お知らせ

  • 利用規約を守って投稿してください。また、よくある質問および投稿の手引きも参照してください。
  • メッセージの投稿にはアカウントが必要です。未登録の方は、ユーザ登録ページからアカウントを作成することができます。

ページ: 1

 

#1 2008-05-03 10:02:26

norian
ゲスト

8.04-AlternateCDを使ってHDDを暗号化する手順

手持ちの光学ドライブつきノートパソコンで試し、成功しました。
ガイドによる自動設定でも、手動設定でも問題なく暗号化できました。

ハードディスクを暗号化する機能は7.10-AlternateCDで提供されていましたが
今回、8.04-AlternateCDでハードディスクを暗号化することができました。
皆さんの参考になれば幸いです。

手動設定にあたっては
このサイト(英文)で紹介されている、デジカメで撮ったダイアログ画像がとても参考になりました。
Installing Ubuntu 8.04 with full disk encryption « Learning in Linux
http://learninginlinux.wordpress.com/2008/04/23/installing-ubuntu-804-with-full-disk-encryption/
 

ノートパソコンは、CPU:Pen_M, RAM:1GB, 20GBの内蔵ハードディスクです。
起動途中でパスフレーズを入れて利用します。
HDDが暗号化されていないUbuntuとの使い勝手の違いは、今のところ何も無いです。
暗号化による速度の低減とかはほとんど感じません。
シャットダウン状態で暗号化されているので、こだわるならサスペンドなどは使わないのが基本らしいです。
インストール後の構成はこのようになります。

ガイドによる自動設定
・物理的な1つのハードディスク全てを書き換えます。
・/dev/sda1  /boot ext3  暗号化されません。255MB
・/dev/sda5  / と swap を含む暗号化LVM  root: 18.9GB, ext3  swap: 872.4MB

とてもよくできたインストーラなのでしょう。案内もほとんど日本語で表示されます。
暗号化設定に関しては自分でやる設定もほとんどなく、迷わないのでは。
インストール過程の『ディスクのパーティショニング』で
------------------------------------------------------------------
方法:
・ガイド - ディスク全体を使う
・ガイド - ディスク全体を使い、LVMをセットアップする
・ガイド - ディスク全体を使い、暗号化 LVM をセットアップする
・手動
------------------------------------------------------------------

この中の ガイド- 暗号化 LVM を選択すれば、自動的に
パーティション(sda1, sda4(sda5))を構成し
暗号化ボリューム(sda5_crypt)を作成し
LVMの論理ボリュームを設定(/dev/mapper/sda5_crypt)してくれます。

気をつけることは、ここで要求されるパスフレーズはユーザー用のものではなく
暗号化されたsda5を解除させるためのパスフレーズだということと、
日本語キーボード・レイアウトで「む」キー印字の記号(]と})を正しく認識しなかったので
注意することぐらいでしょうか。

パスフレーズの設定ページだけが、全文英語のままでした。
主な内容は
アルファベット・数字・記号を使って20文字以上にすることがオススメだということと
パスフレーズを忘れるとデータを復活することはできないので、メモを取るなり注意しましょう
というようなことだと思います。

日本語キーボード・レイアウトは、次の過程である『ベースシステムのインストール』を経ると
正しく認識するようになり、『ユーザーとパスワードのセットアップ』過程では何ら混乱しません。

テキストベースのインストーラということで、
Tabキーや矢印キー、spaceキーにEnterキーを使って設定をしていきます。
何度かUbuntuをインストールしたことがあれば
テキスト表示でも何とかなるのではないでしょうか。


手動による設定
LVMを一度も扱ったことが無いのですが、それでも設定することができました。
それだけ、インストーラの出来がいいのだと思います。

ハードディスクがすでに sda1, sda4(sda5) となっていたので、今回そのままの構成でやりました。
例えば、インストール前の構成がsda1, sda4(sda5, sda6) となっていた場合、
sda6 は以前のままデータを残すとか、通常の手動によるインストールと同じようにできるはずです。
手動なので柔軟にできます。

