Brad Gough, AIX 技术工程师, IBM Japan
2008 年 4 月 29 日 加密文件系统(EFS)是 AIX 6 的安全新特性之一。它实现了对单个文件的加密功能,从而提供了对文件系统更加精细地管理。本系列文章将比较详细地向您介绍这个新特性的详细内容,本文是系列文章的第 3 部分,我们将介绍在各种用户管理功能中如何集成新的加密特性。本文是摘自 IBM 红皮书《AIX V6 Advanced Security Features Introduction and Configuration》。
 | |
您可以访问“AIX 6 资源中心”了解更多的 AIX 6 的新特性:
|
|
在这个部分中,我们将介绍在各种用户管理功能中如何集成新的加密特性。
定义用户
每次当您创建新用户时,都必须定义他的或者她的、与安全相关的信息。示例 1 中显示了添加到 /etc/security/user 的用户安全属性。
示例 1 在用户安全配置文件中添加的一些新的用户属性
default:
admin = false
login = true
su = true
daemon = true
rlogin = true
sugroups = ALL
admgroups =
ttys = ALL
auth1 = SYSTEM
auth2 = NONE
tpath = nosak umask = 022
expires = 0
SYSTEM = "compat"
logintimes =
pwdwarntime = 0
account_locked = false loginretries = 0
histexpire = 0
histsize = 0
minage = 0
maxage = 0
maxexpired = -1
minalpha = 0
minother = 0
minlen = 0
mindiff = 0
maxrepeats = 8
dictionlist =
pwdchecks =
default_roles =
efs_keystore_access = file
efs_adminks_access = file
efs_initialks_mode = admin
efs_allowksmodechangebyuser = yes
efs_keystore_algo = RSA_1024
efs_file_algo = AES_128_CBC
|
为了支持这些特性,添加了一些新的特性以实现用户安全性,用于进行用户管理的 SMIT 菜单也添加了六个字段,如示例 2 所示。
示例 2 在 SMIT 面板中添加了一些新字段以进行用户的创建
Add a User
Type or select values in entry fields.
Press Enter AFTER making all desired changes.
[MORE...52] [Entry Fields]
Hard NPROC per user []
#
File creation UMASK [022]
AUDIT classes []
+
TRUSTED PATH? nosak
+
PRIMARY authentication method [SYSTEM]
SECONDARY authentication method [NONE]
Projects []
+
Keystore Access [file]
+
Adminkeystore Access [file]
+
Initial Keystore Mode [admin]
+
Allow user to change Keystore Mode?[yes]
+
Keystore Encryption Algorithm [RSA_1024]
+
File Encryption Algorithm [AES_128_CBC]
+
[BOTTOM]
F1=Help F2=Refresh F3=Cancel F4=List
Esc+5=Reset Esc+6=Command Esc+7=Edit Esc+8=Image
Esc+9=Shell Esc+0=Exit Enter=Do
|
示例 2 中新添加的几个字段的含义如下:
Keystore Access——这个字段的值必须是 file 或者 none。file 表示 local/var/efs/user/*。none 表示没有密钥存储库。
Adminkeystore Access——这个字段用于描述 admin 密钥存储库的位置。
这个字段的值必须是 file。
Initial Keystore Mode——这个字段用于描述用户密钥存储库的初始模式。
这个字段的值可以为 admin 或者 guard,分别对应于 root admin 模式或者 root guard 模式。
Allow user to change Keystore Mode——这个字段用于描述用户是否可以对他的或者她的密钥存储库模式进行更改。这个字段的值可以为 yes 或者 no。
