LinuCレベル3 303試験の例題と解説
325.3 暗号化ファイルシステム
■トピックの概要
このトピックの内容は以下の通りです。
<325.3 暗号化ファイルシステム>
重要度 3
<説明>
暗号化ファイルシステムを設定できることが求められる。
<主要な知識範囲>
・ブロックデバイスとファイルシステムの暗号化の理解。
・dm-cryptを使用して LUKS でのブロックデバイスの暗号化。
・eCryptfs を使用したファイルシステムの暗号化。ホームディレクトリとPAMの統合を含む。
・plain dm-crypt とEncFSの知識。
<重要なファイル、用語、ユーティリティ>
・cryptsetup
・cryptmount
・/etc/crypttab
・ecryptfsd
・ecryptfs-* コマンド
・mount.ecryptfs, umount.ecryptfs
・pam_ecryptfs
■例題
dm-cryptを使用した暗号化ファイルシステムを作成する手順のうち誤っているものを選択してください。
1. cryptsetup luksFormatコマンドを使用して、暗号化ボリュームを作成する。
2. cryptsetup openコマンドを使用して、暗号化ボリュームをマッピングする。
3. mkfsコマンドを使用して、暗号化ボリュームにファイルシステムを作成する。
4. cryptmountコマンドを使用して、暗号化ボリューム上に作成したファイルシステムをマウントする。
※この例題は実際の試験問題とは異なります。
解答と解説
答えは「4. cryptmountコマンドを使用して、暗号化ボリューム上に作成したファイルシステムをマウントする。」です。
dm-cryptはボリューム単位で暗号化を行うための仕組みを提供しており、暗号化したボリュームはブロックデバイスとして使用することができます。暗号化したボリューム上にファイルシステムを作成すれば、ファイルシステムに保存したデータは暗号化されることになります。
dm-cryptによる暗号化はcryptsetupコマンドを使用して行うことができます。
例題の選択肢について解説します。
1. cryptsetup luksFormatコマンドを使用して、暗号化ボリュームを作成する。
正しいです。
cryptsetup luksFormat /dev/vdb1
のように暗号化するボリュームを指定します。
2. cryptsetup openコマンドを使用して、暗号化ボリュームをマッピングする。
正しいです。
暗号化ボリュームをDevice-mapperを使用してマッピングします。
cryptsetup open --type luks /dev/vdb1 enc1
のように暗号化ボリュームとマッピング名を指定します。
この場合、暗号化したボリュームは /dev/mapper/enc1 としてアクセスすることができます。
3. mkfsコマンドを使用して、暗号化ボリュームにファイルシステムを作成する。
正しいです。
dm-cryptの暗号化ボリュームはブロックデバイスとして使用することができます。
このため、暗号化ボリューム上には一般的なファイルシステム(ext3,ext4,xfsのような)を作成することができます。
mkfs -t xfs /dev/mapper/enc1
のようにファイルシステムを作成します。
4. cryptmountコマンドを使用して、暗号化ボリューム上に作成したファイルシステムをマウントする。
誤っています。
上記で示したように暗号化ボリュームに作成するファイルシステムは一般的なものなのでmountコマンドでマウントすることができます。
mount -t xfs /dev/mapper/enc1 /data
のようにマウントを行います。
dm-cryptはブロックデバイスとして使用することができます。
一方、EncFSやeCryptfsのようなファイルシステムを暗号化する仕組みも使用することができます。
これらの種類や違いを把握しておくといいでしょう。
■例題解説作成者
LPI-Japanプラチナスポンサー
株式会社 デージーネット OSS研究室 大野 公善氏