「Dm-crypt/スワップの暗号化」の版間の差分
(→mkinitcpio フック: 翻訳) |
Kusanaginoturugi (トーク | 投稿記録) (カテゴリの修正) |
||
| (2人の利用者による、間の7版が非表示) | |||
| 1行目: | 1行目: | ||
{{Lowercase title}} |
{{Lowercase title}} |
||
| − | [[Category: |
+ | [[Category:保存データ暗号化]] |
| − | [[Category:ファイルシステム]] |
||
[[en:Dm-crypt/Swap encryption]] |
[[en:Dm-crypt/Swap encryption]] |
||
| + | [[es:Dm-crypt (Español)/Swap encryption]] |
||
| + | [[pl:Dm-crypt (Polski)/Swap encryption]] |
||
| + | [[pt:Dm-crypt (Português)/Swap encryption]] |
||
| + | [[uk:Dm-crypt (Українська)/Swap encryption]] |
||
必要に応じて、以下で説明する様々な方法を使って[[スワップ]]パーティションを暗号化することができます。再起動時にスワップパーティションを (新しい暗号を使って) 初期化することで、過去にスワップアウトされた重要なファイルの断片がそのまま残ってしまうのを防ぐことができ、強固なデータの保護が可能になります。ただし、スワップを暗号化すると基本的にハイバネートが使えなくなってしまいます。 |
必要に応じて、以下で説明する様々な方法を使って[[スワップ]]パーティションを暗号化することができます。再起動時にスワップパーティションを (新しい暗号を使って) 初期化することで、過去にスワップアウトされた重要なファイルの断片がそのまま残ってしまうのを防ぐことができ、強固なデータの保護が可能になります。ただし、スワップを暗号化すると基本的にハイバネートが使えなくなってしまいます。 |
||
| 84行目: | 87行目: | ||
* [https://wiki.archlinux.jp/index.php/Dm-crypt/%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E8%A8%AD%E5%AE%9A#sd-encrypt_.E3.83.95.E3.83.83.E3.82.AF.E3.82.92.E4.BD.BF.E3.81.86 sd-encrypt] mkinitcpio フックで systemd ベースの initramfs を使用する場合は、追加の {{ic|rd.luks}} カーネルパラメーターを指定するだけでスワップパーティションのロックを解除できます。 |
* [https://wiki.archlinux.jp/index.php/Dm-crypt/%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E8%A8%AD%E5%AE%9A#sd-encrypt_.E3.83.95.E3.83.83.E3.82.AF.E3.82.92.E4.BD.BF.E3.81.86 sd-encrypt] mkinitcpio フックで systemd ベースの initramfs を使用する場合は、追加の {{ic|rd.luks}} カーネルパラメーターを指定するだけでスワップパーティションのロックを解除できます。 |
||
| − | === mkinitcpio フック === |
+ | ==== mkinitcpio フック ==== |
{{Note|このセクションは {{ic|encrypt}} フックを使用する場合にのみ適用され、シングルデバイスしかアンロックできません ({{Bug|23182}})。{{ic|sd-encrypt}} を使用することで複数のデバイスをアンロックできるようになりますが ([[Dm-crypt/システム設定#sd-encrypt フックを使う]]を参照)、スワップの自動認識は使えなくなります [https://github.com/systemd/systemd/issues/4878]。}} |
{{Note|このセクションは {{ic|encrypt}} フックを使用する場合にのみ適用され、シングルデバイスしかアンロックできません ({{Bug|23182}})。{{ic|sd-encrypt}} を使用することで複数のデバイスをアンロックできるようになりますが ([[Dm-crypt/システム設定#sd-encrypt フックを使う]]を参照)、スワップの自動認識は使えなくなります [https://github.com/systemd/systemd/issues/4878]。}} |
||
| 138行目: | 141行目: | ||
</nowiki>}} |
</nowiki>}} |
||
| − | 暗号化されたルートデバイスからキーファイルをロードしてスワップデバイスを開くため。 |
+ | 一部のコンピューターでは、復号化プロセスとデバイスの列挙が完了する前に mkinitcpio がデバイスをマウントしようとすると、競合状態が発生する場合があります。 コメント付きの ''オプション'' ブロックは、ルートデバイスをマウントする準備ができるまで、起動プロセスを最大2秒遅らせます。 (暗号化されたルートデバイスからキーファイルをロードしてスワップデバイスを開くため。) |
