Commande hdcryptmgr

Editer en ligne

Objectif

Permet la gestion cryptographique des volumes logiques et physiques.

Syntaxe

hdcryptmgr action [ -h ] [ flags ] devicename

Descriptif

La commande hdcryptmgr gère les volumes logiques chiffrés. À partir du niveau technologique 1 IBM® AIX® 7.3, vous pouvez exécuter la commande hdcryptmgr pour gérer les volumes logiques et physiques chiffrés. Les volumes logiques ou physiques cryptés sont gérés en spécifiant le paramètre action pour effectuer l'une des opérations suivantes :

Remarque : certains attributs du paramètre d'action sont spécifiques aux volumes logiques ou aux volumes physiques. Toutefois, certains attributs du paramètre action peuvent être utilisés à la fois pour les volumes logiques et les volumes physiques.
Tableau 1. hdcryptmgr opérations de commandement
Category (Catégorie) Paramètre action Descriptif
Afficher les paramètres de chiffrement showvg Affiche l'état du chiffrement des données du groupe de volumes.
showlv Affiche l'état du chiffrement des données du volume logique.
showmd Affiche les métadonnées de chiffrement pour un volume spécifique.
showconv Affiche l'état des opérations de conversion actives et arrêtées des volumes logiques chiffrés en volumes logiques déchiffrés, et des volumes logiques déchiffrés en volumes logiques.
showpv Affiche le statut des volumes physiques chiffrés.
Méthodes d'authentification de contrôle authinit Initialise une clé primaire pour le chiffrement des données dans le volume.
authunlock ou authunl S'authentifie auprès du volume crypté pour déverrouiller la clé primaire du volume.
authadd Ajoute des méthodes d'authentification supplémentaires.
authcheck ou authchk Vérifie la validité d'une méthode d'authentification.
authdelete ou authdel Supprime une méthode d'authentification.
authmod Modifie le mot de passe pour la méthode de protection de la clé par phrase secrète.
authsetrvgpwd ou setrvgpwd Définit le mot de passe de récupération pour le groupe de volume racine (rootvg) après l'installation de BOS.
Gérer les clés du magasin de clés de la plate-forme (PKS) pksimport Importe les clés PKS.
pksexport Exporte les clés PKS.
pksclean Supprime une clé PKS.
pksshow Affiche l'état des touches PKS.
Conversion du statut de chiffrement du volume logique plain2crypt Active le chiffrement dans un volume logique et chiffre les données du volume logique.
crypt2plain Décrypte les données du volume logique et désactive le cryptage dans un volume logique.
Chiffrement de volume physique pvenable Active le chiffrement d'un volume physique.
pvdisable Désactive le chiffrement d'un volume physique.
pvsavemd Enregistre les métadonnées du volume physique dans un fichier spécifié.
pvrecovmd Récupère les métadonnées du volume physique.
Remarque : les disques NVMe (Non-Volatile Memory Express) et VPM (Virtual Persistent vPMem Memory) ne prennent pas en charge le chiffrement.

Affichage des paramètres de cryptage

Vous pouvez exécuter les actions suivantes avec la commande hdcryptmgr pour afficher les paramètres de cryptage :

