暗号化された論理ボリューム
ビジネス・データおよび個人データを保護するために、 IBM® AIX® 7.2 (テクノロジー・レベル 5) 以降、論理ボリューム・マネージャー (LVM) は論理ボリューム (LV) レベルでデータ暗号化をサポートします。 この機能を使用すると、保存データを暗号化して、ハード・ディスクの紛失や盗難によるデータ・エクスポージャーや、コンピューターの不適切な使用によるデータ・エクスポージャーを保護することができます。 保存データという用語は、任意のデジタル形式で物理的に保管される非アクティブ・データを指します。
各 LV は固有キーで暗号化されます。 論理ボリューム・データは、物理ボリュームに書き込まれる前に暗号化されます。 このデータは、物理ボリュームから読み取られるときに復号されます。 デフォルトでは、データ暗号化は論理ボリュームでは無効になっています。 論理ボリューム・レベルでデータ暗号化オプションを有効にする前に、ボリューム・グループ・レベルでデータ暗号化オプションを有効にする必要があります。
LV 暗号化では、論理ボリュームごとに 1 つのデータ暗号鍵が作成されます。 データ暗号鍵は、他のデータ・ストレージ・デバイスに個別に保管することによって保護されます。 以下のタイプの鍵保護方式がサポートされています。
- パラフレーズ
- キー・ファイル
- 暗号鍵サーバー
- プラットフォーム鍵ストア (PKS) ( IBM Power ® System FW950の IBM PowerVM® ファームウェアで使用可能)
以下のセクションでは、LV 暗号化機能について詳しく説明します。
LV 暗号化の利点
暗号化ファイル・システム (EFS) は、ファイル・システム・レベルでデータ暗号化を提供します。 EFS は、データ暗号鍵をファイル・レベルで管理し、各ユーザーのデータ暗号鍵を保護します。 ファイル・システム暗号化および選択ファイル暗号化の細かい制御の複雑さを回避したい場合は、以下の利点を持つデータの論理ボリューム暗号化を選択することができます。
- データ所有者が暗号鍵を制御します。
- ネットワークを介して送信されるデータ (ファイバー・チャネルまたはイーサネット) は暗号化され、保護されます。 これらの特性は、クラウド環境でホストされる仮想サーバーにとって重要です。
LV 暗号化アーキテクチャーについて詳しくは、ブログ AIX 72 TL5: Logical Volume Encryption を参照してください。
- LV 暗号化の強化
- AIX 7.3以降、LV 暗号化機能に以下の機能拡張が追加されました。
- ブート・プロセスで使用されるルート・ボリューム・グループ (rootvg) の LV を暗号化できます。 基本オペレーティング・システムのインストール時に LV 暗号化オプションを選択する必要があります。 詳しくは、『BOS インストール・オプション』を参照してください。
- 基本オペレーティング・システムをインストールした後、 hdcryptmgr 変換コマンドを使用して、LV の暗号化設定を変更できます。 ただし、rootvg の LV の変換は、ユーザー・ボリューム・グループの LV の変換とは異なります。 hdcryptmgr 変換コマンドを実行して rootvg の LV の暗号化ステータスを変更する場合、hdcryptmgr コマンドは変換リカバリー・データを保管する LV を作成します。 hdcryptmgr 変換コマンドを実行して、ユーザー・ボリューム・グループ内の LV の暗号化状況を変更すると、 hdcryptmgr コマンドは、 /var/hdcrypt ディレクトリーにあるファイルに変換リカバリー・データを保管します。 したがって、変換を正常に行うには、rootvg に少なくとも 1 つの空き論理区画がなければなりません。 暗号化の変換状況が成功すると、変換リカバリー・データを含む LV が削除されます。
- rootvg がオンに変更されると、ネットワークは使用できなくなります。 そのため、ブート・プロセスで使用される LV では、プラットフォーム鍵ストア (PKS) 認証方式が使用できる必要があります。 rootvg 内の暗号化された LV に対して PKS 認証方式を使用できない場合、LV はロックされたままであるため、後で明示的にアンロックされるまでアクセスできません。 また、ブート・プロセスで使用される rootvg の LV から有効な PKS 認証方式を削除することはできません。 ブート・プロセスで使用される非暗号化 LV を暗号化された LV に変換する場合、PKS 認証方式が自動的に LVに追加されます。 PKS 認証方式が使用できる、またはブート・プロセスで使用される暗号化された LV が破損している場合は、通常のブート操作を再開する前に、オペレーティング・システムを保守モードでブートし、PKS 認証方式を修復する必要があります。
- コマンド cplv、 splitvg、 splitlvcopyは、LV 暗号化をサポートするように拡張されています。 chlvcopy、 snapshot、 savevg、 および restvg
- 同時実行モードで LV を暗号化できます。 同時実行モードのノードで LV の暗号化ステータスを変更すると、暗号化変換が完了するまで他のノードにアクセスできません。
- AIX 7.3 TL1 は、 Hyper Protect Crypto Services (HPCS) for AIX 論理ボリューム暗号化をサポートします。 AIXで HPCS を使用するには、 Power Systems Virtual Serverをプロビジョンする必要があります。 keysvrmgr コマンドは、統合を管理するためのオプションを提供します。
LV 暗号化コマンド
以下のコマンドを使用して、暗号鍵および鍵サーバー情報を管理できます。
- hdcryptmgr コマンド
