47.1 YaSTを使った暗号化ファイルシステムの設定

インストール中、またはすでにインストールされているシステムのパーティション、またはファイルシステムの一部を暗号化するには、YaSTを使用します。 ただし、すでにインストールされているシステム中のパーティションを暗号化する場合、既存のパーティションのサイズを変更するなどの複雑な作業を伴います。 このような場合は、一定サイズの暗号化ファイルを作成し、そのファイルに他のファイルやファイルシステムの一部を保管する方が簡単なこともあります。 パーティション全体を暗号化するには、パーティションレイアウト内に暗号化用の専用パーティションが必要になります。 ただし、YaSTによって提示されるデフォルトの標準パーティション設定には、暗号化パーティションは含まれていません。 暗号化パーティションは、パーティション設定用のダイアログで手動で設定します。

47.1.1 インストール時の暗号化パーティションの作成

警告: パスワード入力

暗号化パーティションのパスワードを設定する際は、パスワードのセキュリティに関する警告をよく読み、パスワードをきちんと記憶してください。 パスワードがないと、暗号化したデータのアクセスや復元を行えなくなります。

YaSTの[Expert Patitioner]ダイアログ(を参照)には、暗号化パーティションの作成に必要なオプションが用意されています。 新しい暗号化パーティションを追加するには、[作成]をクリックします。 表示されるダイアログで、フォーマット方式、マウントポイントなど、新しいパーティションのパーティションパラメータを指定します。必要に応じてデフォルトの[Fstab Options]を変更します。たとえば、必要な場合にのみ暗号化ファイルシステムをマウントする場合は、ブートプロセスの一環としてマウントされないように、[Do Not Mount During Booting]を有効にします。[Encrypt File System]をクリックして暗号化パーティションを作成します。 次のダイアログで、パスワードを2回入力します。 パーティション作成ダイアログで[了解]をクリックすると、新しい暗号化パーティションが作成されます。

ブート時にマウントしないように設定しなかった場合、パーティションをマウントする前にOSからパスワードが要求されます。パーティションは、いったんマウントされるとすべてのユーザが使用できるようになります。

起動時に暗号化パーティションのマウントをスキップするには、パスワードの要求時にEnterキーを押します。 その後、再度パスワードの入力が求められたらそれを拒否します。 この場合、暗号化されたファイルシステムはマウントされません。オペレーティングシステムはブートを続けますが、データへのアクセスは遮断します。

ブート時にマウントしない暗号化パーティションにアクセスするには、mount  name_of_partition mount_pointと入力して該当するパーティションをマウントします。要求されたときにはパスワードを入力してください。 そのパーティションでの作業を終えたら、umount name_of_partitionを実行してアンマウントし、他のユーザからアクセスされないようにします。

すでに複数のパーティションが作成されているコンピュータにシステムをインストールする場合、インストール時に既存のパーティションを暗号化することもできます。 詳細については、「セクション 47.1.2, 稼動中のシステムでの暗号化パーティションの作成」を参照してください。また、この操作を行うと、暗号化する既存のパーティション中のすべてのデータが破棄されてしまうことに注意してください。

47.1.2 稼動中のシステムでの暗号化パーティションの作成

警告: 稼動中のシステムでの暗号化のアクティブ化

稼動中のシステムに暗号化パーティションを作成することもできます。 ただし、既存のパーティションを暗号化すると、パーティション中のすべてのデータが破棄されてしまうことに注意してください。また、既存のパーティションのサイズを変更して、再構築する必要もあります。

稼動しているシステムのYaSTコントロールセンターで、[システム] > [ディスクの分割]の順に選択します。 [はい]をクリックして続行します。 [Expert Partitioner]で、暗号化するパーティションを選択して、[編集]をクリックします。 以降の手順は「セクション 47.1.1, インストール時の暗号化パーティションの作成」と同じです。

47.1.3 暗号化ファイルをコンテナとして作成する

パーティションを使うかわりに、一定サイズの暗号化ファイルを作成して、そのファイルに機密データを含んだ他のファイルやフォルダを保管することができます。 このようなコンテナファイルを作成するには、同じYaSTダイアログを使用します。 [暗号化ファイル]を選択し、作成するファイルのパスを予定サイズとともに入力します。 フォーマット設定およびファイルシステム種別については、提示される設定をそのまま使用します。 次に、マウントポイントを指定し、その暗号化ファイルシステムをブート時にマウントするかどうかを指定します。

暗号化コンテナの長所は、ハードディスクのパーティション設定を再度行わなくても追加できるという点です。 暗号化ファイルは、ループデバイスを活用してマウントされ、通常のパーティションのように動作します。

47.1.4 リムーバブルメディアの内容の暗号化

YaSTは、外部ハードディスクのようなリムーバブルメディアまたはUSBフラッシュドライブを他のハードディスクと同様に扱います。 これらのメディアのコンテナファイルやパーティションは、前述の方法で暗号化できます。 ただし、通常リムーバブルメディアはシステム動作中にのみ接続されるため、[Fstab Options]ダイアログで[Do Not Mount During Booting]を有効にしてください。

LUKS (Linux Unified Key Setup)を使うリムーバブルデバイスを暗号化している場合(SUSE Linux Enterprise SP1のデフォルト)、KDEおよびGNOMEデスクトップは自動的にこれを認識し、デバイス検出時にパスワードを要求します。リムーバブルメディアをFATファイルシステムでフォーマットしている場合は、デスクトップにログインして復号化パスワードを入力したユーザは、自動的にそのデバイスの所有者となり、そのメディア上のファイルを読み書きすることができます。FAT以外のファイルシステムを使用するデバイスの場合、root以外のユーザがそのデバイス上のファイルを読み書きするには、明示的に所有権を変更する必要があります。