はじめに
中古ハードディスクの中身を覗かれて困っている人が居るようです。
暗号化していれば、物理的に覗かれたとしても論理的には覗かれません。
Linux だと非常に気軽にディスクを暗号化できます。
概略
luks を使って暗号化します。コマンドとしては cryptsetup
を使います。
暗号化手順
# cryptsetup luksFormat <device_name>
デバイスの中身が消えるけど良いかと尋ねてきます。大文字で YES
と応じます。
続いてパスフレーズを尋ねられます。例によって同じパスフレーズを2回入力します。
オープン手順
暗号化されているデバイスにアクセスできるようにするステップです。
# cryptsetup open <device_name> <mapped_name>
パスフレーズを聞かれます。
/dev/mapper/<mapped_name>
にマップされます。
利用
ブロックデバイス /dev/mapper/<mapped_name>
を好きなように利用します。
mkfs
したり mount
したり。何なら pvcreate
も。
クローズ手順
オープンの逆です。
もしマウントしているなら先にアンマウントしましょう。
# cryptsetup close <mapped_name>
おまけ
単一パーティーションで非暗号化 rootfs を使っているなら、swapfile のようにファイルを使うのも手です。dd if=/dev/zero
で空ファイルを作って cryptsetup luksFormat
すればいいだけです。
SSD なら気になるほど性能低下しないと思います。