- hdcryptmgr ユーティリティーは、論理ボリュームおよびボリューム暗号化情報の表示、認証の制御、およびその他の多くの機能などのタスクを含む、暗号化された LV を管理します。 ユーティリティーとそのヘルプ・メッセージは、階層的かつ自明な方法で作成されます。 以下のスニペットは、コマンドの使用法の要約を示しています。 詳細なマニュアル・ページについては、 hdcryptmgr コマンドを参照してください。
# hdcryptmgr -h Usage: hdcryptmgr <action> <..options..> Display : showlv : Displays LV encryption status showvg : Displays VG encryption capability showpv : Displays PV encryption capability showmd : Displays encryption metadata related to device showconv : Displays status of all active and stopped conversions Authentication control : authinit : Initializes master key for data encryption authunlock : Authenticates to unlock master key of the device authadd : Adds additional authentication methods authcheck : Checks validity of an authentication method authdelete : Removes an authentication method authsetrvgpwd : Adds "initpwd" passphrase method to all rootvg's LVs PKS management : pksimport : Import the PKS keys pksexport : Export the PKS keys pksclean : Removes a PKS key pksshow : Displays PKS keys status Conversion : plain2crypt : Converts a LV to encrypted crypt2plain : Converts a LV to not encrypted PV encryption management : pvenable : Enables the Physical Volume Encryption pvdisable : Disables the Physical Volume Encryption pvsavemd : Save encrypted physical volume metadata to a file pvrecovmd : Recover encrypted physical volume metadata from a file - keysvrmgr コマンド
- 鍵サーバー方式の場合、 keysvrmgr ユーティリティーを使用して、鍵サーバーのホスト名または IP アドレス、接続ポート、認証ロケーションなどの鍵サーバー情報に関連付けられたオブジェクト・データ・マネージャー (ODM) エントリーを管理できます。 以下のスニペットは、コマンドの使用法の要約を示しています。 詳細なマニュアル・ページについては、 keysvrmgr コマンドを参照してください。
# keysvrmgr -h Usage: keysvrmgr <action> [-h] -t <server_type> <options> server_name Manage ODM data for key server and HPCS. <action> is one of the following: add : Add a new key server or HPCS to ODM. modify : Modify a key server or HPCS ODM record. remove : Remove a keyserver or HPCS ODM record. show : Display key server or HPCS ODM records. verify : Verify a HPCS ODM record (HPCS only). rekey : Generate a new API key for a HPCS ODM record (HPCS only). <server_type> is one of the following: keyserv : For (KMIP compliant) key management server. hpcs : For IBM Cloud Hyper Protect Crypto Services. For more details on <options> run : keysvrmgr <action> -h
LV 暗号化を使用するための前提条件
- AIX 7.2.5 以降を使用して、論理ボリュームを暗号化します。
- LV データを暗号化するには、以下のファイルセットをインストールする必要があります。 これらのファイルセットは、基本オペレーティング・システムに含まれています。
- bos.hdcrypt
- bos.kmip_client
- bos.rte.lvm
- security.acf
- openssl.base
- oss.lib.libcurl
- oss.lib.libjson-c
注: bos.hdcrypt ファイルセットおよび bos.kmip_client ファイルセットは、 smit update_all コマンドの実行時またはオペレーティング・システムの移行操作時には自動的にインストールされません。 DVD や ISO イメージなどのソフトウェア・ソースとは別にインストールする必要があります。
