暗号化された論理ボリューム
論理ボリューム (LV) を暗号化することで、ハード・ディスクの紛失や盗難によるデータ漏えいや、コンピューターが適切に廃棄されなかったことによるデータ漏えいを防ぐことができます。 基本オペレーティング・システムにおいて入出力操作時に LV データの暗号化および暗号化解除が行われます。 ファイルシステム・インターフェースまたは論理ボリューム・デバイス・インターフェースを使用して入出力操作を実行するアプリケーションは、保護されたデータを変更なしで使用できます。
LV データを暗号化するには、以下のファイルセットをインストールする必要があります。 以下のファイルセットは基本オペレーティング・システムに含まれています。
- bos.hdcrypt
- bos.kmip_client
- bos.rte.lvm
- security.acf
- openssl.base
LV 暗号化の構成
IBM® AIX® 7.2 (テクノロジー・レベル 5 適用) 以降、hdcryptmgr コマンドを使用することで LV 暗号化操作をすべて管理できます。
暗号化された LV の制限
論理ボリュームが暗号化されている場合、以下のコマンドまたは機能はサポートされません。
- cplv コマンド
- cplv コマンドが論理ボリュームを作成するときに LV は暗号化されません。 回避策として、mkvg -k y コマンドを使用して、暗号化が有効になっている論理ボリュームを作成し、そのボリュームを初期化します。 次に、cplv コマンドを使用して、ソース LV のコンテンツを、暗号化が有効になっている LV にコピーします。
- splitvg コマンドおよび joinvg コマンド
- splitvg コマンドを使用すると、ミラーリングされたボリューム・グループ (VG) が 1 次 VG とスナップショット VG に分割されます。
プラットフォーム鍵ストア (PKS) 認証方式も鍵ファイル認証方式もスナップショット VG では使用できません。
ただし、これらの認証方式は 1 次 VG では使用できます。
1 次ボリューム・グループ内の論理ボリュームの認証方式は削除できません。 また、スナップショット VG 内の論理ボリュームの認証方式は追加も削除もできません。
- splitlvcopy コマンド
- splitlvcopy コマンドは、暗号化された論理ボリュームではサポートされません。
- chlvcopy コマンド
- chlvcopy コマンドは、暗号化された論理ボリュームではサポートされません。
- savevg コマンドおよび restvg コマンド
- savevg コマンドまたは restvg コマンドを使用するときは、VG レベルの暗号化オプションは保持されます。 ただし、savevg コマンドの実行時に LV レベルの暗号化オプションは保持されません。 そのため、restvg コマンドは暗号化オプションを有効にしないで論理ボリュームを作成し直します。 hdcryptmgr plain2crypt コマンドを使用すれば、リストアされた LV を、暗号化された LV に変換できます。
- snapshot コマンド
- 暗号化された LV を使用するファイルシステムのスナップショットを作成する場合、および宛先 LV が存在しない場合は、暗号化が有効になっていない LV が作成されます。 データを宛先 LV にコピーするには、ソース LV をアンロックする必要があります。
- 並行モード
- ボリューム・グループが並行モードでオンに変更されているときは、LV 暗号化機能はサポートされません。
- ブート区画
- ブート区画を含む VG については、LV 暗号化はサポートされません。
- AIX Live Update
- 論理ボリューム暗号化が有効になっている場合は、Live Update 操作はサポートされません。
暗号化された LV に関するファイルシステム考慮事項
暗号化された LV に関連付けられているファイルシステムを作成または変更するときは、以下の項目を考慮してください。
- 暗号化された LV 上にファイルシステムを作成またはマウントするときは、その暗号化された LV がアンロックされていて活動化されていることを確認します。
- 暗号化された LV (ネットワーク・ファイルシステム (NFS) /etc/exports ファイルを使用してファイルシステムをホストしている) がシステム・ブート時にアンロックされていない場合、そのファイルシステムのマウント操作は失敗し、/etc/exports ファイルの物理ファイルシステムのテーブルは更新されません。 暗号化された LV がアンロックされて、ファイルシステムがマウントされた後で、exportfs-a コマンドを実行して /etc/exports ファイルを更新できます。
- 拡張ジャーナル・ファイルシステム (JFS2) では、複数のファイルシステムにわたって単一のログ・デバイスを使用できます。 そのログ・デバイスが複数のファイルシステム間で共有されている場合、およびファイルシステムで使用される LV が暗号化されている場合は、ファイルシステムをマウントする前に LV をアンロックする必要があります。