スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

ハードディスク自体の暗号化とバックアップその2、ハードディスク全体の暗号化

前回完全ゼロクリアができたので、満を持してバックアップハードディスクをドライブごと暗号化します。目的をもう一度書きますが、バックアップハードディスクは大変無防備です。パソコンならばアカウントロックがかけられますが、パソコンを分解されてハードディスクを取り出され、USBアダプタ等を付けて別のパソコンに接続されたらおしまいです。外分けハードディスクにバックアップするということは、その分解のひと手間をこちらからわざわざ省いてやっているようなものです。

そんなだいそれたものを保存していないよと思われる方もいるでしょうが、メールソフトにメールアドレスと、各メールサービス用のパスワードを保存している人は多いでしょう。それを抜かれたら、一発でメールアカウントは乗っ取られます。iPhoneのシステムバックアップをしている人は、そのデータが抜かれたらクローンのiPhoneが作られることになります。それはまずいでしょ?意外と皆、流出したら困る情報は何かしら持ってるもんです。

偉そうに言ってますが、まあ本当だったらまずシステム用のハードディスク自体暗号化するべきなんでしょうけれどね…。あるいは、WindowsやMac用の高性能なバックアップソフトを使っていたら、特に意識しなくても暗号化してくれているものなのかも知れません。偉そうなことを言っている自分が一番低レベルなのかも知れません。



まあこのくらいにして、実際にやってみましょう。バックアップに使っていた外分けハードディスクを接続し、gpartedを起動。既にゼロクリアして完全な未割当領域になっているので、ここにパーティションを作る要領で、暗号化ボリュームを…作れない?

あ、そうですね、MBRがないという警告が出ました。これは2TBのハードディスクなので、デバイス→パーティションテーブルの作成で、msdosパーティションテーブルを作成。これでパーティション操作ができるはずです。今度こそ暗号化パーティションを…やっぱり作れない。これでパーティション操作ができるいろいろクリックしてそれらしいものを探してはみましたが見つかりません。Debianをインストール時のパーティション作成ツールのような奴はないのでしょうか。あれで出来てgpartedでできないことがあると?てか俺が何か根本的に勘違いをしている?

いきなり困りました。なんかいい方法がないかと適当なキーワードでぐぐってみると。このようなページを発見。

暗号化ファイルシステムを使ってみる - いますぐ実践! Linuxシステム管理 / Vol.184

他にもいくつかのページを見てみたのですが、どうやらドライブ全体を暗号化するにはcryptsetupというコマンドをコンソールから使うのが通常のようです。

では、そのcryptsetupをインストール。

# apt-get update ; apt-get install cryptsetup

まあもう当たり前ですが、Linuxで使われる大抵のオープンなソフトはDebianが用意してくれています。ありがたいことです。

んで、上記ページによると、cryptsetupで暗号化するのはドライブそのものというよりパーティション単位くさいので、gpartedで未使用領域にext4ファイルシステムを作成。これで/dev/sdb1ができたわけです。



んで、上記ページを読んで大体の使い方を探ると。どうやら流れはこのようです。

cryptsetupで目的のパーティション (今回は/dev/sdb1) を、任意の名前を付け、暗号化方式とパスワードを指定して読み込むと、/dev/mapper/にその名前をつけたファイルが出現。そのファイル上にext4などのファイルシステムを作成するコマンドを打ち、そのファイルをドライブとしてマウントすると、目的の暗号化されたパーティションに普通に読み書きができるようになるそうな。用が済んだらアンマウントして、/dev/mapper/内に生まれた暗号化パーティションへのリンクを取り除くコマンドを打つ、と。

通常なら/dev/sdb1とかをマウントするわけですが、このcryptsetupとやらで生まれる/dev/mapper/内のファイルを通じてフォーマットしたりマウントすることで、暗号化/復号しながらの読み書きができるということでしょうか。まあやってみなきゃわからないのでとりあえず実行。

# cryptsetup create -y -c aes-xts-essiv:sha256 hogehoge1 /dev/sdb1

パスワードの入力を求められたので、例の紙からパスワードをつくりだして入力。すると確かにhogehoge1というファイルが/dev/mapper/に現れました。ここにext4ファイルシステムを作成するコマンドを。

# mkfs.ext4 /dev/mapper/hogehoge1

完了したら、これをマウント。

# mount /dev/mapper/hogehoge1 /media/sdb1/

これでファイルマネージャを立ち上げてみると、確かに「2.0 TB ボリューム」という項目ができていて、中身を見ることができます。なにかここにファイルを移してみようとしてみたところ。あ、書き込みができない。これはファイルの書き込み権限がユーザーに与えられてないというやつですね。単純なミスです。

# chmod 777 /media/sdb1

これで書き込めるようになったはずです。で、適当に何かをファイルを入れてみましょう。んで、

# umount /media/sdb1

アンマウントして、

# cryptsetup remove hogehoge1

/dev/mapper/hogehoge1を除去。

では暗号化されているか。普通に繋いでみましょう。USBケーブルを外し、しばらく待ってもう一度つなぐと。普段は自動でマウントしてくれるはずですが、それがなされませんでした。gpartedで確認したところ接続したドライブは/dev/sdb1のままのようなので、

# mount /dev/sdb1 /media/sdb1/

コマンドで強制マウントしようとしてもみましたがエラーになる様子。そもそも先程のgpartedでも/dev/sdb1のファイルシステムが不明となっています。良いんじゃない良いんじゃない?

では、上記ページの「2回目以降の使い方」より再マウントしてみましょう。

# cryptsetup create -y -c aes-xts-essiv:sha256 hogehoge1 /dev/sdb1

ちなみにこのとき最初に指定した暗号化方式も正確に入力しないといけない模様です。そして最初に入力したパスワードを入力。これが正確に入力できてないとダメなのは当然ですね。

# mount /dev/mapper/hogehoge1 /media/sdb1

んで、ファイルマネージャ内に現れる「2.0 TB ボリューム」にアクセスしてみると。たった今投入したファイルがありました!中身も文字化けしたりはしていません!これで暗号化は大丈夫そうです。なお、暗号方式やパスワードの入力を間違えていた場合、ここでマウント失敗するようです。その前にパスワードが誤っているとか、暗号形式が誤っている等の警告は出ないようです。まあ不便といえば不便ですが、セキュアでもあるのかな。

まあとにかくマウントは無事出来ました。あー、次は簡単に使えて、差分バックアップも簡単にできるバックアップツールか…。なんか頭が痛くなってきたので次回

to do リスト
・外分けハードディスクのオールクリア (済)
・暗号化パーティションの作成 (済)
・バックアップソフトウェアの選択とバックアップ実行

関連記事

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

ざっぱー

Author:ざっぱー
(この画像について)

当ブログについて
メール
(このメールアドレスへの特定電子メール (迷惑メール) の送信はお断りします)

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。