Jump to contentJump to page navigation: previous page [access key p]/next page [access key n]
コンテンツコンテンツ
セキュリティ強化ガイド
  1. 前書き
  2. 1 セキュリティと機密保持
  3. 2 コモンクライテリア (Common Criteria)
  4. I 認証
    1. 3 PAM を利用した認証
    2. 4 NIS の使用
    3. 5 YaST を利用した認証クライアントの設定
    4. 6 389 LDAP ディレクトリサービス
    5. 7 Kerberos を利用したネットワーク認証
    6. 8 Active Directory サポート
    7. 9 FreeRADIUS サーバの構築
  5. II ローカルセキュリティ
    1. 10 物理的なセキュリティ
    2. 11 seccheck を利用した自動的なセキュリティチェック
    3. 12 ソフトウエア管理
    4. 13 ファイルの管理
    5. 14 パーティションやファイルの暗号化
    6. 15 cryptctl を利用したアプリケーション向けのストレージ暗号化
    7. 16 ユーザ管理
    8. 17 Spectre/Meltdown チェッカー
    9. 18 YaST を利用したセキュリティの設定
    10. 19 PolKit による認可制御
    11. 20 Linux でのアクセス制御リスト
    12. 21 証明書ストア
    13. 22 AIDE を利用した侵入検知
  6. III ネットワークセキュリティ
    1. 23 X Window System と X 認証
    2. 24 SSH: 機密を保持するネットワーク操作
    3. 25 マスカレードとファイアウオール
    4. 26 VPN サーバの設定
    5. 27 X Window System で動作する PKI マネージャ XCA による管理
  7. IV AppArmor による権限の制限
    1. 28 AppArmor の紹介
    2. 29 入門
    3. 30 プログラムに対する予防接種
    4. 31 プロファイルのコンポーネントと文法
    5. 32 AppArmor のプロファイルリポジトリ
    6. 33 YaST を利用したプロファイルの構築と管理
    7. 34 コマンドラインからのプロファイル構築
    8. 35 チェンジハット機能による Web アプリケーションのプロファイル作成
    9. 36 pam_apparmor によるユーザの制限
    10. 37 プロファイルを作成したアプリケーションの管理
    11. 38 サポート
    12. 39 AppArmor 用語集
  8. V SELinux
    1. 40 SELinux の設定
  9. VI Linux 監査フレームワーク
    1. 41 Linux 監査システムの概要
    2. 42 Linux 監査フレームワークの設定
    3. 43 監査ルールセットの紹介
    4. 44 その他の情報源
  10. A GNU ライセンス
ナビゲーション
適用先 openSUSE Leap 15.2

14 パーティションやファイルの暗号化

ファイルやパーティション、ディスク全体の暗号化を行うことで、お使いのデータに対する不正なアクセスを保護し、ファイルや文書に対する機密を保護することができます。

暗号化を行うにあたっては、下記のいずれかの方法をとることができます:

ハードディスク内のパーティションの暗号化

YaST を利用することで、インストール中でもインストール後でも暗号化されたパーティションを作成することができます。詳しくは 14.1.1項 「インストール時における暗号化パーティションの作成」 および 14.1.2項 「動作中のシステムにおける暗号化パーティションの作成」 をお読みください。この方式は外付けのハードディスクなど、リムーバブルメディアに対しても適用することができます。こちらに関する詳細は 14.1.3項 「リムーバブルメディアの内容の暗号化」 をお読みください。

GPG を利用したファイル単独での暗号化

1 つまたは複数のファイルを単純に暗号化したいだけであれば、 GPG ツールをお使いになるとよいでしょう。詳しくは 14.2項 「GPG を利用したファイルの暗号化」 をお読みください。