| − | |||
| − | 一部のコンピューターでは、復号化プロセスとデバイスの列挙が完了する前に mkinitcpio がデバイスをマウントしようとすると、競合状態が発生する場合があります。 コメント付きの ''オプション'' ブロックは、ルートデバイスをマウントする準備ができるまで、起動プロセスを最大2秒遅らせます。 |
||
{{Note|スワップがソリッドステートドライブ (SSD) 上にあり Discard/TRIM を使用する場合、{{ic|--allow-discards}} オプションを上記の openswap フックの cryptsetup 行に追加する必要があります。discard について詳しくは [[Dm-crypt/特記事項#ソリッドステートドライブ (SSD) の Discard/TRIM のサポート]]や [[SSD]] の記事を見てください。さらに 'discard' オプションをスワップデバイスの fstab エントリに追加してください。}} |
{{Note|スワップがソリッドステートドライブ (SSD) 上にあり Discard/TRIM を使用する場合、{{ic|--allow-discards}} オプションを上記の openswap フックの cryptsetup 行に追加する必要があります。discard について詳しくは [[Dm-crypt/特記事項#ソリッドステートドライブ (SSD) の Discard/TRIM のサポート]]や [[SSD]] の記事を見てください。さらに 'discard' オプションをスワップデバイスの fstab エントリに追加してください。}} |
||
| 158行目: | 159行目: | ||
</nowiki>}} |
</nowiki>}} |
||
| − | {{ic|/etc/mkinitcpio.conf}} の {{ic|HOOKS}} 配列 |
+ | フック {{ic|openswap}} を {{ic|/etc/mkinitcpio.conf}} の {{ic|HOOKS}} 配列の {{ic|filesystem}} の前で {{ic|encrypt} の後に追加します}} {{ic|openswap}} の後に {{ic|resume}} フックを追加することを忘れないでください。 |
| − | <nowiki>HOOKS="... encrypt openswap resume filesystems ..."</nowiki> |
||
| + | HOOKS=(... encrypt openswap resume filesystems ...) |
||
| − | ブートイメージを再生成: |
||
| + | [https://wiki.archlinux.jp/index.php/Mkinitcpio#.E3.82.A4.E3.83.A1.E3.83.BC.E3.82.B8.E4.BD.9C.E6.88.90.E3.81.A8.E3.82.A2.E3.82.AF.E3.83.86.E3.82.A3.E3.83.99.E3.83.BC.E3.82.B7.E3.83.A7.E3.83.B3 イメージ作成とアクティベーション] |
||
| − | # mkinitcpio -p linux |
||
| + | |||
| + | 次の行を追加して、マップされたパーティションを{{ic | / etc / fstab}}に追加します。 |
||
| − | {{ic|/etc/fstab}} に以下の行を追加してマッピングされたパーティションを追加: |
||
/dev/mapper/swapDevice swap swap defaults 0 0 |
/dev/mapper/swapDevice swap swap defaults 0 0 |
||
| − | {{ic|/dev/mapper/swapDevice}} から再開するようにシステムを設定します。 |
+ | {{ic|/dev/mapper/swapDevice}} から再開するようにシステムを設定します。たとえば、カーネル休止状態をサポートする [[GRUB]] を使用する場合は、カーネルパラメータ {{ic|1=resume=/dev/mapper/swapDevice}} を {{ic|GRUB_CMDLINE_LINUX_DEFAULT}} に追加して、 GRUB に追加します。 {{ic|/etc/default/grub}} の変数。暗号化されたルートパーティションとスワップパーティションを持つカーネルラインは、次のようになります。 |
kernel /vmlinuz-linux cryptdevice=/dev/sda2:rootDevice root=/dev/mapper/rootDevice resume=/dev/mapper/swapDevice ro |
kernel /vmlinuz-linux cryptdevice=/dev/sda2:rootDevice root=/dev/mapper/rootDevice resume=/dev/mapper/swapDevice ro |
||