showvg
Syntaxe :
hdcryptmgr showvg [ -h ] [ device ]
Affiche le statut de chiffrement des données des groupes de volumes spécifiés. Si vous ne spécifiez pas de groupe de volumes, la commande hdcryptmgr affiche l'état de chiffrement des groupes de volumes.
# hdcryptmgr showvg
VG NAME / ID          ENCRYPTION ENABLED  
EVG1                      yes                 
INSTALLVG                 yes                 
rootvg                    no
showlv
Syntaxe :
hdcryptmgr showlv [ -h ] [ -v ] device
Affiche le statut de chiffrement de données d'un volume logique. Indiquez le nom du périphérique d'un groupe de volumes ou d'un volume logique. Lorsque vous spécifiez un groupe de volumes, la commande hdcryptmgr affiche l'état du chiffrement des données des volumes logiques du groupe de volumes. Lorsque vous spécifiez un volume logique, cette commande affiche l'état de chiffrement des données du volume logique spécifié. Si la capacité de chiffrement des données pour le groupe de volumes n'est pas activée, un message s'affiche, indiquant que le chiffrement n'est pas activé sur le groupe de volumes.
# hdcryptmgr showlv vg00
NAME                 CRYPTO_STATUS    %ENCRYPTED       NOTE            
lv00                 unlocked         100             
lv01                 unlocked         100             
lv03                 not_enabled      0               
lv04                 locked           100             
lv02                 uninitialized    0               
lv06                 uninitialized    n/a              not_accessible  
lv07                 locked           100             
fslv00               locked           1                encrypting
showmd
Syntaxe
hdcryptmgr showmd [ -h ] [ -v ] device
Affiche les métadonnées de chiffrement d'un volume logique, d'un groupe de volumes ou d'un volume physique spécifique. Indiquez le nom du périphérique d'un volume logique, d'un groupe de volumes ou d'un volume physique. Lorsque vous spécifiez un groupe de volumes, seules les métadonnées de chiffrement d'en-tête et de fin du groupe de volumes spécifié sont affichées. Lorsque vous spécifiez un volume physique chiffré, les métadonnées associées au volume physique sont affichées. Si le volume physique spécifié n'est pas chiffré et s'il fait partie d'un groupe de volumes contenant des volumes logiques chiffrés, les métadonnées des volumes logiques chiffrés sont affichées. Les métadonnées sont affichées même si le groupe de volumes correspondant n'est pas activé. Lorsque vous spécifiez un volume logique, l'intégralité des métadonnées de chiffrement du volume logique spécifique s'affiche.
# hdcryptmgr showmd ELV1
.....
.....    Wed Jun 17 13:25:46 2020
.....    Device type : LV
.....    Device name : ELV1
.....

=============== B: LV HEADER ================
Version                      : 0
MasterKey                    : Defined
MasterKey size               : 16 bytes
Encryption status            : Fully encrypted
Data crypto algorithm        : AES_XTS
=============== E: LV HEADER ================

============= B: LV AUTH METHODS ============
---- Index #0 -------------------------------
Method defined               : yes
Method name                  : initpwd
Authentication type          : Passphrase
Auto-auth method             : no
MasterKey crypto algorithm   : AES_GCM
---- Index #1 -------------------------------
Method defined               : no
---- Index #2 -------------------------------
Method defined               : no
---- Index #3 -------------------------------
Method defined               : no
---- Index #4 -------------------------------
Method defined               : no
---- Index #5 -------------------------------
Method defined               : no
============= E: LV AUTH METHODS ============
showconv
Syntaxe
hdcryptmgr showconv [ -h ]
Affiche l'état des processus actifs et arrêtés du volume logique en cours de conversion.
# hdcryptmgr showconv
NAME          TID/STATUS       %ENCRYPTED       DIRECTION        START_TIME      
lv03          29557045         3                plain2crypt      Sun Feb 14 09:43:10 2021
fslv00        stopped/dirty    1                plain2crypt
showpv
Syntaxe :
hdcryptmgr showpv [ -h ] [ -v ] [ device ]
-h
Affiche le message d'aide.
-v
Spécifie le mode verbeux. Imprime une sortie plus détaillée si le nom de l'unité de volume physique est indiqué.
dispositif
Indique le nom d'unité du volume physique chiffré. L'attribut device est facultatif.

Affiche des informations sur un ou tous les volumes physiques chiffrés. Si le nom du volume physique chiffré est indiqué, des informations sur le volume physique spécifique sont affichées. Si le nom du périphérique n'est pas spécifié, des informations sur les volumes physiques chiffrés sont affichées.

# hdcryptmgr showpv
NAME                    CRYPTO_STATUS       %ENCRYPTED     NOTE
hdisk24                 unlocked             100
hdisk25                 unlocked             100