Keystore Encryption Algorithm——这个字段描述了用户私钥和公钥所使用的算法和密钥长度。如果您更改这个字段的值,那么 /etc/security/user 中用户节的对应属性也会相应地更改。这个字段的值可能是以下值之一:
RSA_1024
RSA_2048
RSA_4096
File Encryption Algorithm——这个字段用于描述算法、密钥的长度和算法的模式。如果您更改这个字段的值,那么 /etc/security/user 中用户节的对应属性也会相应地更改。这个字段的值可能是以下值之一:
AES_128_CBC
AES_128_ECB
AES_192_CBC
AES_192_ECB
AES_256_CBC
AES_256_ECB
当由 root 定义用户的时候,将使用缺省值初始化 /etc/security/user 中用户节的安全属性。此时,用户没有密钥存储库。只有在为用户分配了密码之后,才会创建他的或者她的密钥存储库。
技巧:在一些存在大量用户的大型环境中,对于管理员来说,要以手工方式为每个用户定义密码,这可能是一项非常困难的工作。如果您希望定义大量的用户、为他们分配密码、并创建相应的用户密钥存储库,那么您可以创建一个使用
chpasswd
命令的脚本。这个命令将为用户设置临时密码,而用户在第一次登录的时候,必须更改他的或者她的密码。
重要:当在
root guard
模式中创建用户时,安全管理员必须清楚,在创建密钥存储库时需要将
root
的需求看作是可信的。另外,只有
root
可以指定用户密钥存储库为
root admin
模式或者
root guard
模式,以及是否允许用户更改密钥存储库模式。
用户密钥存储库
密钥存储库是存储用于对文件进行加密/解密操作、控制对文件的访问,以及管理用户和组的公共和私有数据的容器。在为每个用户分配密码时,将自动地为该用户创建一个密钥存储库。将自动地生成公/私钥对,并存储于密钥存储库中。将从 /etc/security/user 中读取生成公钥和私钥的参数,如密钥长度。
除了属主的公/私钥之外,用户密钥存储库还可能包含一些其他的访问密钥。采用 PKCS12 的格式保存密钥。密钥没有有效期的限制。
通过访问密钥来保护用户密钥存储库。根据 PKCS 5 规范得到访问密钥,并将其用于对密钥存储库的私有部分进行加密。如果系统支持 EFS,那么在所有现有用户第一次登录时,将自动地为他们创建密钥存储库。
如果您是从以前的版本迁移到 AIX 6,那么在用户第一次登录时,将自动地创建密钥存储库。
如果用户不需要访问经过加密的文件系统,并且您不希望创建用户密钥存储库,那么您必须对 /etc/security/user 文件中对应的用户节进行修改。
密钥存储库的内容
密钥存储库包含公共信息和私有信息。
密钥存储库中保存的公共信息包括以下几种:
-
用户名。
-
UID。
-
最近一次更改密码的日期。
-
密钥存储库的管理模式:可以是 root guard 或者 root admin。如果是 root guard,那么不允许 root 将 root guard 模式更改为 root admin。
-
Self cookie:使用用户的公钥加密的密钥存储库的访问密钥。
-
使用 x509 自签名的证书为用户公钥进行签名。
-
如果密钥存储库的管理模式是 root admin,那么存在一个 admin cookie。
密钥存储库中保存的私有信息包括以下几种:
-
用户私钥。它还包含用户已弃用的密钥。
-
该用户所属的所有组的组访问密钥。当打开用户密钥存储库时,组访问密钥提供了对组密钥存储库的访问,同时在内核中加载组密钥。
-
如果密钥存储库属于 root,那么存在 efs_admin 密钥存储库的访问密钥。
密钥存储库中的信息存储于包(可以为私有的、或者公共的)中。公共包中包含公共信息。对公共包的访问没有限制。然而,访问私有包需要访问密钥。可以通过使用 CliC 对象实现访问。
密钥是密钥存储库中最重要的组件。在示例 3 中显示了用户密钥存储库中的私钥的一些示例,而它们的各个参数的含义如下所示:
Kind——这个字段用于显示密钥是属于用户、组还是管理员。
Id——这个字段显示拥有该密钥的用户或者组的 ID。
Type——这个字段显示该密钥是公共的还是私有的。
Algorithm——这个字段用于显示密钥所使用的 RSA 算法,以及密钥的长度(以位为单位)。
Validity——这个字段显示了密钥是否仍然有效、或者是否已经弃用。
Fingerprint——顾名思义,这个字段显示了密钥的唯一标识数值。
示例 3 密钥存储库中的私钥的示例
Key #0:
Kind .....................User key
Id (uid / gid) ......... 0
Type .....................Private key
Algorithm ................RSA_1024
Validity .................Key is deprecated
Fingerprint ..............
