Commande acfo

Editer en ligne

Objectif

Gère les paramètres réglables de la fonction ACF (Advanced Crypto Facility).

Syntaxe

acfo [-d] | [-d -t tunable_name]
acfo -R
acfo -r tunable_name
acfo -p [-R | -r -t tunable_name] | [-t tunable_name=value]
acfo -t tunable_name=value
acfo [-h] | [-h -t tunable_name]

Descriptif

La commande acfo peut afficher ou modifier les paramètres réglables actuels et persistants d'ACF. Les paramètres réglables ACF déterminent si l'accélération du nid (NX) ou l'accélération cryptographique en core doit être utilisée dans les API de cryptage de noyau fournies par les normes de cryptographie de clé publique (PKCS) #11.

Actuellement, l'accélération de chiffrement NX et in-core ne prend en charge que la norme AES (Advanced Encryption Standard) pour le sous-système PKCS #11 .

L'accélération cryptographique NX est prise en charge sur les serveurs à base de processeurs POWER7+ et ultérieurs. L'accélération cryptographique intégrée est prise en charge par les serveurs basés sur le processeur POWER8 et les versions ultérieures. Vous ne pouvez pas activer l'accélération cryptographique en cours si le serveur ne la prend pas en charge.

Les API de chiffrement de noyau sont utilisées par le système de fichiers de chiffrement (EFS), la sécurité IP (IPSec), le chiffrement de volume logique, les extensions de noyau et les applications d'espace utilisateur qui utilisent l'objet d'API AIX® PKCS #11 , /usr/lib/pkcs11/ibm_pks11.so.

Le pilote d'unité PKCS #11 doit être actif lorsque vous exécutez la commande acfo .

Les valeurs de paramètre réglable persistantes sont des valeurs qui sont conservées par les paramètres réglables lors de l'opération de réamorçage. Les valeurs des paramètres optimisables persistants sont stockées dans la base de données ODM . Ces valeurs sont utilisées par les pilotes de périphérique #11 PKCS lorsque la commande CFG_INIT est exécutée pour initialiser les paramètres réglables.

La commande acfo affecte uniquement les paramètres optimisables à l'échelle du système. Par conséquent, la commande acfo n'est pas prise en charge dans un environnement de partition de charge de travail (WPAR).
Remarque: L'administrateur ne doit pas modifier les paramètres d'accélération cryptographique NX ou in-core lorsque plusieurs opérations de chiffrement de noyau sont en cours. Utilisez le paramètre -p de la commande acfo pour modifier définitivement les paramètres d'accélération, puis redémarrez la partition logique pour appliquer les modifications.

Indicateurs

-a
Affiche la valeur de tous les paramètres réglables ACF, un par ligne.
-d
Affiche tous les noms de paramètre ajustable ACF et les valeurs en cours. Lorsque vous utilisez l'indicateur -d avec l'indicateur -t , la commande acfo affiche les valeurs en cours des paramètres optimisables spécifiés.
-h
Affiche des informations d'aide sur la commande et ses arguments. Lorsque vous utilisez l'indicateur -t avec l'indicateur -h , la commande affiche des informations d'aide pour les paramètres optimisables spécifiques.
-p
Modifie les valeurs en cours et les valeurs d'amorçage suivantes des paramètres réglables de façon permanente. Si vous ne spécifiez pas l'indicateur -p , seules les valeurs en cours des paramètres réglables sont modifiées ; les modifications ne sont pas persistantes lors de l'opération d'amorçage suivante.
-R
Réinitia tous les paramètres réglables à leurs valeurs par défaut.
--r accordable
Réinitielle le paramètre réglable spécifié à sa valeur par défaut.
--t tunable [=new_value]
Affiche la valeur en cours du paramètre réglable spécifié ou définit le paramètre réglable sur la valeur spécifiée.

paramètres ajustables

Pour les valeurs par défaut et la plage de valeurs des paramètres optimisables AFC, exécutez la commande acfo -h -t tunable_name . Les noms de paramètres réglables valides sont les suivants:

Nx_enabled
Indique l'accélération cryptographique NX. Une valeur de 1 active l'accélération cryptographique NX et la valeur 0 désactive l'accélération NX crypto.
Min_sz
Indique la taille minimale des données (en octets) qui convient à l'accélération NX crypto. Si la demande d'accélération requiert moins de données que la valeur minimale spécifiée, la demande d'accélération utilise l'implémentation logicielle, telle que les méthodes de logiciel cryptographique exécutées par l'unité centrale à usage général. Ce paramètre réglable n'est applicable que pour l'accélération NX crypto.
In_core_enabled
Indique l'accélération cryptographique en cours. Une valeur de 1 active l'accélération cryptographique en core et une valeur de 0 désactive l'accélération du crypto central. Ce paramètre réglable précède le paramètre réglable Nx_enabled .

Security

Remarque: seul un utilisateur root peut exécuter la commande acfo .

Exemples

  1. Pour afficher tous les noms de paramètres réglables AFC et les valeurs en cours correspondantes, exécutez la commande suivante:
    acfo -d
nx_enabled              : 1.
min_sz                  : 1024.
in_core_enabled         : 0.
  2. Pour définir la taille minimale des données de l'accélération cryptographique AFC NX sur une valeur non persistante de 1024 octets, exécutez la commande suivante:
    acfo -t min_size=1024
  3. Pour désactiver définitivement l'accélération NX crypto, exécutez la commande suivante:
    acfo -p -t nx_enabled=0