Contrôle des méthodes d'authentification

La fonction de cryptage des volumes logiques et physiques prend en charge les méthodes de protection des clés telles que la phrase de passe, le fichier de clés, la solution de gestion du serveur de clés ( IBM Security Key Lifecycle Manager (keyserv), Key Protect (IBM Key Protect for IBM Cloud®), HPCS ( IBM Cloud® Hyper Protect Crypto Services (HPCS), et PKS. Spécifiez manuellement un mot de passe ou l'emplacement d'un fichier clé pour les méthodes de protection par phrase secrète et par fichier clé. Vous pouvez utiliser la gestion du serveur de clés et les méthodes de protection PKS pour déverrouiller et activer automatiquement le volume crypté. Pour qualifier la méthode d'authentification du serveur de clés de méthode automatique, stocker le mot de passe du certificat client dans PKS ou ne pas choisir de mot de passe pour le certificat client. Pour contrôler les méthodes d'authentification, vous pouvez exécuter les actions suivantes avec la commande hdcryptmgr :
authinit
Syntaxe
hdcryptmgr authinit [ -h ] [ -e algo_detail ] [ -n name ] device
Initialise la clé primaire et les métadonnées de chiffrement pour un volume chiffré. Pour chaque volume chiffré, la clé primaire et les métadonnées chiffrées ne doivent être initialisées qu'une seule fois. Une première phrase passe obtenue à partir de la méthode de protection par clé est ajoutée aux métadonnées de chiffrement du volume. Le paramètre d'action pvenable exécute également le paramètre d'action authinit pour initialiser l'authentification sur un volume physique. Vous pouvez spécifier les indicateurs ou valeurs suivants pour le paramètre d'action authinit :
-e
Indique l'algorithme de chiffrement de données, le mode et la longueur de la clé. Les valeurs valables de l'indicateur -e sont les suivantes :
prompt
Indique que les détails de l'algorithme de chiffrement sont demandés lors de l'exécution de la commande.
[algorithme] : [b|B] [longueur_clé] [:w]
Indique les détails de l'algorithme de chiffrement. Les algorithmes pris en charge sont le mode AES (Advanced Encryption Standard XTS) 128 bits ou 256 bits. Par défaut, le caractère b représente les bits de la clé, le caractère B représente les octets de la clé et la variable key_len représente la longueur de la clé. Le paramètre :w remplace les valeurs par défaut du groupe de volumes par les valeurs spécifiées. Par défaut, lorsqu'un groupe de volumes ou un volume physique dans lequel le chiffrement est activé est créé, l'algorithme de chiffrement par défaut est AES-XTS 128 bits.
-n
Indique un nom pour la méthode de protection des clés. Le nom peut varier entre 1 et 15 caractères et ne peut contenir que des caractères tels que A - Z, a - z, 0 - 9, trait de soulignement (_), signe moins (-) ou point (.). Tous les autres caractères sont considérés comme non valables.
dispositif
Indique le nom d'unité du volume logique, du groupe de volumes ou du volume physique pour lequel la méthode de protection par clé doit être initialisée.
authadd
Syntaxe
hdcryptmgr authadd [ -h ] [ -t type [ -m method_detail ] ] [ -n name ] device
Ajoute une méthode de protection de clé supplémentaire à un volume crypté dans lequel une méthode de protection de clé est déjà initialisée. Pour activer la méthode d'authentification que vous avez ajoutée à un volume chiffré, le volume chiffré doit être déverrouillé. Ce paramètre d'action peut être spécifié avec les drapeaux ou valeurs suivants :
-t
Indique le type de protection de clé. Les valeurs valides sont pwd, keyfile, keyserv, hpcset pks.
-m
Indique des informations supplémentaires sur la méthode de protection des clés pouvant inclure les détails suivants:
  • Chemin d'entrée du fichier de clés d'authentification
  • ID du serveur de clés dans la classe KeySvr Object Data Manager (ODM)
  • Nom du serveur de clés dans la classe HpcsSvr ODM
-n
Indique un nom pour la méthode de protection des clés. Le nom peut être compris entre 1 et 15 caractères et ne peut contenir que des caractères tels que A - Z, a - z, 0 - 9, le trait de soulignement (_), le signe moins (-) ou le point (.). Tous les autres caractères sont considérés comme non valables.
dispositif
Indique le nom d'unité du volume logique ou du volume physique pour lequel la méthode de protection par clé doit être ajoutée.

Si vous ne spécifiez pas les indicateurs ou les valeurs requis lorsque vous exécutez la commande hdcryptmgr authadd , vous êtes invité à les spécifier. Pour plus d'informations sur l'enregistrement des informations de serveur de clés, voir la commande keysvrmgr .

