hdcryptmgr コマンド
目的
論理ボリューム (LV) の暗号管理を提供します。
構文
hdcryptmgr action [-h] [flags] devicename
説明
IBM® AIX® 7.2 (テクノロジー・レベル 5 適用) 以降、action パラメーターを指定して hdcryptmgr コマンドを実行し、以下のいずれかの操作を行うことができます。
操作 | action パラメーター | 説明 |
---|---|---|
暗号化設定の表示 | showvg | ボリューム・グループのデータ暗号化状況を表示します。 |
showlv | 論理ボリュームのデータ暗号化状況を表示します。 | |
showmd | 特定デバイスの暗号化メタデータを表示します。 | |
認証方式の制御 | authinit | 論理ボリュームでのデータ暗号化の 1 次鍵を初期化します。 |
authunlock または authunl | 論理ボリュームの 1 次鍵をアンロックするために、暗号化論理ボリュームに対する認証を行います。 | |
authadd | 他の認証方式を追加します。 | |
authcheck または authchk | 認証方式の妥当性を検査します。 | |
authdelete または authdel | 認証方式を削除します。 | |
プラットフォーム鍵ストア (PKS) 鍵の管理 | pksimport | プラットフォーム鍵ストア (PKS) 鍵をインポートします。 |
pksexport | PKS 鍵をエクスポートします。 | |
pksclean | PKS 鍵を削除します。 | |
pksshow | PKS 鍵の状況を削除します。 | |
論理ボリュームの暗号化状況の変換 | plain2crypt | 論理ボリュームでの暗号化を有効にし、論理ボリューム・データを暗号化します。 |
crypt2plain | 論理ボリューム・データを復号し、論理ボリュームでの暗号化を無効にします。 |
暗号化設定の表示
hdcryptmgr コマンドで以下のアクションを実行して、暗号化設定を表示できます。
- showvg
- 構文:
hdcryptmgr showvg [-h] [device]
- showlv
- 構文:
hdcryptmgr showlv [-h] [-v] device
- showmd
- 構文:
hdcryptmgr showmd [-h] [-v] device
認証方式の制御
論理ボリュームの暗号化機能は、パスフレーズ、鍵ファイル、鍵サーバー管理ソリューション (IBM Security Key Lifecycle Manager など)、およびプラットフォーム鍵ストア (PKS) といった鍵保護方式をサポートします。
パスフレーズと鍵ファイルの保護方式では、パスワードまたはパスフレーズを手動で指定することが必要です。
鍵サーバー管理と PKS の保護方式は、暗号化論理ボリュームを自動的にアンロックしてアクティブ化するために使用できます。
hdcryptmgr コマンドで以下のアクションを実行して、認証方式を制御できます。
- authinit
- 構文:
hdcryptmgr authinit [-h] [-e algo_detail] [-n name] device
- authadd
- 構文:
hdcryptmgr authadd [-h] [-t type [-m method_detail]] [-n name] device
- authdelete または authdel
- 構文:
hdcryptmgr authdelete [-h] [-t type [-m method_detail]] [-i index] [-n name] [-f] device
- authunlock または authunl
- 構文:
hdcryptmgr authunlock [-h] [-t type [-m method_detail]] [-A] device
- authcheck または authchk
- 構文:
hdcryptmgr authcheck [-h]
PKS 鍵の管理
プラットフォーム鍵ストア (PKS) は、IBM Power® System E950 の IBM PowerVM® ファームウェアです。 PKS 鍵保護方式は、暗号化 LV に追加できます。 以下の action パラメーターを使用して、認証用の PKS 鍵を管理できます。
- pksshow
- 構文:
hdcryptmgr pksshow [-h]
- pksclean
- 構文:
hdcryptmgr pksclean [-h] lvid
- pksexport
- 構文:
hdcryptmgr pksexport [-h] -p ExportFile device
- pksimport
- 構文:
hdcryptmgr pksimport [-h] -p ExportFile [device]
論理ボリュームの暗号化状況の変換
通常の論理ボリュームを暗号化論理ボリュームに、またその逆に変換することができます。
この変換操作は、アクティブでオンラインになっている論理ボリュームに対してのみ実行できます。
以下の action パラメーターを使用できます。
- plain2crypt
- 構文:
hdcryptmgr plain2crypt [-h] [-e algo_detail] [-n name] [-f] device
- crypt2plain
- 構文:
hdcryptmgr crypt2plain [-h] device
暗号化 LV のコマンドと機能の制限
LV が暗号化されている場合にサポートされない論理ボリュームのコマンドまたは機能について詳しくは、『論理ボリュームの暗号化』の『制限 (Limitations)』セクションを参照してください。
例
シナリオ: パスフレーズ鍵保護方式を使用して暗号化論理ボリュームを作成する- 暗号化を有効にしてボリューム・グループを作成します。
# mkvg -k y hdisk1 hdisk2 vg00
- サイズが 32 MB の暗号化 LV を作成します。
# mklv -k y vg00 32M mklv: Please run : # hdcryptmgr authinit lvname [..] to define LV encryption options. lv00
- 1 次鍵とパスフレーズ鍵保護方式を使用して、論理ボリューム上の暗号化構成を初期化します。
# hdcryptmgr authinit -n default lv00 Enter Passphrase: Confirm Passphrase: Password authentication method added successfully
- 暗号化を有効にしたボリューム・グループを作成し、サイズが 32 MB の論理ボリュームを作成し、論理ボリュームの暗号化構成を初期化します。
# mkvg -k y hdisk1 hdisk2 vg00 # mklv -t jfs2 -k y vg00 32M mklv: Please run : # hdcryptmgr authinit lvname [..] to define LV encryption options. fslv00 # hdcryptmgr authinit -n default fslv00 Enter Passphrase: Confirm Passphrase: Password authentication method added successfully
- 通常の論理ボリュームでの作成と同様に、暗号化論理ボリュームでファイルシステムを作成します。
# crfs -v jfs2 -d fslv00 -m /mnt/myfs -A no File system created successfully. 32560 kilobytes total disk space. New File System size is 65536
ボリューム・グループがオフに変更されるか、システムが再始動されると、暗号化 LV に対する認証は期限切れになります。 そのデータにアクセスするには、暗号化 LV に対する認証を行う必要があります。 暗号化 LV の構成済み鍵保護方式を使用してください。 暗号化が有効になっている LV を認証するには、以下の手順に従ってください。
- VG をオンに変更します。
# varyonvg vg00 varyonvg: 1 encrypted LV defined in VG vg00. To check if a LV is encrypted and if it is unlocked, use: hdcryptmgr showlv vgname or hdcryptmgr showlv lvname In order to unlock a LV, use: hdcryptmgr authunlock lvname
- パスフレーズ鍵保護方式を使用して認証を行います。
# hdcryptmgr authunlock -t pwd fslv00 Enter Passphrase: Password authentication succeeded
ファイル
- /usr/sbin/hdcryptmgr
- hdcryptmgr コマンドが入っています。