データは貴重です。しかし、そのデータが悪意ある者の手に渡ることは許されません。そのため、管理者はデータのセキュリティを確保するためにあらゆる努力を払います。高価なサードパーティ製ソフトウェアを購入する人もいれば、独自のソリューションを組み込む人もいます。Linuxプラットフォームをご利用の場合は、暗号化されたファイルシステムをマウント、使用、そしてアンマウントできる優れた暗号化ツールを簡単にインストールできます。アンマウントすると、ファイルシステムに含まれるデータは読み取れなくなります。
このようなツールの具体的な使用例としては、バックアップドライブのローテーションが挙げられます。外付けバックアップドライブに暗号化を施すことで、(ドライブが適切にアンマウントされた後)ドライブ内のデータにアクセスできなくなります。ドライブを元に戻し、マウントすれば、データへのアクセスは完了です。
このプロセスを非常に簡単にするソフトウェアの一つがeCryptfsです。eCryptfsシステムは、Linux用のPOSIX準拠のエンタープライズ向け暗号化スタックファイルシステムであり、暗号化ニーズにすぐに対応できます。これはコマンドラインツールですが、ディレクトリの暗号化作業は極めて簡単です。eCryptfsのインストール方法と、それを使って暗号化されたディレクトリをマウントする手順を解説します。
インストール
eCryptfsは標準リポジトリにあるため、コマンド1つでインストールできます。ただし、どのインストールでも、まず次のコマンドでaptを更新する必要があります。
sudo apt-get update
オプションで次のコマンドを使用してアップグレードを実行できます。
sudo apt-get upgrade
当然のことながら、定期的なアップグレードをお勧めします。これは、サーバーに常にパッチが適用されていることを保証する最善の方法です。カーネルのアップグレードが心配な場合は、サーバーを再起動できるタイミングでアップグレードを実行することをお勧めします。
apt を更新し、(オプションで) サーバーをアップグレードしたら、次のコマンドで eCryptfs をインストールします。
sudo apt-get install ecryptfs-utils
インストールが完了したら、暗号化する準備が整います。
使用法
例えば、/opt/dataという新しいディレクトリを作成し、そこに暗号化によって保護された機密データを保存したいとします。このディレクトリを暗号化ディレクトリとしてマウントするには、以下のコマンドを実行します。
sudo mount -t ecryptfs /opt/data /opt/data
最初に暗号化のパスフレーズを入力し、次に適用する暗号化のレベルとタイプに関するいくつかの質問に答えるように求められます (図 A )。
図A
警告:上記のコマンドを、既にデータが存在するディレクトリに対して実行しないでください。そうしないと、データにアクセスできなくなります。このコマンドの目的は、新しいディレクトリを作成し、暗号化し、そこにデータを移動した後、アンマウントすることです(暗号化されたディレクトリが正常に再マウントされた場合にのみ、データにアクセスできるようになります)。
質問に答えると、暗号化の確認を求められます。すると、ディレクトリが暗号化されます。ディレクトリにデータを移動してマウントを解除すると、データにアクセスできなくなります。アンマウントコマンド(この例では)はsudo umount /opt/dataです。その後、ディレクトリ内のデータを表示しようとすると、データがバイナリファイルである可能性があるという警告が表示されます(図B)。
図B
暗号化されたファイルを閲覧する唯一の方法は、ディレクトリを再マウントすることです。これは上記と同じ方法で行います。ディレクトリを暗号化する際に使用したパスフレーズを入力しないとマウントに失敗します。ドライブを再マウントすれば、データは再び利用可能になります。
これで完了です。暗号化されたディレクトリを作成し、そこにデータを入力して、ディレクトリをアンマウントしてデータにアクセスできないようにします(ディレクトリを再マウントするまで)。
創造性を活かして活用しましょう
eCryptfsツールは、覗き見から安全に保護されたディレクトリを作成するための非常にシンプルな方法です。バックアップディレクトリや機密データを保存するその他の場所を暗号化するには、このツールをご利用ください。マウント、使用、アンマウントが可能です。データは安全です。eCryptfsをシステムにどのように適用するか、工夫してみてください。eCryptfsは様々な用途で役立ちます。
