2013年1月5日土曜日

EBS暗号化ツールSecureCloudを使ってみる(CentOS6編)

スズキです。

以前、SecureCloudを利用する上で、ユーザー登録(試用ライセンス利用)して
コンソールにアクセスできるところまで紹介しました。
EBS暗号化ツールSecureCloudを使ってみる(登録編)
今回は、実際に下記のようなEBSを用意してCentOS6で暗号化ディスクとして
マウントしてみます。 



"SecureCloud Agent"のダウンロードとインストール


下記(Trend Micro Download Center)よりダウンロードできます。


次のように適当なCentOS6(EC2)上でダウンロードしてインストールします。
# curl -OL http://www.trendmicro.com/ftp/products/securecloud/scagent-3.0.0.1083-1.cel6.x86_64.bin
# chmod 755 scagent-3.0.0.1083-1.cel6.x86_64.bin 
# ./scagent-3.0.0.1083-1.cel6.x86_64.bin 
...
Please run the configuration utility:
  /var/lib/securecloud/scconfig.sh

"SecureCloud Agent"の設定(ディスクの暗号化も)


上記の用に"/var/lib/securecloud/scconfig.sh"を実行して設定しますが、下記の
"Account ID"と"Provision passphrase"が必要となるので事前に確認しておきます。


実際に"/var/lib/securecloud/scconfig.sh"を実行します。
# /var/lib/securecloud/scconfig.sh
...
Do you accept the license agreement (yes/no)? yes
Launch SecureCloud Configuration Tool (Basic Mode)

Select Cloud Service Provider (CSP) plugin
 1: Amazon-AWS
 2: CloudStack
 3: vCloud
 4: Native
Enter CSP number to activate a plugin, L to load a new plugin, D to
delete a plugin, Q to exit, or ? for more information: 1
Please enter Access Key ID: AAAAAAAA
Please enter Secret Access Key: SSSSSSSS
SecureCloud Management Server Account ID: IIIIIIII
SecureCloud Management Server Web Service URL
[leave blank to use SaaS URL https://ms.securecloud.com/ ]: 
Checking SecureCloud Management Server public key...
You have chosen to use a SaaS SecureCloud Management Server.
Retrieving Management Server certificates...
SecureCloud Management Server Provision Passphrase: ************
Inventory uploaded.       
Running provisioning utility (Use Ctrl+C to skip waiting).....  
※"SecureCloud Management Server Web Service URL"が
環境(SaaSではない環境など)によって変更する必要があるかもしれません。

ここで設定スクリプトが待ちの状態になるのですが、何を待ってるかというと、
対象のEBSを暗号化する準備がコンソール側で整うのを待っています。

ということで、この間に下記のようなコンソールの作業を行います。

ポイントはディスクへのアクセスタイプを"Read/Write"にし、
またマウントポイントを"/mnt/test"にしているところでしょうか?
こちらは後をどポリシーを作成するときにでてくるので注意しておいて下さい。


上記のようにコンソール側の準備が整うと、勝手に待ち状態だったスクリプトが進みます。
...
Inventory uploaded.       
Provisioning device: vol-7f9a3f5d                               .........   
Succeeded to provision device: vol-7f9a3f5d                     
Running provisioning utility (Use Ctrl+C to skip waiting)..^C 
Exiting provisioning utility, post-configuring the agent.
Succeeded to receive mount device list
# 

暗号化が終了したとのことなので、再度コンソールでディスクの状態を確認すると、
ちゃんと"Encrypted"になっていることがわかります。


ポリシーの作成


EC2が暗号化ディスクをマウントするためのポリシーを作成します。この対象のEC2が、
このポリシーを満たさない場合は、暗号化ディスクをマウントできません。
(ちなみにポリシーを満たさなくてもマウントする術はあるにはありますが)


上記ポリシーが設定できた状態で、次のように、マウント先ディレクトリを作成し、
"SecureCloud Agent"を起動します。
# mkdir /mnt/test
# /etc/init.d/scagentd start
Start: starting service /var/lib/securecloud/scagent
Service started. PID:4054

確認


"df"コマンドで無事マウントできていることが確認できます。
# df -k
Filesystem           1K-ブロック    使用   使用可 使用% マウント位置
/dev/xvde1             6192704   2428328   3449804  42% /
none                    302456         0    302456   0% /dev/shm
/dev/ed1               1032056     17688    961944   2% /mnt/test

コンソールでもポリシーがパスしキーが配信されていることが確認できます。


ちなみにログは下記にあるので、うまくいかない場合は確認してみて下さい。
# ls -1 /var/lib/securecloud/logfiles/
agent.log
scagent.out
scconfig.log
security.log
utilities.log

登録編から、かなりの時間がたってしまった...
--------
http://www.suz-lab.com

0 コメント: