VPSを利用している方がUbuntu Linux 22.04 LTSをインストールする際にディスクの暗号化を有効化する方法を解説します。
暗号化の方法はいくつかあるのですが、今回解説する方法は手軽にどなたでもディスクを暗号化できるというメリットがあります。
本記事ではカゴヤVPSとさくらのVPSを例にして解説しますが他のVPSでも実現可能です。ただしOSイメージ(isoファイル)からインストールできることが条件です。
Contents
ディスクを暗号化するメリット
ディスクが暗号化されていない場合、ディスクの内容をダンプすればOSへログインできなくてもどのようなファイルを保存しているのか?どのようなファイルの内容なのか知る事ができます。
つまり、やろうと思えばVPSを提供する会社は仮想サーバーをスキャンしてディスクの内容を知る事もできるという事です。たとえば違法なファイルが存在しないか、マルウェアが配置されていないかチェックしているかも知れません。
プライバシーを重要視する方からすると、ちょっと嫌ですよね。そこで、ディスクを暗号化します。
ディスクを暗号化すると鍵がない限り復号化できないため、外部からディスクをスキャンしてファイルの中身を知られるような心配はなくなります。
弊社ではファイルサーバーとして利用しているVPSは安全のためディスク全体を暗号化しています。
事前作業:ISOファイルをアップロードする
OSをインストールするにあたり、VPSが用意したOSは使いません。VPSは簡単にOSを導入できる仕組みを用意しているのですが、ディスク全体を暗号化するには自分で最初からOSをインストールする必要があります。
ISOファイルをアップロードする
ここはVPS各社で方法が異なりますので分けて解説します。
カゴヤVPSの場合
カゴヤVPSでISOファイルをアップロードする手順は次の記事をご覧ください。
カゴヤVPSでISOイメージを登録する方法
さくらのVPSの場合
さくらのVPSでISOファイルをアップロードする手順は次の記事をご覧ください。
さくらのVPSでISOをアップロードする手順
OSインストール時にディスクを暗号化する
それではいよいよOSのインストールに入ります。
注意点ですが、さくらのVPSは既に存在するVPSのOS再インストールする必要があり、カゴヤVPSの場合は新規にVPSを作成します。
まずはさくらのVPSでOSを再インストールする方法を解説し、次にカゴヤVPSでVPSを追加する手順を解説します。
さくらのVPSでOSを再インストールする手順
まずは再インストールしたいサーバーの画面から[再インストール]→[ISOイメージ]→[アップロードする]の順にクリックします。
ISOイメージをアップロードしていない場合は先にアップロードする必要があります。
さくらのVPSでISOをアップロードする手順
アップロードが完了していれば[アップロードする]ボタンをクリックすると利用可能なISOイメージが表示されているはずです。
インストールオプションを選択します。
[VirtIOを有効にする]は必ずチェックを入れておきます。ネットワーク接続については、もしもカスタマイズしている場合は「接続先を保持」を選択した方が良いでしょうが、デフォルト設定で運用していた場合は「接続先を初期化」を選択します。
オプションを確認したら[内容確認]をクリックします。
確認画面が表示されるので[OS再インストール]をクリックします。
ボタンをクリックすると画面右下に[VNCコンソールを起動]というボタンが表示されるのでクリックします。
ボタンをクリックするとVNCコンソール画面が表示され、しばらくすると次のようにインストール画面が表示されます。
ここから先は通常のOSインストールと同じなので必要な箇所だけ解説します。
IPアドレスは手動でおこなう
ISOイメージからインストールする場合、IPアドレスを自分で設定する必要があります。
設定値はさくらのVPSのサーバー画面で確認してください。
Subnetはネットワークアドレスを指定します。
この値はさくらのVPSのサーバー画面には表示されないので自分でサブネット計算を計算する必要があります。自分で計算する自信がない場合は弊社のIPアドレス計算ツールをご利用ください。
https://network.netwiz.co.jp/ipcalc
上記のツールを使った場合、以下の赤枠の箇所が設定するSubnetの設定内容です。
ストレージ設定で暗号化を有効化する
ディスク全体を暗号化するにはストレージ設定の画面で[Encrypt the LVM group with LUKS]にチェックを入れてパスフレーズを設定します。
パスフレーズは予測できないもので十分に長いものに設定してください。
これ以降は通常のOSインストール同様に進めてください。
カゴヤVPSでOSをインストールする手順
カゴヤVPSの場合は「インスタンス」画面から[インスタンス作成]ボタンをクリックします。
「パッケージ」の「ISOイメージ」タブをクリックして、既にアップロード済みのISOイメージの中からインストールに使いたいものを選択し、スペックを決めます。
ISOイメージをアップロードしていない方は次の記事を参考にしてアップロードを済ませてください。
カゴヤVPSでISOイメージを登録する方法
コンソールパスワードなど必要な箇所を入力して[インスタンス作成]ボタンをクリックします。
しばらく待つとインスタンスが作成されて次のように表示されますから、インスタンス名の箇所をクリックします。
「コンソール」というタブがあるのでクリックして[コンソールを起動]ボタンをクリックします。
コンソールが起動すると次のような画面がポップアップします。
ここから先は通常のOSインストールと同じなので必要な箇所だけ解説します。
IPアドレスは手動でおこなう
ISOイメージからインストールする場合、IPアドレスを自分で設定する必要があります。
設定値はカゴヤVPSのサーバー画面で確認してください。
Subnetはネットワークアドレスを指定します。
この値はさくらのVPSのサーバー画面には表示されないので自分でサブネット計算をする必要があります。自分で計算する自信がない場合は弊社のIPアドレス計算ツールをご利用ください。
https://network.netwiz.co.jp/ipcalc
上記のツールを使った場合、以下の赤枠の箇所が設定するSubnetの設定内容です。
ストレージ設定で暗号化を有効化する
ディスク全体を暗号化するにはストレージ設定の画面で[Encrypt the LVM group with LUKS]にチェックを入れてパスフレーズを設定します。
パスフレーズは予測できないもので十分に長いものに設定してください。
これ以降は通常のOSインストール同様に進めてください。
OS起動時にパスフレーズを入力する
ディスクを暗号化した場合、OS起動時にパスフレーズを入力しなければなりません。
パスフレーズを入力するにはコンソール画面からおこなう必要があります。というのも、この時点ではまだOSが起動していないからです。
次のように「Please unlock dis dm_crypt-0: 」というようにパスフレーズの入力を促されるので、OSインストール時に設定したパスフレーズを入力してください。
正しいパスフレーズを入力するとOSが起動します。
コンソール画面にアクセスする方法は次の記事を参考にしてください。
VPSでコンソールからログインする方法を解説
まとめ
Ubuntu LinuxでOSインストール時にディスクを暗号化する方法を解説しました。
LVMを使わない方法など他にも暗号化する手順はあるのですが、失敗がなくどなたでも手軽にディスクを暗号化できるのはこの方法だと思いますので、ディスクを暗号化したいと考えている方は参考にしてみてください。