暗号化論理ボリュームの作成と認証
暗号化論理ボリュームを作成するには、以下の手順を実行します。
- 暗号化対応ボリューム・グループを作成します。
- 暗号化対応の論理ボリュームを作成します。
- 論理ボリュームの 1 次暗号鍵を認証します。
- 暗号化対応ボリューム・グループの作成
- 暗号化対応ボリューム・グループを作成するには、以下の手順を実行します。
- 以下のコマンドを実行して、データ暗号化オプションが有効になっているボリューム・グループを作成します。
ここで、 testvg は新規ボリューム・グループの名前、 hdisk2 はボリューム・グループに使用される物理ボリュームです。mkvg -f -y testvg -k y hdisk2 - 以下のコマンドを実行して、新規ボリューム・グループの詳細を確認します。
# lsvg testvg VOLUME GROUP: testvg VG IDENTIFIER: 00fb294400004c0000000176437c6663 VG STATE: active PP SIZE: 8 megabyte(s) VG PERMISSION: read/write TOTAL PPs: 637 (5096 megabytes) MAX LVs: 256 FREE PPs: 637 (5096 megabytes) LVs: 0 USED PPs: 0 (0 megabytes) OPEN LVs: 0 QUORUM: 2 (Enabled) TOTAL PVs: 1 VG DESCRIPTORS: 2 STALE PVs: 0 STALE PPs: 0 ACTIVE PVs: 1 AUTO ON: yes MAX PPs per VG: 32512 MAX PPs per PV: 1016 MAX PVs: 32 LTG size (Dynamic): 512 kilobyte(s) AUTO SYNC: no HOT SPARE: no BB POLICY: relocatable PV RESTRICTION: none INFINITE RETRY: no DISK BLOCK SIZE: 512 CRITICAL VG: no FS SYNC OPTION: no CRITICAL PVs: no ENCRYPTION: yes - 以下のコマンドを実行して、オンに変更されたボリューム・グループの暗号化状態を確認します。
# hdcryptmgr showvg VG NAME / ID ENCRYPTION ENABLED testvg yes rootvg no - 以下のコマンドを実行して、ボリューム・グループの暗号化メタデータを確認します。
# hdcryptmgr showmd testvg ..... ..... Mon Dec 7 21:19:00 2020 ..... Device type : VG ..... Device name : testvg ..... =============== B: VG HEADER ================ Version : 0 Timestamp : Mon Dec 7 21:16:04 2020 Default data crypto algorithm: AES_XTS Default MasterKey size : 16 bytes Auto-auth (during varyonvg) : Enabled =============== E: VG HEADER ================ =============== B: VG TRAILER =============== Timestamp : Mon Dec 7 21:16:04 2020 =============== E: VG TRAILER ===============
- 以下のコマンドを実行して、データ暗号化オプションが有効になっているボリューム・グループを作成します。
- 暗号化対応論理ボリュームの作成
- 暗号化対応の論理ボリュームを作成するには、以下の手順を実行します。
- 以下のコマンドを実行して、データ暗号化オプションが有効になっている論理ボリュームを作成します。
# mklv -k y -y testlv testvg 10 testlv mklv: Please run : hdcryptmgr authinit lvname [..] to define LV encryption options. - 以下のコマンドを実行して、新規ボリューム・グループの詳細を確認します。
# lslv testlv LOGICAL VOLUME: testlv VOLUME GROUP: testvg LV IDENTIFIER: 00fb294400004c0000000176437c6663.1 PERMISSION: read/write VG STATE: active/complete LV STATE: closed/syncd TYPE: jfs WRITE VERIFY: off MAX LPs: 512 PP SIZE: 8 megabyte(s) COPIES: 1 SCHED POLICY: parallel LPs: 10 PPs: 10 STALE PPs: 0 BB POLICY: relocatable INTER-POLICY: minimum RELOCATABLE: yes INTRA-POLICY: middle UPPER BOUND: 32 MOUNT POINT: N/A LABEL: None MIRROR WRITE CONSISTENCY: on/ACTIVE EACH LP COPY ON A SEPARATE PV ?: yes Serialize IO ?: NO INFINITE RETRY: no PREFERRED READ: 0 ENCRYPTION: yes - 以下のコマンドを実行して、論理ボリュームの認証状態を確認します。
# hdcryptmgr showlv testlv LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes no 100 done
- 以下のコマンドを実行して、データ暗号化オプションが有効になっている論理ボリュームを作成します。