| + | 起動時に、 {{ic|openswap}} フックがスワップパーティションを開くので、カーネルレジュームがそれを使用できます。休止状態から再開するために特別なフックを使用する場合は、それらが {{ic|HOOKS}} 配列の '''後''' {{ic|openswap}} に配置されていることを確認してください。 initrd が swap を開くため、この場合、 {{ic|/etc/crypttab}} に swapDevice のエントリが必要ないことに注意してください。 |
||
| − | カーネルの更新時にパラメータを永続化するには、パラメータを {{ic|/etc/default/grub}} に追加します。 |
||
| − | |||
| − | 起動時に、 {{ic|openswap}} フックがスワップパーティションを開くので、カーネルレジュームがそれを使用できます。 休止状態から再開するために特別なフックを使用する場合は、それらが {{ic|HOOKS}} 配列の '''後''' {{ic|openswap}} に配置されていることを確認してください。 initrd が swap を開くため、この場合、 {{ic|/etc/crypttab}} に swapDevice のエントリが必要ないことに注意してください。 |
||
=== スワップファイルを使う === |
=== スワップファイルを使う === |
||
| − | スワップファイル |
+ | スワップファイルは、既存のパーティション内のスワップスペースを予約するために使用でき、暗号化されたブロックデバイスのパーティション内にセットアップすることもできます。 |
| − | |||
| − | {{Warning|[[Dm-crypt/ドライブの準備#Btrfs のサブボリューム|Btrfs]] はスワップファイルをサポートしていません。この警告を無視するとファイルシステムが壊れてしまう可能性があります。ループデバイスを使ってマウントすることで [[Btrfs#スワップファイル|Btrfs]] でスワップファイルを使うことはできますが、スワップのパフォーマンスが大分落ちます。}} |
||
| − | |||
| − | To create it, first choose a mapped partition (e.g. {{ic|/dev/mapper/rootDevice}}) whose mounted filesystem (e.g. {{ic|/}}) contains enough free space to create a swapfile with the desired size. |
||
| − | |||
| − | 選択したパーティションのマウントしたファイルシステムに[[スワップ#スワップファイルの作成|スワップファイルを作成]] (例: {{ic|/swapfile}}) してください。そして {{ic|swapon}} でスワップファイルを有効にして {{ic|/etc/fstab}} ファイルに追加してください。スワップファイルの前のコンテンツは再起動しても残るので注意してください。 |
||
| − | |||
| − | Set up your system to resume from your chosen mapped partition. For example, if you use [[GRUB]] with kernel hibernation support, add {{ic|resume<nowiki>=</nowiki>}}''your chosen mapped partition'' and {{ic|resume_offset<nowiki>=</nowiki>}}''see calculation command below'' to the kernel line in {{ic|/boot/grub/grub.cfg}}. A line with encrypted root partition can look like this: |
||
| − | |||
| − | kernel /vmlinuz-linux cryptdevice=/dev/sda2:rootDevice root=/dev/mapper/rootDevice resume=/dev/mapper/rootDevice resume_offset=123456789 ro |
||
| − | |||
| − | The {{ic|resume_offset}} of the swap-file points to the start (extent zero) of the file and can be identified like this: |
||
| − | |||
| − | # filefrag -v /swapfile | awk '{if($1=="0:"){print $4}}' |
||
| − | |||
| − | {{ic|resume}} フックを {{ic|etc/mkinitcpio.conf}} ファイルに追加して[[Mkinitcpio#イメージ作成とアクティベーション|イメージを再生成]]してください: |
||
| − | |||
| − | HOOKS="... encrypt '''resume''' ... filesystems ..." |
||
