欢迎来到天天文库
浏览记录
ID:9507052
大小:91.50 KB
页数:17页
时间:2018-05-01
《aix 6 加密文件系统》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、AIX6加密文件系统 加密文件系统EFS EFS是为使用唯一密钥加密每个文件而设计的。加密信息保存在每个文件的文件扩展属性中。EFS使用EA(扩展属性)版本2。 每个文件在写入磁盘之前都会被加密。在将文件从磁盘读取到内存时对文件解密,因此文件数据能够以明文格式保存在内存中。它的优点是只需解密数据一次。尽管文件数据已经以明文格式保存在内存中,但是当另一个用户需要访问该文件时,在授予其访问该数据之前会验证其安全凭据。如果用户无资格访问该文件,则会拒绝访问。 文件加密不但不排除传统访问权限的角色,而且增加了更高的粒度和灵活性。 EFS的内部功能也集成到了fdb(filedescript
2、orblock,文件描述符块)中。 为支持加密文件系统中的操作,已对用于文件操作的传统命令(如mv或cp)添加了新标志。 EFS先决条件 为了在系统上能够创建和使用启用EFS的文件系统,需要满足以下几个先决条件: 需要安装C(CliC)加密库中的CryptoLite。 必须启用RBAC(RoleBasedAccessControl)。 必须显式启用使用EFS文件系统的系统。 CLiC安装 为了创建和使用EFS,您必须安装免费提供的、级别为430.CLiC的CLiC加密文件集,您可以在VBase光盘附带的扩展包中找到它。 安装CLiC文件集后,得到的输出内容应如示例1所示。
3、 示例1CLiC文件集的成功安装摘要InstallationSummary--------------------Name Level Part Event Result-------------------------------------------------------------------------------clic.rte.lib 4.3.0.0 USR APPLY SUCCESSclic.rte.kernext 4.3.0.0 USR APPLY SUCCESSclic.
4、rte.includes 4.3.0.0 USR APPLY SUCCESSclic.rte.kernext 4.3.0.0 ROOT APPLY SUCCESS 为文件系统启用EFS 为了使系统能够使用加密文件系统,您必须运行efsenable命令。 可以按以下方式启用文件系统加密: 以有权运行此命令的用户(root或其他具有aix.security.efs授权的组安全成员)身份登录系统。 运行efsenable命令以激活EFS。如果未安装CLiC,则命令会失败,并显示如示例2所示的输出错误消息。 键入用于保护初始密钥存储库的
5、密码。 示例2在不安装CLiC的情况下,尝试为系统启用EFS #efsenable-a /usr/lib/drivers/crypto/clickext:Afileordirectoryinthepathnamedoesnotexist. 无法加载CLiC内核扩展。请检查您的安装。 重要说明:如果登录密码和密钥存储库密码相同,则在登录时将自动打开用户密钥存储库,并且用户安全凭据与用户进程关联。对于root用户,此功能允许将安全权限与所有系统管理命令无缝集成。 efsenable命令 运行efsenable命令可完成以下任务: 创建/var/efs目录。在此目录中,将创建以下
6、目录: efs_admin目录,它包含efs_admin密钥存储库和一个锁定文件(lockfile)。 用户目录:此目录包含用于获取对/var/efs/users目录独占访问的锁定文件。对系统上定义的每个用户,创建名称与用户名相同的子目录。每个子目录包含相应的用户密钥存储库和锁定文件。锁定文件用于获取对/var/efs/users/username目录的独占访问。安装时,创建的子目录、密钥存储库和锁定文件与运行efsenable命令的用户(通常为根用户)对应。 组目录:此目录包含用于获取对/var/efs/groups目录独占访问的锁定文件。对系统上定义的每个组,创建名称与组名相同的
7、子目录。每个子目录包含相应的组密钥存储库和锁定文件。锁定文件用于获取对/var/efs目录的独占访问。安装时,创建的子目录、密钥存储库和锁定文件与组安全对应。 为使用公钥/私钥设置缺省长度。 为用于文件加密的AES算法设置缺省密钥长度和模式。 设置缺省密钥存储库管理模式。 设置EFS管理密钥的算法。 指定用户是否可以更改管理密钥存储库的模式。 创建名为/var/efs/efsenabled的文件,该文件显示已
此文档下载收益归作者所有