最初に
パーティショニング設定後のテーブルを示します。
表示位置はもっと見やすく揃えられているのですが、実際にこういう内容で表示されます。

LVM VG west, LV home - 10.1 GB Linux device-mapper
    1. 10.1 GB f ext3    /home
LVM VG west, LV swap_1 - 1.1 GB Linux device-mapper
    1. 1.1 GB f スワップ    スワップ
LVM VG west, LV sysroot - 8.6 GB Linux device-mapper
    1. 8.6 GB f ext3    /
暗号化ボリューム (sda5_crypt) - 19.7 GB Linux device-mapper
    1. 19.7 GB K lvm
SCSI 1 (0,0,0) (sda) - 20GB ATA I2CXXXXXXX(固有ナンバーです)
    1. 基本 255.0 MB  F ext3  /boot
    5. 論理 19.7 GB  K 暗号化 (sda5_crypt)

 
作成順序は下からになります。ステップが進むにしたがって表示が増えていきます。
文章だけで書いてもわかりにくいと思いますが、大まかに流れを説明します。

マークの説明 (ヘルプより)
K: パーティションがすでに初期化されていることを示します
F: 初期化済みのパーティションを初期化する場合
f: それ以外の初期化の場合

a) sdaの設定
sda1を /boot として利用する設定を行う
sda5は『暗号化の物理ボリューム』指定する。データの削除も『いいえ』から『はい』にする。
(この状態ではまだ暗号化されないので『非活性』と表示されます)

b-1) 暗号化されたボリュームの設定
この文言が表示されるので、このステップを選択してa)の初期化を実行します。←ここがわかりにくい
sda5をフォーマットするのに時間がかかります。(数分〜)
パスフレーズを設定します。
これで、sda5の暗号化準備作業が終了し、『非活性』が 『(sda5_crypt)』 と表示を変えます。

b-2) 暗号化されたボリュームの設定
続けて、暗号化ボリューム (sda5_crypt) を初期化します。
この時注意しておくべき点があります。
暗号化ボリューム (sda5_crypt) 19.7GB Linux device-mapper は、
1. 19.7 GB F lvm ではなく、
1. 19.7 GB F ext3
と初期化されるのです。自動的にext3に初期指定されるから。
なので、ext3 から『LVMの物理ボリューム』に変更し、lvmに設定し直す必要があります。
暗号化設定が終了したので、LVM設定に移ります。

c-1) 論理ボリュームマネージャの設定
LVMの設定に入ります。
/dev/mapper/sda5_crypt (19747MB)

c-2) 論理ボリュームマネージャの設定
・ボリュームグループの作成
『ボリュームグループの作成』とは想像上のディスクドライブの作成であり、1つ作ります。
ここでは名前を west としてあります。
VG: Volume Group

c-3)  論理ボリュームマネージャの設定
・ボリュームグループデバイスの選択
デバイスは先ほどの /dev/mapper/sda5_crypt (19747MB) を指定(選択肢もひとつ)

c-4)  論理ボリュームマネージャの設定
・論理ボリュームの作成
『論理ボリュームの作成』とは想像上のパーティションの作成であり、ここでは
sysroot, swap, home と3つのLVを論理ボリューム名・論理ボリュームサイズと、
順次作ります。8GB, 1GB, 残り全部, と指定しました。
LV: Logical Volume

c-5)  論理ボリュームマネージャの設定
・論理ボリュームの設定
上記3つのLVについて、それぞれファイルシステム(ext3)や、マウントポイント(/home)等
通常のパーティショニング作業と同じ設定を行います。a)での設定と同じやり方です。

これで終了なので
パーティショニングの終了とディスクへの変更の書き込み』を選択・実行します。
この項目は画面によく表示されていますが、
最初に上↑で示してあるように、テーブル作成が完了してから選択・実行します。


●8.04LTS AlternateCDのインストールプロセス

Ubuntu インストーラメインメニュー (主なもの)

  :
・最初にハードウェア関係の確認作業
  ↓

・ディスクのパーティショニング
・ベースシステムのインストール
・ユーザーとパスワードのセットアップ
  :
  :
・インストールの完了
  :
  :
・インストールの中止
 

インストールが完了すれば、再起動して終了になります。

このあと、さらに Japan Team 作成の日本語関係のソフトを入れるための設定を行います。
システムとデータの暗号化された日本語ローカライズド版が簡単に利用できます。
オススメは自動ガイドです。試してみてはいかがでしょうか?
  

