geli で暗号化ファイルシステム
暗号化ファイルシステムというのは、正しいパスワードを入力しないと、ファイルシステムを読むことができなくなるというセキュリティ上非常に優れた仕掛けのことです。これを導入しておくと、万一、ノートパソコンやサーバーが盗難に遭って、そのHDDを他のパソコンの増設ドライブとして取り付けられたとしても、その中身を読みとられることがなくなります。
僕の場合は、サーバーはICカード暗証番号認証の部屋(大学全体のサーバーと同じ部屋)に設置しているので暗号化ファイルシステムを使用していませんが、ノートパソコンの場合は、そうはいきません。で、いままでは FreeBSD on VMware Player on Windows XP Pro という環境で、個人情報を含むファイルをおく vmd ファイルを、Windows XP Pro のファイルシステム暗号化で保護していました。これはこれで特に困らない仕組みだったのですが、このファイルをバックアップするということになって、ちょっと困ってしまっていました。このファイル自体は Windows XP のファイルですから、外部にバックアップをしようとすると暗号が自動的に解除されてしまうのです。ということで、いままでは FreeBSD の rsync などを利用して、大学のサーバーの上にバックアップを作っていました。でも、最近 SD memory カードが急速に価格低下をしていて、これをバックアップメディアに使いたい…と思ったところで、いままでの枠組がうまくいかないということになりました。
そこで、いろいろ調べたところ geli を利用した暗号化が、今回僕が望んでいることを実現する一番いい方法だということがわかりました。ということで、自分への備忘録をかねて作業内容をメモしておきます。
- FreeBSD を boot
- Kernelを再構築する。定義ファイルに
device crypto
を含むようにする。
options GEOM_ELI - FreeBSD を shutdown
- Windows XP 上で SD メモリカードを認識させ、 FATでフォーマットする。
- qemu を利用して vmdk ファイルを SDメモリカードに作る(E:\hogehoge\ugougo.vmdk とします。)。一応、カード容量の 90%にした。
- OSの属性を記述する vmx ファイルをメモ帳で開いて、SDメモリカード上のファイル名を指定する。
ide1:1.present="TRUE"
ide1:1.fileName="E:\hogehoge\ugougo.vmdk" - FreeBSD を boot
- さきほどの vmdk が、例えば ad3 などとして認識されていることを確認する。( /var/log/messages )
- geli デバイスを構築(以下、意味を考えずにコピペしないで!)
# geli init /dev/ad3
Enter new passphrase:
Reenter new passphrase:
# geli attach -d /dev/ad3
Enter new passphrase:
GEOM_ELI: Device ad3.eli created.
GEOM_ELI: Encryption: AES-CBC 128
GEOM_ELI: Crypto: software
# newfs -U /dev/ad3.eli
.................
GEOM_ELI: Detached ad3.eli on last close.
# geli attach /dev/ad3
Enter new passphrase:
GEOM_ELI: Device ad3.eli created.
GEOM_ELI: Encryption: AES-CBC 128
GEOM_ELI: Crypto: software
# mkdir /SDCARD
# mount /dev/ad3.eli /SDCARD
# mkdir /SDCARD/tatsumi
# chown tatsumi /SDCARD/tatsumi以上です。これで、 /SDCARD/tatsumi の下に、バックアップをとることができるようになります。しかも、このドライブには Windows 上では巨大ファイルが1つだけしかないですが、そのなかは FreeBSD で暗号化されているので、仮にこのSDメモリカードが盗難に遭っても geli で使用している暗号化が破られない限りは、情報漏洩については大丈夫です。なお、SDメモリカードの類は読み取りは高速ですが書き込みは遅く、また、書き込み回数が一定回数を越えるとメディアが駄目になります。ですから、あくまでもバックアップメディアとしての位置付けにするのが正解です。
| 固定リンク
この記事へのコメントは終了しました。
コメント