Ubuntu でハードディスクを暗号化する手順ガイド
ディスク暗号化の実装は、機密データを保護する効果的な方法です。暗号化を実施しないと、強力なシステム パスワードであっても、別のオペレーティング システムによるファイルへの不正アクセスに対して不十分になる可能性があります。
暗号化により、読み取り可能なデータが暗号文と呼ばれる読み取り不可能な形式に変換されます。暗号文は特定のキーでのみ元の形式に復元できます。ほとんどの Linux ディストリビューションでは、セットアップ フェーズまたはインストール後にディスク全体の暗号化が可能です。
このガイドでは、初めてインストールする場合でも、すでに確立されているシステムに暗号化を追加する場合でも、Ubuntu 内でディスクを保護するプロセスについて説明します。
フルディスク暗号化について
フルディスク暗号化 (FDE) は、すべてのファイルと重要なシステム データをカバーし、ストレージ ドライブ全体を保護します。たとえば、起動時に、ユーザー アカウントにログインする前に、ドライブにアクセスするためのパスフレーズまたはキーを入力する必要があります。
セキュリティを最大限に高めるには、Linux のインストール プロセス中にディスク全体を暗号化するのが理想的です。これにより、システム パーティションとスワップ領域の両方が保護され、複雑な操作を必要とせずにスムーズに暗号化を実行できます。ただし、ディスク全体の暗号化は、特に古いマシンではパフォーマンスに若干影響する可能性があることに注意してください。
ディスク暗号化の利点と欠点
ハードドライブ全体を暗号化することは安全性の面で説得力がありますが、いくつかの課題も伴います。これらの利点と欠点を検討してみましょう。
ディスク暗号化の利点
- 強化されたプライバシー保護
- オペレーティングシステムとそのファイルへのアクセスは、暗号化キーを所有する者のみに制限されます。
- 政府機関やハッカーによる不正な監視を防止
ディスク暗号化の欠点
- 異なるディストリビューション上のLinuxファイルシステムとのやり取りは複雑で、実現不可能な場合もあります。
- 暗号化されたパーティションからのデータ復旧は不可能になる可能性がある
- 復号キーを紛失すると、データが永久に失われる可能性があります。
インストールの準備
Ubuntu の暗号化で最良の結果を得るには、インストール中にオペレーティング システム レベルでプロセスを開始します。アクティブな Ubuntu セットアップを暗号化するのは現実的ではないため、すべての重要なファイルを Dropbox、Google Drive、または外付けハード ドライブにバックアップしてください。その後、Ubuntu を再インストールする準備が整います。
まず、最新の Ubuntu バージョンをダウンロードし、最低 2GB の容量を持つ USB フラッシュ ドライブを準備します。
ライブ USB ディスクを作成するにはソフトウェアが必要です。Etcherツールをダウンロードしてください。ダウンロードしたファイルを解凍し、抽出したファイルを右クリックするか、強調表示されたファイルで Enter キーを押して実行します。
Etcher 内で、[イメージの選択]ボタンをクリックし、以前にダウンロードした Ubuntu ISO イメージに移動します。USB フラッシュ ドライブを挿入すると、Etcher が自動的にそれを検出して選択します。最後に、[フラッシュ]ボタンをクリックして、USB 作成プロセスを開始します。
プロセスが完了したら、USB を接続したままコンピューターを再起動し、BIOS 設定にアクセスして、USB からの起動を選択します。
Ubuntu インストール中にフルディスク暗号化を有効にする
Ubuntu はインストール時にユーザーフレンドリーなフルディスク暗号化オプションを提供し、よく知られたディスク暗号化標準である LUKS (Linux Unified Key Setup) の統合によりプロセスを簡素化します。暗号化を有効にすると、ディスクを再フォーマットしない限り無効にすることはできません。
まず、Ubuntu インストール メディアから起動します。パーティション分割の手順に到達したら、高度な機能を選択して暗号化を有効にします。
次に、「LVM と暗号化を使用する」オプションを選択します。LVM (論理ボリューム管理) を使用すると、より柔軟なディスク領域管理が可能になり、パーティションのサイズ変更や複数の論理ボリュームの処理が容易になります。
次に、セキュリティ キー (パスワード) を作成します。これは、システムを起動して暗号化されたドライブにアクセスするたびに必要になります。