authunlock ou authunl
Syntaxe :
hdcryptmgr authunlock [ -h ] [ -t type [ -m method_detail ] ] [ -A] device
S'authentifie auprès du volume chiffré et déverrouille les volumes chiffrés. Ce paramètre d'action peut être spécifié avec les drapeaux ou valeurs suivants :
-A
Authentifie le volume logique crypté en utilisant les méthodes de protection automatique des clés qui ne nécessitent aucune entrée de la part de l'utilisateur. Utilisez cet indicateur au niveau d'un groupe de volumes uniquement si le groupe de volumes utilise des méthodes de protection automatique des clés, telles qu'une solution de gestion de serveur de clés ou le PKS.
-t
Indique le type de la méthode de protection des clés. Les valeurs valides sont pwd, keyfile, keyserv, hpcset pks.
-m
Indique des informations supplémentaires sur la méthode de protection des clés pouvant inclure les détails suivants:
  • Chemin d'entrée du fichier de clés d'authentification
  • ID du serveur de clés dans la classe KeySvr ODM
  • Nom du serveur de clés dans la classe HpcsSvr ODM
dispositif
Indique le nom d'unité du volume logique ou du volume physique qui doit être authentifié, puis la méthode de protection des clés doit être déverrouillée. Spécifiez cette valeur avec l'option -A .

Lorsque vous spécifiez un nom d'unité, vous pouvez spécifier la méthode de protection par clé à l'aide des indicateurs -t et -m . Si plusieurs méthodes de protection par clé répondent aux critères, vous êtes invité à sélectionner une méthode de protection par clé spécifique.

Remarque: pour les volumes logiques chiffrés qui utilisent des méthodes d'authentification du serveur de clés lors de l'opération d'amorçage pour déchiffrer le volume logique, le certificat du serveur ou du client doit se trouver dans le répertoire /etc ou dans les systèmes de fichiers qui sont montés tôt dans la séquence de l'opération d'amorçage.
authcheck ou authchk
Syntaxe
hdcryptmgr authcheck [ -h ] [ -t <type> [ -m <method_detail> ] ] [ -i <index> ] [ -n <name> ] <device>
Vérifie la validité d'une méthode d'authentification. Vous pouvez spécifier ce paramètre d'action avec les drapeaux ou valeurs suivants :
-h
Affiche les informations d'aide.
-t
Indique le type de la méthode de protection des clés. Les valeurs valides sont pwd, keyfile, keyserv, hpcset pks.
-m
Indique des informations supplémentaires sur la méthode de protection des clés pouvant inclure les détails suivants:
  • Chemin d'entrée du fichier de clés d'authentification
  • ID du serveur de clés dans la classe KeySvr ODM
  • Nom du serveur de clés dans la classe HpcsSvr ODM
-i
Vérifie l'authentification de l'index spécifié uniquement. Un type d'authentification est automatiquement forcé en fonction de l'index sélectionné.
-n
Indique le nom de la méthode de protection des clés à vérifier. Un nom peut être compris entre 1 et 15 caractères et ne peut contenir que des caractères tels que A - Z, a - z, 0 - 9, le trait de soulignement (_), le signe moins (-) ou le point (.). Tous les autres caractères sont considérés comme non valables.
dispositif
Indique le nom d'unité du volume logique ou du volume physique à vérifier.
authdelete ou authdel
Syntaxe
hdcryptmgr authdelete [ -h ] [ -t type [ -m method_detail ] ] [ -i index] [ -n name ] [ -f ] device
Supprime une méthode de protection de clé lancée. Vous pouvez spécifier ce paramètre d'action avec les drapeaux ou valeurs suivants :
-t
Indique le type de protection de clé. Les valeurs valides sont pwd, keyfile, keyserv, hpcs et pks.
-m
Indique des informations supplémentaires sur la méthode de protection des clés pouvant inclure les détails suivants:
  • Chemin d'entrée du fichier de clés d'authentification
  • ID du serveur de clés dans la classe KeySvr ODM
  • Nom du serveur de clés dans la classe HpcsSvr ODM
-i
Indique l'index de la méthode de protection des clés à supprimer.
-n
Indique le nom de la méthode de protection des clés à supprimer. Le nom peut être compris entre 1 et 15 caractères et ne peut contenir que des caractères tels que A - Z, a - z, 0 - 9, le trait de soulignement (_), le signe moins (-) ou le point (.). Tous les autres caractères sont considérés comme non valables.
-f
Indique l'option de forçage. Cet indicateur ignore les vérifications de la méthode d'authentification pour supprimer la méthode de protection des clés.
dispositif
Indique le nom d'unité du volume logique ou physique pour lequel la méthode de protection par clé doit être supprimée.

Une seule méthode de protection par clé peut être supprimée à la fois. Si vous connaissez l'index ou le nom correct de la méthode de protection des clés, vous pouvez spécifier la méthode de protection des clés à l'aide des indicateurs -i ou -n . Vous pouvez utiliser les indicateurs -t et -m pour filtrer la liste des méthodes de protection des clés existantes. Si plusieurs entrées correspondent aux critères spécifiés, vous êtes invité à choisir la méthode de protection par clé à supprimer.

