セキュリティー¶
IncusOSはすべてのシステムで強制されるかなり堅牢なセキュリティー設定を持ちます。通常の運用では、IncusOSはTPMを信頼し、メインシステムドライブを自動でロック解除し、次にストレージプールの暗号鍵を取得します。
IncusOSは初回起動時に、間違ってTPMをリセットしてしまったり、オフラインでデータ復旧を行うなどの、リカバリーシナリオでメインシステムドライブを復号するのに使う強力なリカバリーキーを生成します。必要なら追加のリカバリーキーも追加できます。対応するIncusOSシステムに保管されたデータの重要性と同様にリカバリーキーを保護することは重要です。
リカバリーキーを取得するには以下のコマンドを実行します。
incus admin os system security show
設定オプション¶
設定フィールドはSystemSecurityConfig構造体で定義されています。
以下の設定オプションが設定できます:
encryption_recovery_keys: IncusOSのメインシステムドライブの1つ以上のリカバリーキーの配列。少なくとも1つのリカバリーキーを必ず指定する必要があります。この配列に含まれない既存のリカバリーキーは削除され、新しいキーは追加されます。非常にシンプルな複雑度ポリシーがIncusOSにより強制されます:少なくとも15文字以上
少なくとも1つ記号を含む
少なくとも5つのユニークな文字から構成する
他のシンプルな複雑度チェックが適用され、パスしない暗号リカバリーキーはエラーで拒否されます
TPMバインディングのリセット¶
IncusOSがリカバリーキーを使って起動後、メインシステムドライブの自動でのロック解除に失敗した場合、TPMバインディングを強制リセットするには以下のコマンドを実行します:
incus admin os system security tpm-rebind