569ae24b:c2da3415:6e7e651e:b7d2f29f:1dda5ab9
Key #1:
Kind .....................User key
Id (uid / gid) ......... 0
Type .....................Private key
Algorithm ................RSA_1024
Validity .................Key is valid
Fingerprint ..............
f72bfdaa:5bbd8f93:3c021f29:177eae6a:e7e884b7
Key #2:
Kind .....................Group key
Id (uid / gid) ......... 7
Type .....................Private key
Algorithm ................RSA_1024
Validity .................Key is valid
Fingerprint ..............
648b67f3:f1f89672:14dcc664:231d0fe2:026a6314
Key #3:
Kind .....................Group key
Id (uid / gid) ......... 203
Type .....................Private key
Algorithm ................RSA_1024
Validity .................Key is deprecated
Fingerprint ..............
4a73c007:bb0e6b35:abe672c6:cdaf2964:5dd69586
Key #4:
Kind .....................Admin key
Id (uid / gid) ......... 0
Type .....................Private key
Algorithm ................RSA_1024
Validity .................Key is valid
Fingerprint ..............
b8515c35:0829f5c9:f74fc031:3fac0195:8ab2ad99
|
可以使用 efskeymgr -v 命令显示密钥存储库的内容。当在 root guard 模式中运行时,将显示对密钥存储库的所有待处理操作,并提示您进行处理。其输出与示例 4 中所示的内容非常类似,具体描述如下:
-
对于 user3 密钥存储库,有四项待处理操作。为该密钥存储库的属主授予了对 group1 密钥存储库和 user2 密钥存储库的访问权限。撤销了密钥存储库属主对 user1 密钥存储库的访问权限,并通知他必须重新生成私钥。提示 user2 接受 cookie。
-
密钥存储库属主字段显示了该属主的 uid。这个密钥存储库由 uid 为 209 的 user3 所拥有。
-
密钥存储库模式字段显示了该密钥存储库的模式,可以为 admin 或者 guard。user3 的密钥存储库模式为 root guard。
-
最近一次更改密码的日期。
-
密钥存储库属主私钥的算法、指纹和有效性。
-
先前发送给 user3 密钥存储库的、并且已经接受的访问密钥。user3 已经接受来自 user1 和 group2 的 access cookie。
-
先前采用 ok access cookie 形式发送给 user3 密钥存储库的、并且尚未接受的访问密钥。user3 尚未接受来自 user1 和 group2 的 access cookie。user3 还收到了用于重新生成私钥的 regeneration cookie、以及用于撤销对 user1 密钥存储库访问权限的 remove cookie。
示例 4 用户密钥存储库的示例内容
$ efskeymgr -v user3's EFS password:
The following operation(s) is(are) pending on your EFS keystore:
You are granted access to group/group1 keystore.
Do you want to process this action now (y), later (n:default), or never (d)?[ y / n / d ]n
You are granted access to user/user2 keystore.
Do you want to process this action now (y), later (n:default), or never (d)?[ y / n / d ]n
You are removed access to user/user1 keystore.
Do you want to process this action now (y), later (n:default), or never (d)?[ y / n / d ]n
Your private key must be regenerated.
Do you want to process this action now (y), later (n:default), or never (d)?[ y / n / d ]n
Keystore content:
Keystore owner ............: uid 209
Keystore mode .............: guard:not managed by EFS
administrator
Password changed last on ..: 05/15/07 at 18:09:58
Private key:
Algorithm :RSA_1024
Fingerprint :6c921f21:b10c9740:29acee26:4b5dd72b:23ea0849
Validity :This key is valid.
Access key to keystore user/user1
Access key to keystore group/group2
Cookie:
Type ......: Regeneration (renew private key)
Keystore .. : -
Cookie:
Type ......: Remove (removes access to)
Keystore ..: user/user1
Cookie:
Type ......: Access (grants access to)
Keystore ..: user/user2
Cookie:
Type ......: Access (grants access to)
Keystore ..: group/group1
|
|
|
密钥存储库的操作
修改密钥存储库的操作包括以下几种:
-
更改算法
-
更该密钥长度
-
生成新的密钥
-
删除已弃用的密钥
-
从密钥存储库删除一个密钥、或者向密钥存储库中添加一个密钥
-
授予/撤销对密钥存储库的访问权限
-
从组中删除用户、或者向组中添加用户
任何时候您都可以使用 efskeymgr -m 命令,以列出对密钥存储库的待处理操作。示例 5 显示了四个 cookie 的密钥(在用户第一次打开密钥存储库时将提示进行确认),分别如下所示:
-
第一个 cookie 的类型为 Regeneration,将提示用户重新生成私钥。
-
第二个 cookie 的类型为 Remove,将提示用户删除 user1 密钥存储库的访问密钥。
-
第三个 cookie 的类型为 Access,将提示用户接受 user2 密钥存储库的访问密钥。
-
第四个 cookie 的类型为 Access,将提示用户接受 group1 密钥存储库的访问密钥。
示例 5 对密钥存储库的待处理操作
$ efskeymgr -m
Cookie:
Type ......: Regeneration (renew private key)
Keystore .. : -
Cookie:
Type ......: Remove (removes access to)
Keystore ..: user/user1
Cookie:
Type ......: Access (grants access to)
Keystore ..: user/user2
Cookie:
Type ......: Access (grants access to)
Keystore ..: group/group1
|
密钥存储库操作
用户密钥存储库支持两种模式操作:root admin 模式和 root guard 模式。根据操作模式的不同,分别允许或禁止了某些操作。
root admin
模式
root admin 模式是操作的缺省模式。在这个模式中,允许执行下面这些操作:
-
root 可以访问用户密钥存储库。
-
root 可以访问组密钥存储库。
-
root 可以重新设置用户密钥存储库的密码。
-
root 可以重新设置组访问密钥。
因为 root 可以访问用户密钥存储库,所以 root 也可以访问用户文件。
root guard
模式
root guard 模式不是操作的缺省模式。在这个模式中,不允许执行下面这些操作:
-
root 不能访问用户密钥存储库。
-
root 不能访问组密钥存储库。
-
root 不能重新设置用户密钥存储库的密码。
-
root 不能重新设置组访问密钥。
这个操作模式专门针对恶意 root 提供了相应的保护。这意味着,如果系统受到攻击,并且攻击者以某种方式获得了 root 权限,那么攻击者将无法访问用户或者组密钥存储库,从而无法访问用户文件。
另一方面,如果用户丢失了他的或者她的密码,那么 root 将无法对其进行重新设置。
这意味着,任何人都无法访问用户或者组密钥存储库,从而无法对用户文件的信息进行解密。
更改用户密钥存储库的密码
密钥存储库的密码和登录密码是不一样的。
您可以为密钥存储库设置单独的密码。然而,如果登录密码与密钥存储库密码相同,那么将自动地打开用户密钥存储库,并且自动地将密钥存储库的数据加载到内核中。如果这两个密码不相同,那么用户必须显式地打开密钥存储库,并在内核中加载访问密钥。
对于没有密钥存储库的用户,仍然允许使用登录密码进行登录。如果他或者她并不访问存储于加密文件系统中的任何数据,那么该用户可以进行成功地操作。
必须要清楚的是,运行 password 命令将仅更改登录密码,而不会更改密钥存储库密码。
任何用户都可以使用 efskeymgr -n 命令,更改他的或者她的密钥存储库密码。当在 root admin 模式中运行时,root 和该用户都可以更改该用户的密钥存储库密码。示例 6 中显示 root 正在更改用户密钥存储库密码。
