重要なデータを仮想サーバーに配置し、オーナーのみがアクセスできるようにしつつ、インターネット経由で世界中のどこからでもアクセスできるようにする必要があるタスクがあります。

この問題は、VDSサーバーを購入し、暗号化されたディスクを作成して、パスワードでアクセスできるようにデータを保存することで解決できます。

この例では、Linux Debian 12 を使用し、rootユーザーとして作業を行います。

1. 必要なパッケージをインストールする

apt update
apt upgrade
apt install cryptsetup

1.1 サイズを決定してファイルを作成する

dd if=/dev/zero of=/root/crypt-drive bs=1M count=1024

1.1.1 次に、ファイルをLUKSパーティション形式に変換します：

cryptsetup -y luksFormat /root/crypt-drive

WARNING!
========
この操作は /root/crypt-drive 上のデータを完全に上書きします。

よろしいですか？（大文字で「YES」と入力してください）：YES
/root/crypt-drive のパスフレーズを入力してください：
パスフレーズを確認してください：

パスワードを設定し、確認を入力してください。パスワードを忘れた場合、データへのアクセスや復旧はできなくなるのでご注意ください。

1.1.2 ファイル情報の確認

file /root/crypt-drive

/root/crypt-drive: LUKS暗号化ファイル、ver 2、ヘッダーサイズ16384、ID 3、アルゴリズムsha256、ソルト0x16ddc735c6afbd8c...、UUID: da846bb0-3001-4eb9-a533-0ad833e6a780 、crc 0x62e90a39e3cd9bc7...、オフセット0x1000 {"keyslots":{"0":{"type":"luks2","key_size":64,"af":{"type":"luks1","stripes":4000,"hash":"sha256"},"area":{"type":"raw","offse

暗号化コンテナの準備が整いました。次に、これを暗号化ボリュームデバイスに変換する必要があります。

1.2 作成した暗号化コンテナを接続する

cryptsetup luksOpen /root/crypt-drive crypt-volume
/root/crypt-drive のパスフレーズを入力してください：

パスワードを入力してください。

1.2.1 ファイルシステムの作成

mkfs.ext4 -j /dev/mapper/crypt-volume

1.2.2 マウント用のフォルダを作成する

mkdir /mnt/crypt-volume

1.2.3 パーティションをマウントする

mount /dev/mapper/crypt-volume /mnt/crypt-volume

暗号化ディスクが準備できました。このパーティションは通常どおりに完全に使用できます。暗号化はこのパーティションを使用する際に行われます。追加の操作は必要ありません。

2. 確認

df -h

ファイルシステム サイズ 使用量 空き容量 使用率 マウント場所
udev 962M 0 962M 0% /dev
tmpfs 197M 492K 197M 1% /run
/dev/sda1 62G 2.7G 56G 5% /
tmpfs 984M 0 984M 0% /dev/shm
tmpfs 5.0M 0 5.0M 0% /run/lock
tmpfs 197M 0 197M 0% /run/user/0
/dev/mapper/crypt-volume 974M 72K 908M 1% /mnt/crypt-volume

3. 今後の利用

3.1 コンテナの無効化

umount /mnt/crypt-volume
cryptsetup luksClose crypt-volume

3.2 コンテナの再接続

cryptsetup luksOpen /root/crypt-drive crypt-volume
mount /dev/mapper/crypt-volume /mnt/crypt-volume

注意！ サーバーを再起動した場合、コンテナを特にアンマウントしていない場合は、3.2項に従って再接続する必要があります。

関連リンク: 暗号化されたLUKSファイルの自動マウント