- 論理ボリュームの 1 次暗号鍵の認証
- 論理ボリュームの 1 次暗号鍵を認証するには、以下の手順を実行します。
- 以下のコマンドを実行して、暗号化された論理ボリュームの 1 次キーを初期化します。 論理ボリュームは、最初のパスフレーズ・メソッドが初期化されるまでアクセスできません。
# hdcryptmgr authinit testlv Enter Passphrase: Confirm Passphrase: Passphrase authentication method with name "initpwd" added successfully. - 以下のコマンドを実行して、論理ボリュームの認証状況と認証方式を確認します。
# hdcryptmgr showlv testlv -v LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes yes 100 done -- Authentication methods ------------ INDEX TYPE NAME #0 Passphrase initpwd - 以下のコマンドを実行して、ボリューム・グループをオフに構成変更し、オンに構成変更します。
# varyoffvg testvg # varyonvg testvg - 以下のコマンドを実行して、論理ボリュームの認証状況を確認します。
この出力は、論理ボリューム testlv が認証されていないことを示しています。# hdcryptmgr showlv testlv LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes no 100 done - 次のコマンドを実行して、論理ボリュームの認証をアンロックします。
# hdcryptmgr authunlock testlv Enter Passphrase: Passphrase authentication succeeded. - 以下のコマンドを実行して、論理ボリュームの認証状態を確認します。
# hdcryptmgr showlv testlv LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes yes 100 done
- 以下のコマンドを実行して、暗号化された論理ボリュームの 1 次キーを初期化します。 論理ボリュームは、最初のパスフレーズ・メソッドが初期化されるまでアクセスできません。
プラットフォーム鍵ストア (PKS) 認証方式の追加
プラットフォーム鍵ストア (PKS) 認証方式を追加するには、以下のステップを実行します。
- 以下のコマンドを実行して、LPAR PKS 状況を確認します。
# hdcryptmgr pksshow 3020-0349 PKS is not supported or PKS is not activated. 3020-0218 hdcrypt driver service error. QUERY_PKS service failed with error 124: An attempt was made to set an attribute to an unsupported value.この例の出力は、PKS が活動化されていないことを示しています。 論理区画の鍵ストア・サイズは、デフォルトで 0 に設定されます。
- LPAR をシャットダウンし、関連する HMC の鍵ストア・サイズを増やしてください。 鍵ストア・サイズは、4 KB から 64 KB の範囲です。 LPAR がアクティブな場合、鍵ストア・サイズの値を変更することはできません。
- 以下のコマンドを実行して、LPAR PKS 状況を再度確認します。
# hdcryptmgr pksshow PKS uses 32 bytes on a maximum of 4096 bytes. PKS_Label (LVid) Status PKS_Label (objects) - 以下のコマンドを実行して、PKS 認証方式を論理ボリュームに追加します。
# hdcryptmgr authadd -t pks -n pks1 testlv PKS authentication method with name "pks1" added successfully. - 以下のコマンドを実行して、論理ボリュームの暗号化状況を確認します。
# hdcryptmgr showlv testlv -v LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes yes 100 done -- Authentication methods ------------ INDEX TYPE NAME #0 Passphrase initpwd #1 PKS pks1 - 以下のコマンドを実行して、PKS 状況を確認します。
# hdcryptmgr pksshow PKS uses 116 bytes on a maximum of 4096 bytes. PKS_Label (LVid) Status 00fb294400004c0000000176437c6663.1 VALID KEY PKS_Label (objects)PKS は、 varyonvg コマンドが論理ボリュームの認証を自動的にアンロックすることを意味する自動認証方式です。
- 次のコマンドを実行して、ボリューム・グループをオフに変更します。
