号化ファイルは、他のファイルやフォルダを格納する目的で利用できます。 詳細については、47.1.3項 「暗号化ファイルをコンテナとして作成する」を参照してください。
- ホームディレクトリの暗号化
SUSE Linux Enterpriseを使って、ユーザ用の暗号化ホームディレクトリを作成することもできます。ユーザがシステムにログインすると、暗号化 ホームディレクトリがマウントされ、その内容を利用できるようになります。詳細については、47.2項 「暗号化ホームディレクトリの使用」を参照してください。
- 単一ASCIIテキストファイルの暗号化
重要なデータや機密データを含むASCIIテキストファイルがわずかしかない場合は、それらのファイルを個別に暗号化したり、viエディタを使ってパスワードで保護することができます。 詳細については、47.3項 「viを使用した単一ASCIIテキストファイルの暗号化」を参照してください。
![[Warning]](admon/warning.png) | メディアの暗号化による保護には限界がある |
|---|---|
この章で説明する方法では、限定的な保護のみ行います。実行しているシステムを侵害から保護することはできません。暗号化されたメディアが正常にマウントされると、適切なパーミッションを持つ人なら誰でもそれにアクセスできます。ただし、メディアの暗号化は、コンピュータの紛失や盗難に備える場合や、権限のないユーザによる機密データの参照を防止するような場合に役立ちます。 | |
インストール中、またはすでにインストールされているシステムのパーティション、またはファイルシステムの一部を暗号化するには、YaSTを使用します。 ただし、すでにインストールされているシステムのパーティションを暗号化するには、既存のパーティションのサイズ変更や区切り直しなどの複雑な作業が必要となります。 このような場合は、一定サイズの暗号化ファイルを作成し、そのファイルに他のファイルやファイルシステムの一部を保管する方が簡単なこともあります。 パーティション全体を暗号化するには、パーティションレイアウト内に暗号化用の専用パーティションが必要になります。 ただし、YaSTによって提示されるデフォルトの標準パーティション設定には、暗号化パーティションは含まれていません。 暗号化パーティションは、パーティション設定用のダイアログで手動で設定します。
| パスワード入力 |
|---|---|
暗号化パーティションのパスワードを記録しておいてください。パスワードがなければ、暗号化データにアクセスしたり復元したりできません。 | |
YaSTの[Expert Patitioner]ダイアログ(を参照)には、暗号化パーティションの作成に必要なオプションが用意されています。 新しい暗号化パーティションを作成するには、以下の手順に従います。
+でYaSTコントロールセンターからYaSTパーティショナを実行します。
をクリックして、プライマリまたは論理パーティションを選択します。
目的のファイルシステム、サイズ、このパーティションのマウントポイントを選択します。
必要な場合にのみ暗号化ファイルシステムをマウントするには、ダイアログのをオンにします。
チェックボックスを選択します。
をクリックします。このパーティションの暗号化に使用するパスワードの入力を求められます。このパスワードは表示されません。入力ミスを防止するため、パスワードを2回入力します。
をクリックして、処理を完了します。新しい暗号化パーティションが作成されます。
を選択しない場合は、オペレーティングシステムの起動時に、パーティションをマウントする前にパスワードの入力を要求されます。パーティションは、いったんマウントされるとすべてのユーザが使用できるようになります。
起動時に暗号化パーティションのマウントをスキップするには、パスワードの要求時にEnterキーを押します。 その後、再度パスワードの入力が求められたらそれを拒否します。 この場合、暗号化されたファイルシステムはマウントされません。オペレーティングシステムはブートを続けますが、データへのアクセスは遮断します。
ブート時にマウントしない暗号化パーティションにアクセスするには、mount と入力して該当するパーティションをマウントします。要求された場合はパスワードを入力します。そのパーティションでの作業を終えたら、umount name_of_partition mount_pointname_of_partition
すでに複数のパーティションが作成されているコンピュータにシステムをインストールする場合、インストール時に既存のパーティションを暗号化することもできます。 詳細については、47.1.2項 「稼動中のシステムでの暗号化パーティションの作成」を参照してください。また、この操作を行うと、暗号化する既存のパーティション中のすべてのデータが破棄されてしまうことに注意してください。
| 稼動中のシステムでの暗号化のアクティブ化 |
|---|---|
稼動中のシステムに暗号化パーティションを作成することもできます。 ただし、既存のパーティションを暗号化すると、パーティション中のすべてのデータが破壊されてしまい、既存のパーティションのサイズ変更と再構築が必要となります。 | |
稼動しているシステムのYaSTコントロールセンターで、+の順に選択します。 []をクリックして続行します。 で、暗号化するパーティションを選択して、をクリックします。 以降の手順は47.1.1項 「インストール時の暗号化パーティションの作成」と同じです。
パーティションを使うかわりに、一定サイズの暗号化ファイルを作成して、そのファイルに機密データを含んだ他のファイルやフォルダを保管することができます。 このようなコンテナファイルは、YaST エキスパートパーティショナダイアログで作成します。を選択して、ファイルのフルパスとファイルのサイズを入力します。フォーマット設定およびファイルシステム種別については、提示される設定をそのまま使用するか、または変更します。マウントポイントを指定して、システムブート時に暗号化ファイルシステムをマウントするかどうかを指定します。
暗号化コンテナファイルが暗号化パーティションよりも優れている点は、ハードディスクのパーティション設定を再度行わなくても追加できるという点です。 暗号化ファイルは、ループデバイスを活用してマウントされ、通常のパーティションのように動作します。
YaSTは、外部ハードディスクのようなリムーバブルメディアまたはUSBフラッシュドライブを他のハードディスクと同様に扱います。 これらのメディアのコンテナファイルやパーティションは、前述の方法で暗号化できます。 ただし、通常リムーバブルメディアはシステム動作中にのみ接続されるため、ダイアログでを有効にしてください。
リムーバブルデバイスをYaSTで暗号化した場合、KDEおよびGNOMEデスクトップは暗号化パーティションを自動的に認識し、デバイスが認識されたときにパスワードを要求します。KDEまたはGNOMEを実行中にFATでフォーマットしたリムーバブルデバイスを接続した場合、パスワードを入力したデスクトップユーザが自動的にデバイスの所有者になり、ファイルを読み書きできます。FAT以外のファイルシステムを使用するデバイスの場合、root以外のユーザがそのデバイス上のファイルを読み書きするには、明示的に所有権を変更する必要があります。