efsmgr コマンド

オンライン編集

目的

暗号化ファイルシステム (EFS) に対するファイルの暗号化と暗号化解除を管理します。

構文

efsmgr -?

efsmgr -Q (Q) [-v (V)]

efsmgr -C <暗号> [-v (V)]

エフスムGR [ 「-c」 <ファイル> ] -e (E) <ファイル> [-v (V)]

エフスムGR [ 「-c」 <暗号> ] [ -s ] -E (E) <ディレクトリー> [-v (V)]

エフスムGR [ 「-c」 <暗号> ] T <ファイル> [-v (V)]

エフスムGR [ 「-c」 <暗号> ] [ -s ] -T (T) <ディレクトリー> [-v (V)]

efsmgr -d 年 <ファイル> [-v (V)]

エフスムGR [ -s ] -D <ディレクトリー> [-v (V)]

efsmgr - <ファイル> [-v (V)]

エフスムGR [ -s ] -L (L) < ディレクトリー> [-v (V)]

efsmgr -a 値 <ファイル> [ -ウー <ユーザー> | - <グループ> ] [-v (V)]

efsmgr - <ファイル> [ -ウー <ユーザー> | - <グループ> ] [-v (V)]

説明

efsmgr コマンドは、EFS でのファイルの暗号化の管理専用です。 暗号化ファイルは、EFS が使用可能な JFS2 ファイルシステムでのみ作成できます。 システムで EFS を使用可能にする方法について詳しくは、 mkfschfscrfs、および efsenable コマンドを参照してください。

暗号化ファイルを作成する方法は 2 通りあります。1 つは次のコマンドを使用して明示的に作成する方法、もう 1 つはファイルが作成されるファイルシステムまたはディレクトリーに継承が設定されたときに暗黙的に作成する方法です。
efsmgr -e <file>

継承がディレクトリーに設定された場合、このディレクトリー内で作成された新規ファイルはすべてデフォルトで暗号化されます。 ファイルの暗号化に使用される暗号は、継承された暗号です。 新規ディレクトリーもまた同じ暗号を継承します。 サブディレクトリーで継承が使用不可の場合、このサブディレクトリー内で作成された新規ファイルは暗号化されません。

継承がファイルシステムに設定された場合、このファイルシステム内で作成された新規ファイルはすべて継承された暗号を使用して暗号化されます。 継承が異なる暗号を使用してディレクトリーとファイルシステムの両方で設定された場合、このディレクトリー内で作成された新規ファイルは、ディレクトリーから継承された暗号を使用して暗号化されます。

ディレクトリーまたはファイルシステムで継承を設定したり除去しても、既存のファイルには影響がありません。 efsmgr コマンドは、ファイルの暗号化または暗号化解除には暗黙的に使用する必要があります。

暗号ファイルを作成する場合は、事前にファイル所有者の秘密鍵をこの処理にロードしなければなりません。 暗号化ファイルへのアクセス権限は、鍵ストアを持つユーザーまたはグループに付与されます。鍵ストアとは、EFS セキュリティー情報を含む鍵リポジトリーです。 ユーザー・リポジトリーおよびグループ・リポジトリーの管理について詳しくは、 ESSKEYMGR コマンドを参照してください。

暗号ファイルが開くとき、任意アクセス制御 (DAC) とアクセス制御リスト (ACL) のファイル・アクセス権がチェックされます。 アクセス権が付与されている場合、この処理用にカーネルにロードされた鍵から、ファイルの保護鍵のいずれかと一致する秘密鍵が検索されます。 一致する鍵が見つかった場合は、ファイルの内容を読み取ることができます。見つからなかった場合は、アクセスが拒否されます。

注: この EFS コマンドでは、デフォルト設定である役割ベースのアクセス制御 (RBAC) がシステム上で有効になっている必要があります。

フラグ

項目 説明
「-c」 <暗号> この暗号は、継承された暗号またはデフォルトの暗号の代わりに使用します。 有効な 暗号 値については、 -Q (Q) コマンドを参照してください。
- <グループ> このグループは、EFS アクセス・リストに追加されるか、または EFS アクセス・リストから除去されます。 group 値は、gid またはグループ名です。
-s この操作のターゲットは、ディレクトリーではなくファイルシステムです。 この場合、dir パラメーターは、EFS サポートのあるファイルシステムのマウント・ポイントでなければなりません。
-ウー <ユーザー> このユーザーは、EFS アクセス・リストに追加されるか、または EFS アクセス・リストから除去されます。 user 値は、uid またはログイン名です。
-v 詳細モード。
-? コマンド・ヘルプと出口を表示します。
-a 値 <ファイル> -u フラグと -g フラグで指定したユーザーとグループのリストに対して、指定したファイルへのアクセスを追加します。
-C <暗号> ユーザーのデフォルト暗号を cipher 値に変更します。
-D <ディレクトリー> ディレクトリーで継承を除去します。 ファイルシステム全体にコマンドを適用するには、-s フラグを追加する必要があります。
-d 年 < ファイル> 指定したファイルの暗号化を解除します。
-E (E) <ディレクトリー> dir ディレクトリーに継承を設定します。 ファイルシステム全体にコマンドを適用するには、-s フラグを追加する必要があります。
-e (E) < ファイル> 指定したファイルを暗号化します。
-L (L) <ディレクトリー> 指定したディレクトリーで継承された暗号を表示します。
- <ファイル> 指定したファイルの暗号化情報をリストします (暗号、ファイルの暗号化を解除できる鍵)。
-q サポートされる暗号のリストを表示します。
- <ファイル> -u フラグと -g フラグで指定したユーザーとグループのリストに対して、指定したファイルへのアクセスを取り消します。
-T (T) <ディレクトリー> 指定したディレクトリーで継承された暗号を変更します。 ファイルシステム全体にコマンドを適用するには、-s フラグを追加する必要があります。
T <ファイル> 指定したファイルの暗号鍵をリフレッシュします。 これはファイルの暗号の変更にも使用できます。

終了状況

項目 説明
0 コマンドは正常に実行されました。
1 コマンドの実行中にエラーが発生しました。
※2 コマンド・ラインで構文エラーが発生しました。

  1. database.txt ファイルを強力な暗号を使用して暗号化するには、次のように入力します。
    efsmgr –e database.txt –c AES_256_CBC
  2. ファイルをオープンできる鍵のリストを表示するには、次のように入力します。
    efsmgr –l database.txt
  3. ユーザー joe とグループ maintainers へのアクセスをファイルに追加するには、次のように入力します。
    efsmgr –a database.txt –u joe –g maintainers
  4. ホーム・ディレクトリーのファイルシステムで継承を設定するには、次のように入力します。
    efsmgr –c AES_128_CBC –s –E /home

ファイル

項目 説明
/etc/security/user ユーザー用のデフォルトの暗号属性が入っています。