Avant de supprimer la méthode de protection des clés, la validité de la méthode de protection des clés est vérifiée, sauf si l'indicateur -f est utilisé. S'authentifier sur le volume avec la méthode de protection par clé sélectionnée.

Remarque : assurez-vous que le volume dispose au moins d'une méthode de protection par clé à phrase secrète après avoir effectué l'opération authdelete .
authsetrvgpwd ou setrvgpwd
Syntaxe
hdcryptmgr authsetrvgpwd [-h]
Définit un mot de passe de récupération pour le groupe de volumes root. Lorsque vous installez le système d'exploitation dans une LPAR, si vous activez le chiffrement des volumes logiques, seule la méthode d'authentification PKS est créée pour les volumes logiques chiffrés. Une fois l'installation terminée et le démarrage de la partition logique en mode normal, vous devez exécuter la commande hdcryptmgr authsetrvgpwd pour ajouter un mot de passe de récupération pour le groupe de volumes root.
début de la modificationauthmodfin de la modification
début de la modificationSyntaxe
hdcryptmgr authmod [ -h ] [ -t <type> ] [ -i <index> ] [ -n <name> ] <device>
fin de la modification
début de la modificationModifie la méthode de protection par clé sélectionnée. Vous pouvez spécifier ce paramètre d'action avec les drapeaux suivants :
-h
Affiche les informations d'aide.
-t
Indique le type de la méthode de protection des clés. La valeur valide est pwd.
Note : Par défaut, la méthode de protection des clés est définie sur pwd si vous ne spécifiez pas -t pwd lorsque vous exécutez la commande hdcryptmgr authmod . Vous pouvez spécifier la méthode de protection des clés en utilisant les drapeaux -i ou -n si vous connaissez l'index ou le nom de la méthode de protection des clés.
-i
Cible la modification de l'index spécifié uniquement.
-n
Spécifie le nom donné à la méthode d'authentification. Un nom peut comporter de 1 à 15 caractères et ne peut contenir que les caractères A-Z, a-z, 0-9, le trait de soulignement (_), le signe moins (-) ou le point (.). Tous les autres caractères sont considérés comme non valables.
dispositif
Indique le nom d'unité du volume logique ou du volume physique à vérifier.
fin de la modification

Gestion des clés PKS

Le PKS est une méthode sécurisée de protection des clés qui est disponible dans le micrologiciel IBM PowerVM® de IBM Power® E950. Vous pouvez ajouter la méthode de protection par clé PKS à un volume logique crypté. Vous pouvez utiliser les paramètres d'action suivants pour gérer les clés PKS pour l'authentification :

pksshow
Syntaxe
hdcryptmgr pksshow [-h]
Affiche le libellé PKS du volume associé aux clés PKS et l'état des clés PKS. Les libellés PKS qui sont stockés à la fois dans le PKS et dans les métadonnées de volume sont affichés.
# hdcryptmgr pksshow

Total PKS size: 65536 bytes 
Used  PKS size: 479 bytes
Estimated encryption key slots: 747

PKS_Label (LVid)                         Status		Device
00fb293100004c0000000174c0a994b7.1       VALID		 testlv
00fb293100004c0000000174c0a994b7.2       UNKNOWN	      
00fb293100004c0000000174c0a994b7.3       UNKNOWN	      

PKS_Label (PVuuid)                           status           Device          
pvuuid:706aa87a-e4d0-f2ec-3999-2631162226d2  VALID KEY        hdisk3