# varyoffvg testvg - 以下のコマンドを実行して、PKS 状況を確認します。
# hdcryptmgr pksshow PKS uses 116 bytes on a maximum of 4096 bytes. PKS_Label (LVid) Status 00fb294400004c0000000176437c6663.1 UNKNOWN PKS_Label (objects) - 次のコマンドを実行して、ボリューム・グループをオンに変更します。
# varyonvg testvg - 以下のコマンドを実行して、論理ボリュームの暗号化状況を確認します。
# hdcryptmgr showlv testlv LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes yes 100 done
鍵サーバー認証方式の追加
任意の Key Management Interoperability Protocol (KMIP) 準拠の鍵管理サーバーを使用して、このタイプの認証方式を使用できます。 この例では、 AIX 論理区画がインストールされ、 IBM Security Key Lifecycle Manager (SKLM) V4.0 for AIXで構成されています。 Security Key Lifecycle Manager 鍵は、暗号鍵サーバーとして使用されます。
鍵サーバー認証方式を追加するには、以下のステップを実行します。
- 以下のコマンドを実行して、LPAR 内の鍵サーバーを確認します。
# keysvrmgr show 3020-0279 No key server in database - 次のコマンドを実行して、 keyserver1 という名前の暗号鍵サーバーを追加します。
# keysvrmgr add -i 9.X.X.X -s /tmp/sklm_cert.cer -c /tmp/ssl_client_cer.p12 keyserver1 Key server keyserver1 successfully added - 以下のコマンドを実行して、LPAR 内の鍵サーバーを再度確認します。
# keysvrmgr show List of key servers: ID PWD IP:PORT keyserver1 N 9.X.X.X:5696 - 以下のコマンドを実行して、 ODM KeySvr オブジェクト・クラスに保存されている暗号鍵サーバー情報を確認します。
# odmget KeySvr KeySvr: keysvr_id = "keyserver1" ip_addr = "9.X.X.X" port = 5696 svr_cert_path = "/tmp/sklm_cert.cer" cli_cert_path = /tmp/ssl_client_cer.p12 " flags = 0 - 以下のコマンドを実行して、鍵サーバー認証方式を論理ボリュームに追加します。
# hdcryptmgr authadd -t keyserv -n key1_testlv -m keyserver1 testlv Keyserver authentication method with name "key1_testlv" added successfully. - 以下のコマンドを実行して、論理ボリュームの暗号化状況を確認します。
#hdcryptmgr showlv -v testlv LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes yes 100 done -- Authentication methods ------------ INDEX TYPE NAME #0 Passphrase initpwd #1 PKS pks1 #2 Keyserver key1_testlv
鍵ファイル認証方式の追加
鍵ファイル認証方式を追加するには、以下のステップを実行します。
- 以下のコマンドを実行して、パスフレーズ・テキストを含む testfile という名前のファイルを作成します。
# cat /testfile Add1ng Key f1le authent1cation meth0d - 以下のコマンドを実行して、鍵ファイル認証方式を論理ボリュームに追加します。
# hdcryptmgr authadd -t keyfile -n key1_file -m /testfile testlv Keyfile authentication method with name "key1_file" added successfully. - 以下のコマンドを実行して、 testfile ファイルの内容を確認します。
# cat /testfile Add1ng Key f1le authent1cation meth0d 00fb294400004c0000000176437c6663.1 xdxKjlJvZU+f9lFTgSM63kGoIoKW6Yxc+bKrk5GgCzc= - 以下のコマンドを実行して、論理ボリュームの暗号化状況を確認します。
# hdcryptmgr showlv testlv -v LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes yes 100 done -- Authentication methods ------------ INDEX TYPE NAME #0 Passphrase initpwd #1 PKS pks1 #2 Keyserver key1_testlv #3 Keyfile key1_file
パスフレーズ認証方式の追加
パスフレーズ認証方式を追加するには、以下の手順を実行します。