示例 6 在 root admin 模式中更改用户的密码
# efskeymgr -k user/user3 -n
Enter new password for the keystore:
Enter the same password again:
|
授予对用户密钥存储库的访问权限
当在 root admin 模式中运行时,root 可能会决定为一个用户授予对另一个用户的密钥存储库的访问权限。常规用户不能将他或者她自己的密钥存储库的访问权限授予给另一个用户。
在示例 7 中,我们显示了在授予了对另一个用户密钥存储库的访问权限之后,密钥存储库的内容将发生怎样的变化。我们还讨论了这样的操作在较复杂的实际场景中的作用。在示例 7 中,执行了下面的操作:
-
运行 efsmgr -v 命令,以显示 user3 密钥存储库的内容。他或者她只能访问自己的密钥存储库。
-
root 向 user3 授予对 user1 的密钥存储库的访问权限。
-
运行 efsmgr -v 命令,以显示 user3 密钥存储库的内容。其中添加了 user1 密钥存储库的访问密钥。
-
lsuser 命令显示,user1 还是 group1 和 group2 的成员。
-
使用 efskeymgr -o 命令,在 Shell 进程中加载 user1 密钥存储库的内容。
-
efskeymgr -V 命令显示了当前 Shell 中所加载的访问密钥:
-
user3 密钥存储库的访问密钥
-
user1 密钥存储库的访问密钥
-
gid 为 202 的组的密钥存储库的访问密钥
-
gid 为 203 的组的密钥存储库的访问密钥
user3 可以访问他或者她自己的密钥,以及可以从 user1 密钥存储库中进行访问的所有密钥。
-
root 向 user5 授予对 user3 的密钥存储库的访问权限。如果正运行于用户模式中,那么将不允许 root 授予对用户密钥存储库的访问权限,并且将接收到一个与下面所示类似的错误消息:
# efskeymgr -k user/user1 -s user/user3
Encryption framework returned an error:(libefs bad parameter)
Unable to get the key to be sent
|
-
user5 登录,并运行 efsmgr -v 命令,以显示他的或者她的密钥存储库的内容。其中添加了 user3 用户密钥存储库的访问密钥。
-
user5 在当前 Shell 中加载他的或者她的密钥存储库的内容。efskeymgr -V 命令显示了当前 Shell 中所加载的访问密钥:
-
user3 密钥存储库的访问密钥
-
user1 密钥存储库的访问密钥
-
user5 密钥存储库的访问密钥
-
gid 为 202 的组的密钥存储库的访问密钥
-
gid 为 203 的组的密钥存储库的访问密钥
user5 可以访问他或者她自己的密钥,以及可以从 user3 密钥存储库中进行访问的所有密钥,这样一来,也就包含了可以从 user1 密钥存储库中访问的所有密钥。
示例 7 授予对用户密钥存储库的访问权限
$ id uid=205(user3) gid=1(staff)
$ efskeymgr -v
Keystore content:
Keystore owner ............: uid 205
Keystore mode .............: admin:managed by EFS administrator
Password changed last on ..: 05/10/07 at 09:41:20
Private key:
Algorithm :RSA_1024
Fingerprint :30412121:e5a7b90d:dba7dd19:2c45b1e0:c331c09f
Validity :This key is valid.
# efskeymgr -k user/user1 -s user/user3
root's EFS password:
$ id uid=205(user3) gid=1(staff)
$ efskeymgr -v
Keystore content:
Keystore owner ............: uid 205
Keystore mode .............: admin:managed by EFS administrator
Password changed last on ..: 05/10/07 at 09:41:20
Private key:
Algorithm :RSA_1024
Fingerprint :30412121:e5a7b90d:dba7dd19:2c45b1e0:c331c09f
Validity :This key is valid.