PKS_Label (objects)
ksvr:gpfs-pw-t2
pksclean
Syntaxe
hdcryptmgr pksclean [ -h ] <pks_label>
Supprime une clé non valide du PKS. Indiquez l'étiquette PKS associée à la clé non valide que vous souhaitez supprimer. Cette commande doit être utilisée pour supprimer les clés qui sont répertoriées dans la sortie de la commande hdcryptmgr pksshow avec le statut UNKNOWN.
pksexport
Syntaxe
hdcryptmgr pksexport [-h] -p ExportFile device
Exporte les clés PKS dans le fichier spécifié. Si vous indiquez un nom de périphérique de volume logique ou physique, la clé PKS associée au volume logique ou physique spécifié est exportée. Si vous indiquez un nom d'unité de groupe de volumes, toutes les clés PKS associées aux volumes logiques du groupe de volumes sont exportées.
Remarque: Vous pouvez exporter les clés PKS de plusieurs unités dans le même fichier. Dans AIX 7.3.0, le contenu du fichier existant est remplacé par le contenu nouvellement exporté. Par conséquent, l'utilisation de mots de passe différents ne pose aucun problème. Dans AIX 7.3.1et les versions ultérieures, le nouveau contenu est ajouté à la fin du contenu du fichier existant. Par conséquent, vous devez utiliser le même mot de passe pour toutes les unités, sinon la commande pksimport échoue.
pksimport
Syntaxe
hdcryptmgr pksimport [-h] -p ExportFile [device]
Importe les clés PKS dans le fichier spécifié. Si vous indiquez un nom de périphérique de volume logique ou physique, la clé PKS associée au volume logique ou physique spécifié est importée. Si vous indiquez un nom d'unité de groupe de volumes, toutes les clés PKS associées aux volumes logiques du groupe de volumes sont importées. Si vous n'indiquez pas de nom d'unité, toutes les clés PKS sont importées.

Conversion du statut de chiffrement du volume logique

Vous pouvez convertir un volume logique normal en volume logique chiffré, et un volume logique chiffré en volume logique normal. Vous pouvez effectuer cette opération de conversion uniquement sur le volume logique actif et en ligne.
Avertissement : Sauvegardez vos données avant d'exécuter les commandes de conversion suivantes.
Remarque: La conversion de l'état de chiffrement d'un volume logique n'est pas prise en charge sur les types d'amorçage, de vidage, de pagination et de volume logique aio_cache actifs.
Le rootvg doit avoir au moins une partition libre pour convertir l'état de chiffrement des volumes logiques de chiffré à déchiffré, et de déchiffré à chiffré. Lorsque vous convertissez le statut de chiffrement d'un volume logique dans le groupe de volumes root, la commande hdcryptmgr crée un volume logique de récupération pour stocker les données de récupération générées lors du changement de statut de chiffrement. Alors que pour le chiffrement des volumes logiques dans les groupes de volumes utilisateur, la commande hdcryptmgr utilise un fichier de récupération pour stocker les données de récupération. N'interrompez pas le processus de conversion qui a reçu le signal SIGKILL, car vous risquez de laisser le volume logique dans un état de dégradation (dirty state). Si le volume logique requis pour le processus d'amorçage est sale, la partition logique risque de ne pas démarrer. La partition logique doit être réparée ou récupérée en mode maintenance. Vous pouvez utiliser les paramètres d'action suivants pour modifier l'état du chiffrement :
plain2crypt
Syntaxe
hdcryptmgr plain2crypt [-h] [-e algo_detail] [-n name] [-f] device
Active le chiffrement dans un volume logique, configure les paramètres de chiffrement et chiffre les données du volume logique. Ce paramètre d'action peut être spécifié avec les drapeaux et valeurs suivants :
-e
Indique l'algorithme de chiffrement de données, le mode et la longueur de la clé. Les valeurs valables de l'indicateur -e sont les suivantes :
prompt
Indique que les détails de l'algorithme de chiffrement sont demandés lors de l'exécution de la commande.
[algorithme] : [b|B] [longueur_clé] [:w]
Indique les détails de l'algorithme de chiffrement. Les algorithmes pris en charge sont le mode AES (Advanced Encryption Standard XTS) 128 bits ou 256 bits. Par défaut, le caractère b représente les bits de la clé, le caractère B représente les octets de la clé et la variable key_len représente la longueur de la clé. Le paramètre :w remplace les valeurs par défaut du groupe de volumes par les valeurs spécifiées. Par défaut, lorsqu'un groupe de volumes ou un volume physique dans lequel le chiffrement est activé est créé, l'algorithme de chiffrement par défaut est AES-XTS 128 bits.
-n
Indique un nom pour la méthode de protection des clés. Un nom peut comporter de 1 à 15 caractères et ne peut contenir que les caractères A - Z, a - z, 0 - 9, le trait de soulignement (_), le signe moins (-) ou le point (.). Tous les autres caractères sont considérés comme non valables.
-f
Indique l'option de forçage. Si vous n'utilisez pas cet indicateur, la commande hdcryptmgr vous demande de confirmer que les données sont sauvegardées. L'option de forçage supprime cette invite.
dispositif
Indique le nom d'unité du volume logique pour lequel le statut de chiffrement doit être converti.
crypt2plain
Syntaxe
hdcryptmgr crypt2plain [ -h ] [ -f ] device
Déchiffre les données chiffrées du volume logique spécifié et désactive l'état de chiffrement du volume logique spécifié. Ce paramètre d'action peut être spécifié avec les drapeaux et valeurs suivants :
-f
Indique l'option de forçage. Si vous n'utilisez pas cet indicateur, la commande hdcryptmgr vous demande de confirmer que les données sont sauvegardées. L'option de forçage supprime cette invite.
dispositif
Indique le nom d'unité du volume logique pour lequel le statut de chiffrement doit être converti.

