ホームディレクトリ中のデータを、盗用やハードディスクの持ち出しなどの犯罪から保護するには、暗号化ホームディレクトリを作成します。これらはLUKSにより暗号化され、ユーザに対してイメージとイメージキーが生成されます。 イメージキーはユーザのログインパスワードで保護されます。 デフォルトでは、イメージおよびイメージキーは、各ユーザの ホームディレクトリにあります。このキーは、ファイルシステム内の任意の場所に配置できます。たとえば、手作業でマウントできるリムーバブルデバイスに保管することができます。このことを活用するには、YaSTのExpert Partitionerを使ってデバイスを設定する際に、オプションに固定デバイス名を指定します。
ホームディレクトリの暗号化を有効にするには、YaSTのユーザ管理モジュールまたはcryptconfigコマンドラインツールを使用します。新しいユーザまたは既存のユーザに対する暗号化ホームディレクトリを作成できます。既存のユーザ用の暗号化ホームディレクトリを作成、または変更するには、ユーザの現在のログインパスワードを入力します。.
警告: セキュリティ制限
ユーザのホームディレクトリを暗号化しても、他のユーザに対しては強力なセキュリティ手段にはなりません。強力なセキュリティが必要な場合は、システムを物理的には共有しないでください。
セキュリティを強化するには、swapパーティション、/tmp、および/var/tmpも暗号化してください。これらのディレクトリには、重要なデータの一時イメージが保管される可能性があります。
swap、/tmp、および/var/tmpは、YaSTを使って暗号化することができます。詳細は、「セクション 47.1.1, インストール時の暗号化パーティションの作成」と「セクション 47.1.3, 暗号化ファイルをコンテナとして作成する」を参照してください。YaSTのオプションのほかに、一部の特殊な作業にcryptconfigコマンドラインツールを使用することもできます。
たとえば、ユーザがキーファイルをなくした場合に備えて、追加のキーを作成し、イメージに追加することができます。
rootとしてシェルにログインします。
実行
cryptconfig create-key admin.key
管理者用キーを作成します。
ユーザtux用の暗号化ホームディレクトリを作成してそれに管理者キーを追加するには、
cryptconfig make-ehd –extra-key-file=admin.key tux 200
初期サイズが200MBのホームディレクトリが作成されます。
ホームディレクトリのサイズを変更するには、
cryptconfig enlarge-size image size_to_add_in_MB
コマンド ラインツールの詳細については、cryptconfig --helpを実行して、利用できるオプションを表示してください。