Access key to keystore user/user1
$ lsuser user1
user1 id=203 pgrp=staff groups=staff,group1,group2 home=/home/user1
shell=/usr/bin/ksh
$ efskeymgr -o ksh
$ efskeymgr -V
List of keys loaded in the current process:
Key #0:
Kind .....................User key
Id (uid / gid) ......... 203
Type .....................Private key
Algorithm ................RSA_1024
Validity .................Key is valid
Fingerprint ..............
eb1aab3e:39c3191c:15cb36d6:57bb2a7c:b3c6d356
Key #1:
Kind .....................User key
Id (uid / gid) ......... 205
Type .....................Private key
Algorithm ................RSA_1024
Validity .................Key is valid
Fingerprint ..............
30412121:e5a7b90d:dba7dd19:2c45b1e0:c331c09f
Key #2:
Kind .....................Group key
Id (uid / gid) ......... 202
Type .....................Private key
Algorithm ................RSA_1024
Validity .................Key is valid
Fingerprint ..............
19f16934:20a54e8e:d59aea33:111a37bf:06261785
Key #3:
Kind .....................Group key
Id (uid / gid) ......... 203
Type .....................Private key
Algorithm ................RSA_1024
Validity .................Key is valid
Fingerprint ..............
bdf38da7:57cd4486:6794c1bf:5329e0c4:4d042fcc
# efskeymgr -k user/user3 -s user/user5
root's EFS password:
$ id uid=207(user5) gid=1(staff)
$ efskeymgr -v
Keystore content:
Keystore owner ............: uid 207
Keystore mode .............: admin:managed by EFS administrator
Password changed last on ..: 05/10/07 at 11:41:51
Private key:
Algorithm :RSA_1024
Fingerprint :6a9423b3:f59f0497:2f0f8ba0:9805a358:e18b16cd
Validity :This key is valid.
Access key to keystore user/user3
$ efskeymgr -o ksh
$ efskeymgr -V
List of keys loaded in the current process:
Key #0:
Kind .....................User key
Id (uid / gid) ......... 203
Type .....................Private key
Algorithm ................RSA_1024
Validity .................Key is valid
Fingerprint ..............
eb1aab3e:39c3191c:15cb36d6:57bb2a7c:b3c6d356
Key #1:
Kind .....................User key
Id (uid / gid) ......... 205
Type .....................Private key
Algorithm ................RSA_1024
Validity .................Key is valid
Fingerprint ..............
30412121:e5a7b90d:dba7dd19:2c45b1e0:c331c09f
Key #2:
Kind .....................User key
Id (uid / gid) ......... 207
Type .....................Private key
Algorithm ................RSA_1024
Validity .................Key is valid
Fingerprint ..............
6a9423b3:f59f0497:2f0f8ba0:9805a358:e18b16cd
Key #3:
Kind .....................Group key
Id (uid / gid) ......... 202
Type .....................Private key
Algorithm ................RSA_1024
Validity .................Key is valid
Fingerprint ..............
19f16934:20a54e8e:d59aea33:111a37bf:06261785
Key #4:
Kind .....................Group key
Id (uid / gid) ......... 203
Type .....................Private key
Algorithm ................RSA_1024
Validity .................Key is valid
Fingerprint ..............