Gestion du chiffrement de volume physique

Le chiffrement d'un volume physique protège les données de l'utilisateur en chiffrant les données écrites sur le volume physique. Le système d'exploitation de base effectue le chiffrement et le déchiffrement des données des volumes physiques lors des opérations d'E-S. Pour plus d'informations sur le chiffrement des volumes physiques, voir Volumes physiques chiffrés.

Remarque : si le chiffrement d'un volume physique partagé est activé ou désactivé à l'aide des paramètres d'action pvenable ou pvdisable sur une partition logique (LPAR), exécutez les commandes rmdev et mkdev pour le volume physique partagé sur les autres LPAR ou redémarrez les autres LPAR pour prendre en compte les modifications apportées à l'état de chiffrement du volume physique partagé.

Vous pouvez exécuter les paramètres d'action suivants de la commande hdcryptmgr sur des volumes physiques chiffrés:

pvenable
Syntaxe :
hdcrpytmgr pvenable [ -h ] [e algo detail ] [ -n <name> ] [ -f ] device
Active le chiffrement sur un volume physique, configure la clé primaire et initialise la première méthode d'authentification.
-h
Affiche des informations supplémentaires.
-e
Indique l'algorithme de chiffrement de données, le mode et la longueur de la clé. Les valeurs valables de l'indicateur -e sont les suivantes :
prompt
Indique que les détails de l'algorithme de chiffrement sont affichés lors de l'exécution de la commande.
[algorithme] : [b|B] [longueur_clé] [:w]
Indique les détails de l'algorithme de chiffrement. Les algorithmes pris en charge pour les volumes physiques sont le mode AES (Advanced Encryption Standard XTS) 128 bits ou 256 bits. Par défaut, le caractère b correspond aux bits (par défaut) de la clé, le caractère B correspond aux octets de la clé et la variable key_len indique la longueur de la clé. Le paramètre :w remplace les valeurs par défaut du groupe de volumes par les valeurs spécifiées. Par défaut, lorsque vous créez un groupe de volumes ou un volume physique pour lequel le chiffrement des données est activé, l'algorithme de chiffrement par défaut est défini sur AES-XTS 128 bits.
-n
Indique le nom de la méthode de protection des clés à vérifier. Le nom peut comporter de 1 à 15 caractères et ne peut contenir que des caractères tels que A - Z, a - z, 0 - 9, le trait de soulignement (_), le signe moins (-) ou le point (.). Tous les autres caractères ne sont pas valables.
-f
Indique l'option de forçage. Si vous n'utilisez pas l'indicateur -f , la commande hdcryptmgr vous invite à confirmer que les données du volume physique sur lequel le cryptage des données est activé peuvent être supprimées.
dispositif
Indique le nom du volume physique sur lequel le chiffrement est activé.
pvdisable
Syntaxe :
hdcryptmgr pvdisable [ -h ] [ -f ] device
Désactive le chiffrement du volume physique.
-h
Affiche les informations d'aide.
-f
Indique l'option de forçage. Si vous n'utilisez pas l'indicateur -f , la commande hdcryptmgr vous invite à confirmer que les données du volume physique sur lequel le cryptage des données est désactivé peuvent être supprimées.
dispositif
Indique le nom du volume physique sur lequel le chiffrement est désactivé.
pvsavemd
Syntaxe :
hdcryptmgr pvsavemd [-h] -p file device
Enregistre les métadonnées de chiffrement du volume physique dans un fichier. Lorsque le chiffrement est activé sur un volume physique à l'aide du paramètre d'action pvenable , le système d'exploitation AIX réserve de l'espace sur le volume physique pour stocker les métadonnées de chiffrement. Les métadonnées de chiffrement sont utilisées lorsque le volume physique est déverrouillé pour les opérations d'E-S. Le paramètre d'action pvsavemd sauvegarde une copie des métadonnées de chiffrement. Le paramètre d'action pvrecovmd valide les métadonnées de chiffrement et l'enregistrement d'amorçage et restaure également les métadonnées de chiffrement à partir d'un fichier précédemment sauvegardé.
Remarque: Les paramètres d'action pvsavemd et pvrecovmd sauvegardent et récupèrent uniquement les métadonnées de chiffrement sur le volume physique. Le paramètre d'action pvsavemd n'enregistre pas les données externes telles que les détails de cryptage stockés dans les clés PKS ou dans un serveur de clés externe. Les détails de chiffrement doivent être sauvegardés séparément.
-h
Affiche les informations d'aide.
-p
Indique le chemin d'accès au fichier permettant de sauvegarder les métadonnées de chiffrement.
dispositif
Indique le nom du volume physique à partir duquel les métadonnées de chiffrement sont copiées dans un fichier spécifié.
pvrecovmd
Syntaxe :
hdcryptmgr pvrecovmd [-h] [-c] [-f] [-v] [-p File] device
Le paramètre d'action pvrecovmd vérifie les métadonnées de chiffrement sur un volume physique chiffré et tente de restaurer les métadonnées de chiffrement endommagées.