| + | [https://wiki.archlinux.jp/index.php/%E3%82%B9%E3%83%AF%E3%83%83%E3%83%97#.E3.82.B9.E3.83.AF.E3.83.83.E3.83.97.E3.83.95.E3.82.A1.E3.82.A4.E3.83.AB スワップファイル] のスワップファイル作成手順に従い、 [https://wiki.archlinux.jp/index.php/%E3%82%B5%E3%82%B9%E3%83%9A%E3%83%B3%E3%83%89%E3%81%A8%E3%83%8F%E3%82%A4%E3%83%90%E3%83%8D%E3%83%BC%E3%83%88#.E3.82.B9.E3.83.AF.E3.83.83.E3.83.97.E3.83.95.E3.82.A1.E3.82.A4.E3.83.AB.E3.81.AB.E3.83.8F.E3.82.A4.E3.83.90.E3.83.8D.E3.83.BC.E3.82.B7.E3.83.A7.E3.83.B3 スワップファイルにハイバネーション] に従って休止状態を設定します。 |
||
| − | USB キーボードを使って復号化パスワードを入力する場合、以下のように {{ic|encrypt}} フックの前に {{ic|keyboard}} モジュールが来るようにしてください。モジュールが後になっていると、復号化パスワードを入力できなくなってコンピュータを起動できなくなります ({{ic|keyboard}} を追加しても問題が起こる場合は {{ic|usbinput}} を試してみてください): |
||
| + | {{Note|スワップファイルから再開する場合、 {{ic|resume}} パラメータは、スワップファイルを含むファイルシステムを含むロック解除/マップされたデバイスを指している必要があります。}} |
||
| − | HOOKS="... '''keyboard''' encrypt ..." |
||
== 既知の問題 == |
== 既知の問題 == |
||
2024年6月8日 (土) 13:47時点における最新版
必要に応じて、以下で説明する様々な方法を使ってスワップパーティションを暗号化することができます。再起動時にスワップパーティションを (新しい暗号を使って) 初期化することで、過去にスワップアウトされた重要なファイルの断片がそのまま残ってしまうのを防ぐことができ、強固なデータの保護が可能になります。ただし、スワップを暗号化すると基本的にハイバネートが使えなくなってしまいます。
目次
suspend-to-disk を使用しない
suspend-to-disk (ハイバネーション) が必要ない場合、/etc/crypttab を設定することで plain dm-crypt を使って起動時にランダムなパスワードでスワップパーティションを復号化することができます。ランダムなパスワードはシャットダウン時に破棄されるため、スワップデバイス内のデータには二度とアクセスできなくなります。
/etc/crypttab の swap から始まる行をアンコメントするだけで機能を有効にできます。<device> パラメータはあなたの使用しているスワップデバイスの名前に変更してください。例:
/etc/crypttab
# <name> <device> <password> <options> swap /dev/sdX# /dev/urandom swap,cipher=aes-cbc-essiv:sha256,size=256
上記の設定で /dev/sdX# が /dev/mapper/swap にスワップパーティションとしてマッピングされ、通常のスワップと同じように /etc/fstab に追加できるようになります。既にスワップパーティションを使っていた場合、無効化するか fstab エントリを再利用してデバイスを /dev/mapper/swap に変更してください。大抵の場合はデフォルトのオプションで問題ありません。他のオプションやカラムの説明については man 5 crypttab および point cryptsetup FAQ 2.3 を見てください。
カーネルの命名の代わりに by-id による命名を使う場合、まずスワップデバイスを確認してください:
# ls -l /dev/disk/*/* | grep sdaX
lrwxrwxrwx 1 root root 10 Oct 12 16:54 /dev/disk/by-id/ata-WDC_WD2500BEVT-22ZCT0_WD-WXE908VF0470-partX -> ../../sdaX lrwxrwxrwx 1 root root 10 Oct 12 16:54 /dev/disk/by-id/wwn-0x60015ee0000b237f-partX -> ../../sdaX
そして出力された行の中から適切なデバイスを選択して以下のように設定してください:
/etc/crypttab
# <name> <device> <password> <options> swap /dev/disk/by-id/ata-WDC_WD2500BEVT-22ZCT0_WD-WXE908VF0470-partX /dev/urandom swap,cipher=aes-cbc-essiv:sha256,size=256
再起動後 swapon -s を実行することで任意のデバイスマッパーエントリ (例: /dev/dm-1) が表示され、lsblk コマンドで FSTYPE カラムの crypt が表示されます。起動時に新しく暗号化するため、/dev/mapper/swap の UUID は毎回変わります。
UUID と LABEL
/dev/sdX# あるいは /dev/disk/by-id/ata-SERIAL-partX などのシンプルなカーネルデバイス名で crypttab のスワップを使うのは危険です。デバイス名やパーティションレイアウトに少しでも変更があると /etc/crypttab は次回の起動時に重要なデータをフォーマットしてしまいます。PARTUUID を使用した場合も同じです。
正規の UUID またはLABELを指定することにより、正しいパーティションを識別する方が信頼性が高くなります。 デフォルトでは、 dm-crypt と mkswap がそのパーティションのコンテンツを上書きするだけで、UUID と LABEL も削除されるため、これは機能しません。 ただし、スワップオフセットを指定することは可能です。 これにより、スワップ暗号化用の永続的な UUID またはLABELを提供する以外の目的なしに、非常に小さく、空の、偽のファイルシステムを作成できます。
選択したラベルでファイルシステムを作成します:
# mkfs.ext2 -L cryptswap /dev/sdX# 1M
デバイス名の後の異常なパラメータは、ファイルシステムのサイズを 1 MiBに制限し、暗号化されたスワップの余地を残します。
# blkid /dev/sdX#
/dev/sdX#: LABEL="cryptswap" UUID="b72c384e-bd3c-49aa-b7a7-a28ea81a2605" TYPE="ext2"
これにより、 /dev/sdX# は、デバイス名やパーティション番号が将来どのように変更されるかに関係なく、 UUID または LABEL のいずれかで簡単に識別できるようになりました。 残っているのは、 /etc/crypttab と /etc/fstab のエントリだけです。
/etc/crypttab
# <name> <device> <password> <options> swap LABEL=cryptswap /dev/urandom swap,offset=2048,cipher=aes-xts-plain64,size=256
この設定を使用すると、 cryptswap は、デバイス名が何であるかに関係なく、対応する LABEL を持つパーティションのみを使用しようとします。 パーティションを他の目的で使用することにした場合、それをフォーマットすることにより、 cryptswap LABEL もなくなるため、 cryptswap は次回の起動時にパーティションを上書きしません。
suspend-to-disk を使用する
コンピュータをディスクにサスペンド (ハイバネート) して復帰できるようにするには、スワップ領域を残す必要があります。あらかじめ LUKS スワップパーティションを用意して、ディスクに保存するか起動時に手動で入力できるようにしなければなりません。
以下の3つの方法はハイバネートのためにスワップの暗号化を設定する方法です。以下の方法を使う場合、スワップアウトされたデータがしばらくスワップに残り続ける可能性があるため注意してください。システムをシャットダウンするときにスワップを再暗号化するシステムジョブを設定することでリスクを減らすことができます。
LVM on LUKS
スワップボリュームが initramfs でアクティブ化されるボリュームグループにある場合は、 ハイバネーションの指示に従ってください。
スワップパーティションの使用
暗号化されたスワップパーティションから再開するには、暗号化されたパーティションを initramfs でロック解除する必要があります。
- encrypt フックでデフォルトの busybox ベースの initramfs を使用する場合は、 #mkinitcpioフック の指示に従ってください。
- sd-encrypt mkinitcpio フックで systemd ベースの initramfs を使用する場合は、追加の
rd.luksカーネルパラメーターを指定するだけでスワップパーティションのロックを解除できます。
mkinitcpio フック
スワップデバイスがルートファイルシステムのデバイスとは異なるデバイス上にある場合、 encrypt フックによって開かれません。つまり、再開は /etc/crypttab の前に行われます。 を使用できるため、再開する前に、 /etc/mkinitcpio.conf にフックを作成して、スワップLUKSデバイスを開く必要があります。
現在使用中のパーティションを使いたい場合、先に無効化する必要があります:
# swapoff /dev/<device>
また、このデバイスを指す /etc/crypttab の行をすべて削除してください。
既存のスワップパーティションを再利用する場合、パーティションが GPT パーティションテーブルに載っているときはパーティションを削除してから再作成する必要があります。パーティショニングを見てください。削除することで systemd-gpt-auto-generator によって起動時にパーティションが有効にならないようにします。