bdf38da7:57cd4486:6794c1bf:5329e0c4:4d042fcc
|
|
|
撤销对用户密钥存储库的访问权限
在 root 授予了对用户密钥存储库的访问权限之后,他或者她可以决定撤销这个访问权限。首先应该阅读并了解“授予对用户密钥存储库的访问权限”中描述的场景,然后再阅读本部分中所描述的场景。我们执行了下面的操作,如示例 8 所示:
-
以 user5 的身份登录,并且运行 efskeymgr -V 命令,以显示他或者她可以访问的访问密钥:
-
user3 密钥存储库的访问密钥
-
user1 密钥存储库的访问密钥
-
user5 密钥存储库的访问密钥
-
gid 为 202 的组的密钥存储库的访问密钥
-
gid 为 203 的组的密钥存储库的访问密钥
-
以 user3 的身份登录,并且运行 efskeymgr -V 命令,以显示他或者她可以访问的访问密钥:
-
user3 密钥存储库的访问密钥
-
user1 密钥存储库的访问密钥
-
gid 为 202 的组的密钥存储库的访问密钥
-
gid 为 203 的组的密钥存储库的访问密钥
-
root 使用 efskeymgr 命令,撤销 user3 对 user1 的密钥存储库的访问权限。
-
user3 运行 efsmgr -v 命令,以显示 user3 密钥存储库的内容。他或者她现在只能访问自己的密钥存储库。
-
user5 在当前 Shell 中重新加载他或者她的密钥存储库的内容。他或者她现在只能够访问自己的密钥,以及 user3 密钥存储库的访问密钥。user1 密钥存储库的访问密钥不再可用。
示例 8 撤销对用户密钥存储库的访问权限
$ id uid=207(user5) gid=1(staff)
$ efskeymgr -V
List of keys loaded in the current process:
Key #0:
Kind .....................User key
Id (uid / gid) ......... 203
Type .....................Private key
Algorithm ................RSA_1024
Validity .................Key is valid
Fingerprint ..............
eb1aab3e:39c3191c:15cb36d6:57bb2a7c:b3c6d356
Key #1:
Kind .....................User key
Id (uid / gid) ......... 205
Type .....................Private key
Algorithm ................RSA_1024
Validity .................Key is valid
Fingerprint ..............
30412121:e5a7b90d:dba7dd19:2c45b1e0:c331c09f
Key #2:
Kind .....................User key
Id (uid / gid) ......... 207
Type .....................Private key
Algorithm ................RSA_1024
Validity .................Key is valid
Fingerprint ..............
6a9423b3:f59f0497:2f0f8ba0:9805a358:e18b16cd
Key #3:
Kind .....................Group key
Id (uid / gid) ......... 202
Type .....................Private key
Algorithm ................RSA_1024
Validity .................Key is valid
Fingerprint ..............
19f16934:20a54e8e:d59aea33:111a37bf:06261785
Key #4:
Kind .....................Group key
Id (uid / gid) ......... 203
Type .....................Private key
Algorithm ................RSA_1024
Validity .................Key is valid
Fingerprint ..............
bdf38da7:57cd4486:6794c1bf:5329e0c4:4d042fcc
# efskeymgr -k user/user3 -S user/user1
root's EFS password:
$ id uid=205(user3) gid=1(staff)
$ efskeymgr -v
Keystore content:
Keystore owner ............: uid 205
Keystore mode .............: admin:managed by EFS administrator
Password changed last on ..: 05/10/07 at 09:41:20
Private key:
Algorithm :RSA_1024
Fingerprint :30412121:e5a7b90d:dba7dd19:2c45b1e0:c331c09f
Validity :This key is valid.
$ id uid=207(user5) gid=1(staff)
$ efskeymgr -o ksh
$ efskeymgr -V
List of keys loaded in the current process:
Key #0:
Kind .....................User key
Id (uid / gid) ......... 205
Type .....................Private key
Algorithm ................RSA_1024
Validity .................Key is valid
Fingerprint ..............
30412121:e5a7b90d:dba7dd19:2c45b1e0:c331c09f
Key #1:
Kind .....................User key
Id (uid / gid) ......... 207
Type .....................Private key
Algorithm ................RSA_1024
Validity .................Key is valid
Fingerprint ..............
6a9423b3:f59f0497:2f0f8ba0:9805a358:e18b16cd
|
由于篇幅的原因,本文被分为两部分,请您继续访问下半部分。
参考资料 学习
讨论
关于作者 | | | Brad Gough 是 IBM 悉尼全球服务部门的一名 AIX 技术工程师,他从1987年进入 IBM,最开是一名 RS/6000 的硬件工程师,2000年他转做 AIX 的支持工作,主要擅长于AIX,NIM和HACMP。他目前主要负责澳大利亚和新西兰地区的 P 系列主机的安装以及实施工作。他拥有多个 IBM 的 P 系列认证。 |
对本文的评价
| 