- 以下のコマンドを実行して、パスフレーズ認証方式を論理ボリュームに追加します。
# hdcryptmgr authadd -t pwd -n test_pwd testlv Enter Passphrase: Confirm Passphrase: Passphrase authentication method with name "test_pwd" added successfully. - 以下のコマンドを実行して、論理ボリュームの暗号化状況を確認します。
# hdcryptmgr showlv testlv -v LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes yes 100 done -- Authentication methods ------------ INDEX TYPE NAME #0 Passphrase initpwd #1 PKS pks1 #2 Keyserver key1_testlv #3 Keyfile key1_file #4 Passphrase test_pwd
ボリューム・グループのマイグレーション前の別の LPAR への PKS のマイグレーション
プラットフォーム鍵ストア (PKS) を別の LPAR にマイグレーションするには、以下の手順を実行します。
- 以下のコマンドを実行して、PKS 鍵を別のファイルにエクスポートします。
# hdcryptmgr pksexport -p /tmp/pksexp testvg Enter Passphrase: Confirm Passphrase: 1 PKS keys exported. - 次のコマンドを実行して、ボリューム・グループを別の LPAR にインポートします。
# importvg -y testvg hdisk2 - 以下のコマンドを実行して、論理ボリュームの暗号化状況を確認します。
# hdcryptmgr showlv testlv -v LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes yes 100 done -- Authentication methods ------------ INDEX TYPE NAME #0 Passphrase initpwd #1 PKS pks1 #2 Keyserver key1_testlv #3 Keyfile key1_file #4 Passphrase test_pwd - 以下のコマンドを実行して、認証方式が有効でアクセス可能かどうかを確認します。
# hdcryptmgr authcheck -n pks1 testlv 3020-0199 Key does not exist in PKS storage. 3020-0127 hdcryptmgr authcheck failed for LV testlv. - PKS 鍵ファイルを新規 LPAR に移動し、以下のコマンドを実行します。
# hdcryptmgr pksimport -p /tmp/pksexp testvg Enter Passphrase: 3020-0341 Key having LVid 00fb294400004c0000000176437c6663.1 is successfully imported in LV testlv. 1 PKS keys imported. - 以下のコマンドを実行して、認証方式が有効でアクセス可能かどうかを確認します。
# hdcryptmgr authcheck -n pks1 testlv PKS authentication check succeeded.
ボリューム・グループの暗号化ポリシーの変更
暗号化メタデータは、ボリューム・グループ内の各ディスクの末尾に保存されます。 ボリューム・グループの暗号化を有効にするには、ボリューム・グループ内の各ディスク上に空き物理区画が必要です。
- 以下のコマンドを実行して、ボリューム・グループのデータ暗号化オプションを変更します。
# chvg -k y testvg 0516-1216 chvg: Physical partitions are being migrated for volume group descriptor area expansion. Please wait. - 以下のコマンドを実行して、ボリューム・グループの詳細を確認します。
# lsvg testvg VOLUME GROUP: testvg VG IDENTIFIER: 00fb294400004c000000017648ff8d32 VG STATE: active PP SIZE: 8 megabyte(s) VG PERMISSION: read/write TOTAL PPs: 636 (5088 megabytes) MAX LVs: 256 FREE PPs: 506 (4048 megabytes) LVs: 1 USED PPs: 130 (1040 megabytes) OPEN LVs: 0 QUORUM: 2 (Enabled) TOTAL PVs: 1 VG DESCRIPTORS: 2 STALE PVs: 0 STALE PPs: 0 ACTIVE PVs: 1 AUTO ON: yes MAX PPs per VG: 32512 MAX PPs per PV: 1016 MAX PVs: 32 LTG size (Dynamic): 512 kilobyte(s) AUTO SYNC: no HOT SPARE: no BB POLICY: relocatable PV RESTRICTION: none INFINITE RETRY: no DISK BLOCK SIZE: 512 CRITICAL VG: no FS SYNC OPTION: no CRITICAL PVs: no ENCRYPTION: yes
論理ボリュームの暗号化ポリシーの変更
