share facebook facebook2 twitter menu hatena pocket slack

2013.01.11 FRI

EBS暗号化ツールSecureCloudを使ってみる(CentOS6編)

鈴木 宏康

WRITTEN BY鈴木 宏康

SecureCloudを利用する上で、ユーザー登録(試用ライセンス利用)してコンソールにアクセスできるところまで、
EBS暗号化ツールSecureCloudを使ってみる(登録編)」の記事で紹介しました。

今回は、実際に下記のようなEBSを用意してCentOS6で暗号化ディスクとしてマウントしてみます。

○SecureCloud Agentのダウンロードとインストール

下記(Trend Micro Download Center)よりダウンロードできます。

次のように適当なCentOS6(EC2)上でダウンロードしてインストールします。

# curl -OL http://www.trendmicro.com/ftp/products/securecloud/scagent-3.0.0.1083-1.cel6.x86_64.bin
# chmod 755 scagent-3.0.0.1083-1.cel6.x86_64.bin
# ./scagent-3.0.0.1083-1.cel6.x86_64.bin
...
Please run the configuration utility:
/var/lib/securecloud/scconfig.sh

○SecureCloud Agentの設定(ディスクの暗号化も)

上記の用に/var/lib/securecloud/scconfig.shを実行して設定しますが、下記のAccount IDと
Provision passphraseが必要となるので事前に確認しておきます。

実際に/var/lib/securecloud/scconfig.shを実行します。

# /var/lib/securecloud/scconfig.sh
...
Do you accept the license agreement (yes/no)? yes
Launch SecureCloud Configuration Tool (Basic Mode)

Select Cloud Service Provider (CSP) plugin
1: Amazon-AWS
2: CloudStack
3: vCloud
4: Native
Enter CSP number to activate a plugin, L to load a new plugin, D to
delete a plugin, Q to exit, or ? for more information: 1
Please enter Access Key ID: AAAAAAAA
Please enter Secret Access Key: SSSSSSSS
SecureCloud Management Server Account ID: IIIIIIII
SecureCloud Management Server Web Service URL
[leave blank to use SaaS URL https://ms.securecloud.com/ ]:
Checking SecureCloud Management Server public key...
You have chosen to use a SaaS SecureCloud Management Server.
Retrieving Management Server certificates...
SecureCloud Management Server Provision Passphrase: ************
Inventory uploaded.
Running provisioning utility (Use Ctrl+C to skip waiting).....

※SecureCloud Management Server Web Service URLが環境(SaaSではない環境等)によって変更する必要が
あるかもしれません。

ここで設定スクリプトが待ちの状態になるのですが、対象のEBSを暗号化する準備が
コンソール側で整うのを待っています。

そこで、この間に下記のようなコンソールの作業を行います。

ポイントはディスクへのアクセスタイプをRead/Writeにし、またマウントポイントを/mnt/testに
しているところになります。
こちらは後程ポリシーを作成する時に出て来るので注意しておいて下さい。

上記のようにコンソール側の準備が整うと、待ち状態だったスクリプトが進みます。

...
Inventory uploaded.
Provisioning device: vol-7f9a3f5d .........
Succeeded to provision device: vol-7f9a3f5d
Running provisioning utility (Use Ctrl+C to skip waiting)..^C
Exiting provisioning utility, post-configuring the agent.
Succeeded to receive mount device list#

暗号化が終了したとのことなので、再度コンソールでディスクの状態を確認すると、正しくEncryptedに
なっていることがわかります。

○ポリシーの作成

EC2が暗号化ディスクをマウントする為のポリシーを作成します。
この対象のEC2が、このポリシーを満たさない場合は、暗号化ディスクをマウントできません。
(ちなみにポリシーを満たさなくてもマウントする術はあるにはあります)

上記ポリシーが設定できた状態で、次のように、マウント先ディレクトリを作成し、SecureCloud Agentを
起動します。

# mkdir /mnt/test
# /etc/init.d/scagentd start
Start: starting service /var/lib/securecloud/scagent
Service started. PID:4054

○確認

dfコマンドで無事マウントできていることが確認できます。

# df -k
Filesystem 1K-ブロック 使用 使用可 使用% マウント位置
/dev/xvde1 6192704 2428328 3449804 42% /
none 302456 0 302456 0% /dev/shm
/dev/ed1 1032056 17688 961944 2% /mnt/test

コンソールでもポリシーがパスし、キーが配信されていることが確認できます。

ちなみにログは下記にあるので、うまくいかない場合は確認してみて下さい。

# ls -1 /var/lib/securecloud/logfiles/
agent.log
scagent.out
scconfig.log
security.log
utilities.log

こちらの記事はなかの人(suz-lab)監修のもと掲載しています。
元記事は、こちら

鈴木 宏康

鈴木 宏康

愛知県生まれ。東京工業大学大学院修士課程修了。在学時より、ベンチャー企業でインターネットに関する業務に携わり、現在はクラウド(主にAmazon Web Services)上での開発・運用を軸とした事業の、業務の中心として活躍。