Verschlüsselte logische Datenträger

Die Verschlüsselung von logischen Datenträgern (LV) schützt vor Datenverlust durch verlorene oder gestohlene Festplatten oder durch unsachgemäß stillgelegte Computer. Das Basisbetriebssystem führt eine LV-Datenverschlüsselung und -entschlüsselung während E/A-Operationen durch. Anwendungen, die E/A-Operationen über die Schnittstellen des Dateisystems oder des logischen Datenträgers durchführen, können die geschützten Daten ohne Änderungen verwenden.

Die folgenden Dateisätze müssen installiert werden, um die LV-Daten zu verschlüsseln. Diese Dateigruppen sind in das Basisbetriebssystem eingeschlossen.

  • bos.hdcrypt
  • bos.kmip_client
  • bos.rte.lvm
  • security.acf
  • openssl.base

LV-Verschlüsselung konfigurieren

Ab IBM® AIX® 7.2 mit Technology Level 5 können Sie alle LV-Verschlüsselungsvorgänge mit dem Befehl ' hdcryptmgr verwalten.

Einschränkungen des verschlüsselten LV

Wenn ein LV verschlüsselt ist, werden die folgenden LV-Befehle oder -Funktionen nicht unterstützt:

cplv, Befehl
Wenn der Befehl " cplv ein logisches Volume erstellt, wird das LV nicht verschlüsselt. Als Abhilfe können Sie ein logisches Volume erstellen, in dem die Verschlüsselung aktiviert ist, indem Sie den Befehl " mkvg -k y verwenden und es initialisieren. Sie können dann den Befehl " cplv verwenden, um den Inhalt des Quell-LVs in das LV zu kopieren, in dem die Verschlüsselung aktiviert ist.
befehl splitvg und Befehl joinvg
Wenn Sie den Befehl " splitvg verwenden, wird die gespiegelte Volume Group (VG) in eine primäre VG und eine Snapshot-VG aufgeteilt. Die Authentifizierungsmethoden Plattform-Keystore (PKS) und Schlüsseldatei können auf der Snapshot-VG nicht verwendet werden. Diese Authentifizierungsmethoden können jedoch in der primären VG verwendet werden.

Sie können eine Authentifizierungsmethode eines logischen Volumes in einer primären Volume-Gruppe nicht entfernen. Sie können auch keine Authentifizierungsmethode für ein logisches Volume in einer Snapshot-VG hinzufügen oder löschen.

splitlvcopy, Befehl
Der Befehl " splitlvcopy wird auf einem verschlüsselten logischen Datenträger nicht unterstützt.
Befehl chlvcopy
Der Befehl " chlvcopy wird auf einem verschlüsselten logischen Datenträger nicht unterstützt.
snapshot, Befehl
Wenn Sie einen Snapshot eines Dateisystems erstellen, das ein verschlüsseltes LV verwendet, und wenn das Ziel-LV nicht existiert, wird ein LV erstellt, in dem die Verschlüsselung nicht aktiviert ist. Das Quell-LV muss entsperrt sein, um die Daten auf das Ziel-LV zu kopieren.
befehl savevg und Befehl restvg
Wenn Sie den Befehl " savevg oder " restvg verwenden, bleibt die Verschlüsselungsoption auf VG-Ebene erhalten. Die Verschlüsselungsoption auf LV-Ebene wird jedoch nicht beibehalten, wenn Sie den Befehl " savevg ausführen. Daher werden mit dem Befehl " restvg logische Datenträger neu erstellt, ohne die Verschlüsselungsoption zu aktivieren. Sie können den Befehl " hdcryptmgr plain2crypt verwenden, um die wiederhergestellten LVs in verschlüsselte LVs umzuwandeln.
Gleichzeitiger Modus
Die LV-Verschlüsselungsfunktion wird nicht unterstützt, wenn eine Volume-Gruppe im gleichzeitigen Modus variiert wird.
Boot-Partition
LV-Verschlüsselung wird für eine VG, die die Boot-Partition enthält, nicht unterstützt.
AIX Live-Update
Die Live-Update-Operation wird nicht unterstützt, wenn die LV-Verschlüsselung aktiviert ist.
E/A-Serialisierung
Die E/A-Serialisierung ist nicht garantiert, während die LV-Verschlüsselungskonvertierung in Bearbeitung ist.

Dateisystemprüfung für verschlüsselte LV

Beachten Sie die folgenden Punkte, wenn Sie Dateisysteme erstellen oder ändern, die mit einem verschlüsselten LV verbunden sind:

  • Wenn Sie ein Dateisystem auf einem verschlüsselten LV erstellen oder anhängen, müssen Sie sicherstellen, dass das verschlüsselte LV entsperrt und aktiviert wird.
  • Wenn ein verschlüsseltes LV, das ein Dateisystem unter Verwendung der NFS-Datei /etc/exports beherbergt, während des Systemstarts nicht entsperrt wird, schlägt der Einhängevorgang des Dateisystems fehl und die Tabelle der physischen Dateisysteme in der Datei /etc/exports wird nicht aktualisiert. Nachdem das verschlüsselte LV entsperrt wurde und das Dateisystem angehängt ist, können Sie den Befehl exportfs -a ausführen, um die /etc/exports -Datei zu aktualisieren.
  • Im Enhanced Journaled File System ( JFS2 ) können Sie ein einzelnes Log-Gerät über mehrere Dateisysteme hinweg verwenden. Wenn die Protokolleinheit in mehreren Dateisystemen gemeinsam genutzt wird und das von den Dateisystemen verwendete LV verschlüsselt ist, muss das LV entsperrt werden, bevor Dateisysteme angehängt werden können.
Hinweis : Das security.acf -Dateiset ist eine Abhängigkeit für einige Dateisets. Die vorherigen Versionen des security.acf -Dateisets enthielten das security.acf.pre_d -Skript, das ausgeführt wird, wenn Sie einen Deinstallationsvorgang ausführen oder eine Vorschau des Deinstallationsvorgangs anzeigen. Das Skript security.acf.pre_d stoppt den Daemon ssh während der Vorschau der Deinstallation. Wenn das Skript /usr/lpp/security.acf/deinstl/security.acf.pre_d auf dem System vorhanden ist, wird empfohlen, das Skript manuell aus dem System zu entfernen, bevor Sie die Deinstallationsvorschau ausführen.