 

#2 2008-05-22 21:08:20

norian
ゲスト

Re: 8.04-AlternateCDを使ってHDDを暗号化する手順

参考ページを元にして、#1投稿で作成した暗号化済みLVM領域からデータを救出する手順を紹介します。
暗号化済みデータの救出手順はそれほど複雑ではないということがわかりました。必要なのは作成時のパスフレーズと3行のコマンドだけです。

■ HOWTO: Rescue an encrypted LUKS LVM volume - Ubuntu Forums:
http://ubuntuforums.org/showthread.php?t=611165

こちらは上記掲示板への投稿を写したページ
■ Rescue an encrypted LUKS LVM volume -- Ubuntu Geek:
http://www.ubuntugeek.com/rescue-an-encrypted-luks-lvm-volume.html


ここでの前提(作成時)
・Alternate install CD を使って暗号化LVM領域を作成
・領域は /dev/sda5 に作成
・VG名:west LV名:root, swap, home の3つを作成
・Ubuntu LiveCDを使って救出する(※1)

1. プログラムのインストールと準備
Ubuntu LiveCDを起動し、コマンド入力

コード:

$ sudo apt-get install lvm2 cryptsetup
$ sudo modprobe dm-crypt

2. 暗号化済みのパーティションを復号

コード:

$ sudo cryptsetup luksOpen /dev/sda5 crypt1

Enter LUKS passphrase:
パスフレーズを入力
    ↓
key slot 0 unlocked.
Command successful.

と表示されれば復号できたということ
crypt1:ブロックデバイス名はhogeでもfooでも何でもよい

3. ボリュームグループ、論理ボリュームの確認と活性化

コード:

$ sudo vgscan --mknodes

Reading all physical volumes.  This may take a while...
  Found volume group "west" using metadata type lvm2
カーネルがVG(west)を自動認識した

コード:

$ sudo vgchange -a y

3 logical volume(s) in volume group "west" now active
westの中に3つのLV(いわゆるパーティション)があり、活性化(機能)する

VGの名前(west)を自分が覚えていれば最初からこれでもかまわない
$ sudo vgchange -a y west

LVMが機能したところで
$ ls /dev/mapper
とすると、control, crypt1, の他に3つのLVが表示される

4. 論理ボリュームをマウントして救出作業

コード:

$ sudo mkdir /media/vol
$ sudo mount /dev/mapper/west-home /media/vol
$ gksu nautilus /media/vol

LVのひとつ home をマウントしてサルベージ

(※1)
例えば、レスキュー向けLinuxであるsystemrescuecdを使ってこの作業をすれば 1. は省略できます(nautilusは入っていない、日本語は文字化けする)。
SystemRescueCd
http://www.sysresccd.org/Main_Page
最新安定版は1.0.2 (191 MiB)

正常に動いているときに実際に試してみるのがいいと思います。
VG名を覚えていて SystemRescueCd を使った場合のコマンドは

% cryptsetup luksOpen /dev/sda5 crypt1
% vgchange -a y west
% mount /dev/mapper/west-home /マウントポイント
これだけです!

内蔵ハードディスクをそのままの状態で救出することを想定した手順でしたが内蔵ハードディスクを取り出し、USB接続で他のUbuntuに認識させると、(システムが壊れていなければ) LUKS passphrase を問うダイアログが表示されます。
暗号化していない状態のLinux Boxと違い、/boot以外のデータを閲覧されることはありません。
ということで、GRUBメニューにパスワードロックをかけるより、パスフレーズの文字数を増やしておいた方が有効です(20字以上を推奨されています)。

ほとんどのコマンドがルート権限で行われるので 最初に sudo -s などのコマンドを使ってrootになっていたほうがいいかもしれません。root から抜けるには exit コマンドでユーザーに戻ります。
 

 

 

ページ: 1

Board footer

Powered by FluxBB