技术标签: python java linux 数据库 大数据
加密文件系统(EFS)是通过单个密钥存储进行的J2文件系统级加密。 这允许进行文件加密,以保护机密数据不受攻击者对计算机的物理访问。 用户身份验证和访问控制列表可以在操作系统运行时保护文件免受未经授权的访问; 但是,如果攻击者获得了对计算机的物理访问权,则很容易绕开控制列表。
一种解决方案是将加密文件存储在计算机的磁盘上。 在EFS中,密钥与每个用户相关联。 这些密钥存储在受密码保护的密钥存储区中,并在成功登录后存储,并且用户的密钥被加载到内核中并与进程凭证关联。 当进程需要打开受EFS保护的文件时,系统将测试凭据。 如果系统找到与文件保护匹配的密钥,则该过程能够解密文件密钥和文件内容。 密码信息保留在每个文件的扩展属性中。 EFS使用扩展属性版本2,并且每个文件在写入磁盘之前都已加密。 从磁盘读取文件到内存时,文件将被解密,因此保存在内存中的文件数据将采用清晰格式。 数据仅解密一次,这是一个主要优势。 当另一个用户需要访问文件时,即使文件数据已经存在于内存中且格式清晰,也要先验证其安全凭据,然后再授予对数据的访问权限。 如果用户无权访问该文件,则拒绝访问。 文件加密并不能消除传统访问权限的作用,但是可以增加粒度和灵活性。
为了能够在系统上创建和使用启用了EFS的文件系统,必须满足以下先决条件:
AIXEFS加密在文件系统级别。 每个文件都有一个唯一的文件密钥保护,并且针对恶意根创建了保护。
efsenable命令激活系统上的EFS功能。 它创建EFS管理密钥库,用户密钥库和安全组密钥库。 密钥库是包含EFS安全信息的密钥库。 EFS管理密钥库的访问密钥存储在用户密钥库和安全组密钥库中。 efsenable命令创建/ var / efs目录。 执行此命令时,将使用新的EFS属性更新/ etc / security / user和/ etc / security / group文件。
efskeymgr命令专用于EFS所需的所有密钥管理操作。 用户密钥库的初始密码是用户登录密码。 组密钥库和管理员密钥库不受密码保护,但受访问密钥保护。 访问密钥存储在属于该组的所有用户密钥库中。
当您打开密钥库时(登录时或使用efskeymgr命令明确打开),该密钥库中包含的私钥将被推送到内核并与该进程相关联。 如果在密钥库中找到访问密钥,则还将打开相应的密钥库,并且密钥会自动推入其内核。
efsmgr命令专用于EFS内部的文件加密和解密管理。 只能在启用EFS的JFS2文件系统上创建加密文件。 使用此命令在文件系统或创建文件的目录上设置继承。 在目录上设置继承时,默认情况下会加密在此目录中创建的所有新文件。 用于加密文件的密码是继承的密码。 新目录也继承相同的密码。 如果在子目录上禁用了继承,则在此子目录中创建的新文件将不会被加密。
在目录或文件系统上设置或删除继承对现有文件没有影响。 必须明确使用efsmgr命令来加密或解密文件。
让我们以一家拥有三个部门的公司为例,这三个部门分别是销售,市场和财务。 这三个部门共享同一台AIX机器来存储其机密内容。 如果未启用EFS,则在三个部门之间公开数据的可能性非常高。 请参阅下面的清单1 ,了解如何使这种容易受到威胁的机器成为存储数据的安全位置。
要在AIX上启用EFS,请键入以下内容:
# efsenable -a
Enter password to protect your initial keystore:
Enter the same password again: