AIX 6 加密文件系统.doc

　　AIX 6 加密文件系统 　　加密文件系统 EFS 　　EFS 是为使用唯一密钥加密每个文件而设计的。加密信息保存在每个文件的文件扩展属性中。EFS 使用 EA（扩展属性）版本 2。 　　每个文件在写入磁盘之前都会被加密。在将文件从磁盘读取到内存时对文件解密，因此文件数据能够以明文格式保存在内存中。它的优点是只需解密数据一次。尽管文件数据已经以明文格式保存在内存中，但是当另一个用户需要访问该文件时，在授予其访问该数据之前会验证其安全凭据。如果用户无资格访问该文件，则会拒绝访问。 　　文件加密不但不排除传统访问权限的角色，而且增加了更高的粒度和灵活性。 　　EFS 的内部功能也集成到了 fdb（file descriptor block，文件描述符块）中。 　　为支持加密文件系统中的操作，已对用于文件操作的传统命令（如 mv 或 cp）添加了新标志。 　　EFS 先决条件 　　为了在系统上能够创建和使用启用 EFS 的文件系统，需要满足以下几个先决条件： 　　需要安装 C (CliC) 加密库中的 CryptoLite。 　　必须启用 RBAC(Role Based Access Control)。 　　必须显式启用使用 EFS 文件系统的系统。 　　CLiC 安装 　　为了创建和使用 EFS，您必须安装免费提供的、级别为 430.CLiC 的 CLiC 加密文件集，您可以在 V Base 光盘附带的扩展包中找到它。 　　安装 CLiC 文件集后，得到的输出内容应如示例 1 所示。 　　示例 1 CLiC 文件集的成功安装摘要 Installation Summary -------------------- Name　　　　　　　　　　　　Level　　　　　 Part　　　　Event　　　 Result ------------------------------------------------------------------------------- clic.rte.lib　　　　　　　　4.3.0.0　　　　 USR　　　　 APPLY　　　 SUCCESS clic.rte.kernext　　　　　　4.3.0.0　　　　 USR　　　　 APPLY　　　 SUCCESS clic.rte.includes　　　　　 4.3.0.0　　　　 USR　　　　 APPLY　　　 SUCCESS clic.rte.kernext　　　　　　4.3.0.0　　　　 ROOT　　　　APPLY　　　 SUCCESS 　　为文件系统启用 EFS 　　为了使系统能够使用加密文件系统，您必须运行 efsenable 命令。 　　可以按以下方式启用文件系统加密： 　　以有权运行此命令的用户（root 或其他具有 aix.security.efs 授权的组安全成员）身份登录系统。 　　运行 efsenable 命令以激活 EFS。如果未安装 CLiC，则命令会失败，并显示如示例 2 所示的输出错误消息。 　　键入用于保护初始密钥存储库的密码。 　　示例 2 在不安装 CLiC 的情况下，尝试为系统启用 EFS 　　# efsenable -a 　　/usr/lib/drivers/crypto/clickext: A file or directory in the path name does not exist. 　　无法加载 CLiC 内核扩展。请检查您的安装。 　　重要说明：如果登录密码和密钥存储库密码相同，则在登录时将自动打开用户密钥存储库，并且用户安全凭据与用户进程关联。对于 root 用户，此功能允许将安全权限与所有系统管理命令无缝集成。 　　efsenable 命令 　　运行 efsenable 命令可完成以下任务： 　　创建 /var/efs 目录。在此目录中，将创建以下目录： 　　efs_admin 目录，它包含 efs_admin 密钥存储库和一个锁定文件（lock file）。 　　用户目录：此目录包含用于获取对 /var/efs/users 目录独占访问的锁定文件。对系统上定义的每个用户，创建名称与用户名相同的子目录。每个子目录包含相应的用户密钥存储库和锁定文件。锁定文件用于获取对 /var/efs/users/username 目录的独占访问。安装时，创建的子目录、密钥存储库和锁定文件与运行 efsenable 命令的用户（通常为根用户）对应。 　　组目录：此目录包含用于获取对 /var/efs/groups 目录独占访问的锁定文件。对系统上定义的每个组，创建名称与组名相同的子目录。每个子目录包含相应的组密钥存储库和锁定文件。锁定文件用于获取对 /