警告
警告: 暗号化による保護範囲について

本章で説明している暗号化は、動作中のシステムでの保護を行う仕組みではありません。たとえ暗号化されているボリュームであっても、マウントが成功してしまえば、アクセス許可での制限がない限り、アクセスができてしまいます。本章での暗号化は、コンピュータをどこかに置き忘れてしまった場合や、盗難にあった場合に役に立つ仕組みであり、このような場合に機密データが読み取られることのないように保護を実現するものです。

14.1 YaST を利用した暗号化ファイルシステムの設定

YaST を使用することで、インストール中であってもインストールが終わった後からであっても、暗号化されたパーティションや仮想ハードディスクを作成することができます。しかしながら、インストール済みのシステムに暗号化されたパーティションを追加したい場合、既存のパーティションのサイズを変更したりする作業が必要になることがありますので、比較的難しい作業になります。このような場合は、必要なサイズで暗号化されたファイルを作成して、ファイルやディレクトリなどをその中に書き込むように設定したほうが便利な場合があります。それに対して、パーティション全体を暗号化する場合は、パーティションレイアウト内に専用のパーティションを作成して対応する必要があります。また、 YaST で表示される標準のパーティション提案では、既定では暗号化されたパーティションが含まれません。インストール時に暗号化されたパーティションを設定したい場合は、パーティションダイアログ内で手作業で設定をしてください。

14.1.1 インストール時における暗号化パーティションの作成

警告
警告: パスワードの入力について

暗号化されたパーティションを作成する際は、パスワードを忘れることがないようにしてください。パスワードを忘れてしまうと、暗号化されたデータにアクセスできなくなってしまいます。

YaST の熟練者向けパーティション設定を使用することで、暗号化パーティションを作成することができます。新しい暗号化パーティションを作成するには、下記の手順で行います:

  1. システム › パーティション設定 を選択して、 YaST 熟練者向けパーティション設定を起動します。

  2. ハードディスクを選択して 追加 を押します。プライマリもしくは論理パーティション のいずれかを選択します。

  3. パーティションに対して設定するサイズ、もしくは範囲を指定します。

  4. パーティションに対して設定するファイルシステムと、マウントポイントを選択します。

  5. このとき、 デバイスの暗号化 にチェックを入れておきます。

    注記
    注記: 追加のソフトウエアが必要となる件について

    デバイスの暗号化 にチェックを入れると、追加のソフトウエアをインストールするよう促すポップアップウインドウが表示されることがあります。暗号化パーティションを動作させるには、これら全てのパッケージをインストールする必要があります。

  6. 暗号化されたパーティションを自動ではマウントしたくない場合は、 マウントのオプションデバイスをマウントしない を選択します。自動的にマウントする場合は、 デバイスのマウント を選択してマウントポイントを入力または選択してください。

  7. 次へ を押して、このパーティションを暗号化するためのパスワードを入力します。入力されたパスワードは表示されません。入力ミスを防止するため、パスワードは 2 回入力してください。

  8. あとは 完了 を押して処理を完了します。暗号化パーティションが新しく作成されます。

/etc/fstab 内で暗号化されているパーティションを自動的にマウントするように設定している場合、システムの起動時に暗号化パーティションに対するパスワード入力を求めるようになります。パスワードの入力を行うことでマウント処理が実行され、全てのユーザからアクセスできるようになります。

システムの起動時に暗号化されたパーティションをマウントしたくない場合は、パスワード入力の際に Enter を押してください。再度パスワードの入力を求められた場合も、同様に入力を拒否してください。これにより、暗号化されたパーティションがマウントされなくなりますが、オペレーティングシステムの起動処理はそのまま続けられるようになります。この場合、暗号化されたパーティション内のデータにはアクセスができなくなります。

システムの起動時にマウントしなかった暗号化パーティションをマウントしたい場合は、ファイルマネージャを開いて 他の場所 を選び、表示された一覧の中から暗号化されたパーティションを選択してください。これにより、パスワードの入力が求められますので、パスワードを入力してください。