暗号化ポリシーを変更するには、以下の手順を実行します。
注: この機能は試験的な使用のみを目的としています。
- 以下のコマンドを実行して、論理ボリュームの暗号化を有効にします。
# hdcryptmgr plain2crypt testlv Enter Passphrase: Confirm Passphrase: Passphrase authentication method with name "initpwd" added successfully. Created recovery file : /var/hdcrypt/conv.004200021607542921 In case of error or if the conversion is canceled, this file may be necessary to be able to recover the LV. If the conversion is fully successful, then the file will be removed automatically Successfully converted LV testlv to an encrypted LV.このコマンドは以下の操作を実行します。- 論理ボリュームの暗号化ポリシーを有効にします。
- 暗号化された論理ボリュームのマスター鍵と暗号化メタデータを初期化します。
- 論理ボリューム内のデータを暗号化します。
- 以下のコマンドを実行して、論理ボリュームの詳細を確認します。
# lslv testlv LOGICAL VOLUME: testlv VOLUME GROUP: testvg LV IDENTIFIER: 00fb294400004c000000017648ff8d32.2 PERMISSION: read/write VG STATE: active/complete LV STATE: closed/syncd TYPE: jfs WRITE VERIFY: off MAX LPs: 512 PP SIZE: 8 megabyte(s) COPIES: 1 SCHED POLICY: parallel LPs: 10 PPs: 10 STALE PPs: 0 BB POLICY: relocatable INTER-POLICY: minimum RELOCATABLE: yes INTRA-POLICY: middle UPPER BOUND: 32 MOUNT POINT: N/A LABEL: None MIRROR WRITE CONSISTENCY: on/ACTIVE EACH LP COPY ON A SEPARATE PV ?: yes Serialize IO ?: NO INFINITE RETRY: no PREFERRED READ: 0 ENCRYPTION: yes - 以下のコマンドを実行して、論理ボリュームの暗号化状況を確認します。
# hdcryptmgr showlv testlv -v LV NAME CRYPTO ENABLED AUTHENTICATED ENCRYPTION (%) CONVERSION testlv yes yes 100 done -- Authentication methods ------------ INDEX TYPE NAME #0 Passphrase initpwd
ベスト・プラクティス
- 暗号化された論理ボリュームから作成されたファイルシステムのインライン・ログ・デバイスを使用します。
- ファイル・システムが外部ログ・デバイスを使用して作成され、ログ・デバイスが複数のファイル・システム間で共有されている場合は、ファイル・システムをマウントする前に、認証 (暗号化されたすべての論理ボリュームのhdcryptmgr authunlock) ) をアンロックします。
- 非 PKS 認証方式を使用して、スナップショット・ボリューム・グループの認証をアンロックします。
- cplv コマンドを使用して暗号化された論理ボリュームをコピーするには、暗号化が有効になっている論理ボリュームを作成し、その論理ボリュームを宛先論理ボリュームとして使用してソース論理ボリュームをコピーします。
LV 暗号化の制限
LV が暗号化されている場合、以下の LV コマンドまたは機能はサポートされません。
- AIX Live Update
- LV 暗号化が有効である場合、ライブ・アップデート操作はサポートされません。
- 入出力シリアライゼーション
- LV 暗号化変換の進行中は、入出力シリアライゼーションは保証されません。
LV 暗号化に関するファイル・システムの考慮事項
暗号化された LV に関連付けられたファイル・システムを作成または変更する場合は、以下の項目を考慮してください。
- 暗号化された LV 上にファイルシステムを作成またはマウントするときは、その暗号化された LV がアンロックされていて活動化されていることを確認します。
- 暗号化された LV (ネットワーク・ファイルシステム (NFS) /etc/exports ファイルを使用してファイルシステムをホストしている) がシステム・ブート時にアンロックされていない場合、そのファイルシステムのマウント操作は失敗し、/etc/exports ファイルの物理ファイルシステムのテーブルは更新されません。 暗号化された LV がアンロックされ、ファイル・システムがマウントされた後、 exportfs -a コマンドを実行して /etc/exports ファイルを更新できます。
- 拡張ジャーナル・ファイルシステム (JFS2) では、複数のファイルシステムにわたって単一のログ・デバイスを使用できます。 ログ・デバイスが複数のファイル・システムで共有されており、ファイル・システムによって使用される LV が暗号化されている場合、ファイル・システムをマウントする前に LV をアンロックする必要があります。