次の設定には、起動のたびにスワップパーティションに追加のパスフレーズを手動で挿入する必要があるという欠点があります。
に従って gnupg で暗号化されたキーファイルを使用します。
スワップパーティションの暗号化されたコンテナをフォーマットするには、ユーザーが記憶できるパスフレーズのキースロットを作成します。
/dev/mapper にパーティションをオープン:
# cryptsetup open --type luks /dev/<device> swapDevice
マッピングされたパーティションにスワップファイルシステムを作成:
# mkswap /dev/mapper/swapDevice
起動時にスワップをオープンにするフックを作成する必要があります。mkinitcpio-openswapAUR をインストールして設定するか、以下の手順に従って下さい。open コマンドを記述したフックファイルを作成:
/etc/initcpio/hooks/openswap
run_hook ()
{
cryptsetup open --type luks /dev/<device> swapDevice
}
パスワードを入力してスワップデバイスを開くため、または:
/etc/initcpio/hooks/openswap
run_hook ()
{
## Optional: To avoid race conditions
x=0;
while [ ! -b /dev/mapper/<root-device> ] && [ $x -le 10 ]; do
x=$((x+1))
sleep .2
done
## End of optional
mkdir crypto_key_device
mount /dev/mapper/<root-device> crypto_key_device
cryptsetup open --type luks --key-file crypto_key_device/<path-to-the-key> /dev/<device> swapDevice
umount crypto_key_device
}
一部のコンピューターでは、復号化プロセスとデバイスの列挙が完了する前に mkinitcpio がデバイスをマウントしようとすると、競合状態が発生する場合があります。 コメント付きの オプション ブロックは、ルートデバイスをマウントする準備ができるまで、起動プロセスを最大2秒遅らせます。 (暗号化されたルートデバイスからキーファイルをロードしてスワップデバイスを開くため。)
次に、フック設定ファイルを作成して編集します:
/etc/initcpio/install/openswap
build ()
{
add_runscript
}
help ()
{
cat<<HELPEOF
This opens the swap encrypted partition /dev/<device> in /dev/mapper/swapDevice
HELPEOF
}
フック openswap を /etc/mkinitcpio.conf の HOOKS 配列の filesystem の前で encrypt} の後に追加します openswap の後に resume フックを追加することを忘れないでください。
HOOKS=(... encrypt openswap resume filesystems ...)
次の行を追加して、マップされたパーティションを / etc / fstabに追加します。
/dev/mapper/swapDevice swap swap defaults 0 0
/dev/mapper/swapDevice から再開するようにシステムを設定します。たとえば、カーネル休止状態をサポートする GRUB を使用する場合は、カーネルパラメータ resume=/dev/mapper/swapDevice を GRUB_CMDLINE_LINUX_DEFAULT に追加して、 GRUB に追加します。 /etc/default/grub の変数。暗号化されたルートパーティションとスワップパーティションを持つカーネルラインは、次のようになります。
kernel /vmlinuz-linux cryptdevice=/dev/sda2:rootDevice root=/dev/mapper/rootDevice resume=/dev/mapper/swapDevice ro
起動時に、 openswap フックがスワップパーティションを開くので、カーネルレジュームがそれを使用できます。休止状態から再開するために特別なフックを使用する場合は、それらが HOOKS 配列の 後 openswap に配置されていることを確認してください。 initrd が swap を開くため、この場合、 /etc/crypttab に swapDevice のエントリが必要ないことに注意してください。
スワップファイルを使う
スワップファイルは、既存のパーティション内のスワップスペースを予約するために使用でき、暗号化されたブロックデバイスのパーティション内にセットアップすることもできます。
スワップファイル のスワップファイル作成手順に従い、 スワップファイルにハイバネーション に従って休止状態を設定します。
既知の問題
- ログに "Stopped (with error) /dev/dm-1" と出力される場合 [4] を見てください。