既にパーティションが存在するマシンに対してシステムをインストールしている場合は、インストール時に既存のパーティションを暗号化するように設定することもできます。この場合は、 14.1.2項 「動作中のシステムにおける暗号化パーティションの作成」 の手順に従って作業を行ってください。ただし、既存のパーティション内にある全てのデータが削除されることに注意してください。

14.1.2 動作中のシステムにおける暗号化パーティションの作成

警告
警告: 動作中のシステムにおける暗号化の有効化について

動作中のシステムで暗号化されたパーティションを作成することもできます。ただし、既存のパーティションを暗号化すると、その中のデータは全て削除されてしまうほか、場合によっては既存のパーティションのサイズを変更したり、再構築したりする作業が必要になってしまうこともあります。

動作中のシステムで暗号化されたパーティションを作成するには、 YaST コントロールセンターから システム › パーティション設定 を選び、表示された警告メッセージには はい を選びます。あとは 熟練者向けパーティション設定 で暗号化したいパーティションを選び、 編集 を押します。残りの作業は 14.1.1項 「インストール時における暗号化パーティションの作成」 で示している手順と同じです。

14.1.3 リムーバブルメディアの内容の暗号化

YaST では、リムーバブルメディア (外付けハードディスクや USB フラッシュメモリなど) についても、通常のストレージデバイスと同じように扱います。これまでに説明してきたものと同じ手順で、リムーバブルメディア内に仮想ディスクやパーティションを作成することができます。ただし、システム起動時の自動マウントについては、無効化するようにしてください。これは一般に、リムーバブルメディアはシステムの起動時には接続されていないことがあるためです。

YaST でリムーバブルデバイスを暗号化した場合、 GNOME デスクトップでは暗号化されたパーティションを自動的に認識することができますので、デバイスへのアクセス時にパスワード入力を求めるようになっています。また、 GNOME の動作時に FAT 形式でフォーマットされたリムーバブルデバイスを接続すると、デスクトップを利用しているユーザがデバイスの所有者になります。 FAT 以外のファイルシステムを使用しているデバイスの場合は、デバイスに対して読み書きができるようにするため、 root でパーミッションを変更するなどして、所有権を明示的に設定してください。

14.2 GPG を利用したファイルの暗号化

GPG 暗号化ソフトウエアを使用することで、ファイルや文書を個別に暗号化することができます。

GPG でファイルを暗号化するには、まず鍵対を生成する必要があります。鍵対を生成するには、 gpg --gen-key を実行して、表示される手順に従って作業を行ってください。鍵対を作成する際、 GPG はユーザ ID (UID) を作成して鍵対を識別するようになります。ユーザ ID には本名やコメント、電子メールアドレスを含めることができます。この UID (もしくは名前の一部や電子メールアドレス) は、ファイルを暗号化する際に指定します。既存の鍵の一覧を取得するには、 gpg --list-keys コマンドを実行します。鍵対を生成したあと、ファイルを暗号化するには、下記のコマンドを実行します:

tux > gpg -e -r UID
  ファイル名

ここで、 UID には UID の一部 (たとえば名前など) を、 ファイル名 には暗号化したいファイルを指定します。たとえば下記のようになります:

tux > gpg -e -r Tux secret.txt

このコマンドは、指定したファイルのファイル名に .gpg という新しい拡張子を追加して、暗号化されたファイルを作成します (今回の例では、 secret.txt.gpg というファイルが作成されます) 。

暗号化されたファイルを復号するには、下記のコマンドを実行します:

tux > gpg -d -o 復号化したファイル
  暗号化されたファイル

ここで、 復号化したファイル には復号後のファイルのファイル名 (出力先) を、 暗号化されたファイル には暗号化されたファイルのファイル名を指定します。

ただし、この手順でファイルの暗号化を行った場合、暗号化で使用したものと同じ鍵を使用しないと、復号できないことに注意してください。他のユーザに対して暗号化されたファイルを送りたい場合は、その相手の公開鍵を取得して、この公開鍵で暗号化を行わなければなりません。