最後に、インストーラーは LVM セットアップを含む新しいパーティション レイアウトを表示します。暗号化を有効にすると、これらのセットアップは安全にエンコードされます。先に進む前に、変更内容を確認してください。
セットアップが完了したら、インストールを終了し、システムを再起動します。起動するたびに、ドライブを復号化するためのセキュリティ キーを入力する必要があります。セキュリティ キーがないと、保存されたデータにアクセスできなくなります。
すでにインストールされているバージョンの Ubuntu には、フルディスク暗号化を適用できないことに注意してください。ただし、LUKS または他の同様のツールを使用して、特定のディレクトリまたはパーティションを暗号化するオプションは存在します。
インストール後のディスクの保護
Ubuntu がすでにマシン上で実行されていて、完全な再インストールをしたくない場合は、ホーム ディレクトリやスワップ領域などの特定の領域を暗号化することで、システムのセキュリティを強化できます。ホーム ディレクトリには通常、ユーザー固有の機密ファイルが含まれており、オペレーティング システムは一時的な RAM ストレージとしてスワップ領域を使用します。
インストール後にホーム ディレクトリとスワップ領域を暗号化すると、セキュリティがさらに強化され、システムを完全に更新しなくてもデータが保護されます。このプロセスは非常に簡単ですが、データ損失の可能性を回避するために、リカバリ パスフレーズは常に秘密にしておいてください。
開始するには、部分的な暗号化のためにEcryptfs-utilsおよびCryptsetupパッケージをインストールする必要があります。
ログイン中にアクティブなホーム ディレクトリを暗号化することはできません。先に進むには、一時的なユーザー アカウントを作成します。
プロンプトに従ってパスワードを設定し、ユーザー情報を入力します。次に、新しく作成したユーザーに sudo 権限を割り当てます。
ログアウトし、電源メニューから一時ユーザーに移行します。
次に、対象ユーザーのホームディレクトリの暗号化に進みます。
プライマリ ユーザーの実際のユーザー名に置き換えます。プライマリ ユーザーのパスワードの入力を求められます。ディレクトリのサイズによっては、この操作に時間がかかる場合があります。
暗号化が完了したら、一時ユーザーからログアウトし、元のアカウントに戻ります。テスト ファイルを作成してアクセスし、暗号化を検証します。
ファイルの作成と読み取りが成功すれば、暗号化は正確に適用されています。
さらに、データへのアクセスが失われるリスクを軽減するために、次のコマンドを実行してリカバリ パスフレーズを文書化することをお勧めします。
プロンプトが表示されたら、ログインパスワードを入力します。
スワップ領域の暗号化
スワップ領域は、ディスク ストレージを利用して物理メモリ (RAM) を拡張します。このスワップ領域を暗号化すると、機密情報が保護されていない仮想メモリに存在しないことが保証されます。ただし、このアクションはシステムのサスペンド/再開機能に影響を及ぼす可能性があります。
Linux システムにスワップ領域を作成するには、スワップ ファイルまたはスワップ パーティションのいずれかを作成することができます。すでにスワップ ファイルがある場合は、次のコマンドを使用して現在のスワップ領域を確認できます。
スワップ領域を暗号化するには、次のコマンドを実行します。
その後、一時ユーザーを削除します。
さらに、暗号化プロセス中にホーム ディレクトリのバックアップが作成されます。これは、コマンドを/home実行すると「 」で確認できますls -lh /home。
すべてが正しく機能している場合は、次のコマンドを使用してバックアップを安全に削除できます。
結論
新しいセットアップを構築する場合でも、既存のセットアップを強化する場合でも、暗号化は基本的な防御層を提供します。さらに、パーティション レベルまたはドライブ全体の暗号化に LUKS を使用した Cryptsetup などのツールを使用したり、VeraCrypt などのユーザー フレンドリなプログラムを選択したりすることもできます。
暗号化は、より広範なセキュリティ フレームワークの 1 つのコンポーネントにすぎないことに注意してください。Linux ラップトップのプライバシーを強化するには、包括的なデータ保護のために、ファイアウォールや多要素認証などの追加対策と組み合わせることを検討してください。
画像の著作権は DepositPhotos のLock on hdd or harddriveにあります。すべての編集とスクリーンショットは Haroon Javed によるものです。
コメントを残す