Le volume physique chiffré possède deux copies des métadonnées de chiffrement. Le paramètre d'action pvrecovmd valide et compare les copies des métadonnées de chiffrement dans le volume physique. Si l'une des copies de métadonnées de chiffrement est incorrecte, le paramètre d'action pvrecovmd remplace les métadonnées de chiffrement incorrectes par les métadonnées de chiffrement correctes. Le paramètre d'action pvrecovmd vérifie l'enregistrement d'amorçage et inclut la balise correcte dans l'enregistrement d'amorçage pour indiquer que le disque physique est crypté. Si vous spécifiez un fichier avec des métadonnées de chiffrement précédemment sauvegardées, le paramètre d'action pvrecovmd utilise le contenu du fichier spécifié pour restaurer les métadonnées de chiffrement sur le volume physique.

-h
Affiche les informations d'aide.
-f
Indique l'option de forçage. Si les métadonnées de chiffrement présentent des problèmes qui peuvent être corrigés, le paramètre d'action pvrecovmd vous invite à confirmer avant que la commande hdcryptmgr ne corrige les métadonnées de chiffrement corrompues. Si l'option –f est spécifiée, le paramètre d'action pvrecovmd écrit sur le volume physique sans l'invite.
-v
Spécifie un mode verbeux. Imprime une sortie plus détaillée si le nom de l'unité de volume physique est indiqué.
-p
Spécifie le chemin d'accès au fichier contenant les métadonnées enregistrées par la commande pvsavemd .
-c
Vérifie les métadonnées de chiffrement sur le volume physique, mais ne met pas à jour le volume physique.
dispositif
Indique le nom du volume physique pour lequel les métadonnées de chiffrement sont vérifiées.
Le paramètre d'action pvrecovmd doit être utilisé uniquement avec un volume physique activé pour le chiffrement. Si vous utilisez le paramètre d'action pvrecovmd sur un volume physique non chiffré, la commande hdcryptmr peut écraser les données utilisateur sur le volume physique non chiffré.

Restrictions des commandes et des fonctions pour les volumes logiques cryptés

Pour plus d'informations sur les commandes ou les fonctions du volume logique qui ne sont pas prises en charge lorsque le volume logique est chiffré, voir la section Limitations dans Chiffrement des volumes logiques.

Exemples

Scénario: Création d'un volume logique chiffré avec la méthode de protection par clé de phrase passe
  1. Créez un groupe de volumes dans lequel le chiffrement est activé.
    # mkvg -k y hdisk1 hdisk2
vg00
  2. Créez un volume logique crypté d'une taille de 32 Mo.
    # mklv -k y vg00 32M
mklv: Please run :
# hdcryptmgr authinit lvname [..] to define LV encryption options.
lv00
  3. Initialisez la configuration de chiffrement sur le volume logique à l'aide d'une clé primaire et de la méthode de protection par clé de phrase passe.
    # hdcryptmgr authinit -n default lv00
Enter Passphrase:
Confirm Passphrase:
Password authentication method added successfully
Scénario : Création d'un système de fichiers dans un volume logique crypté
  1. Créez un groupe de volumes dans lequel le chiffrement est activé, puis créez un volume logique d'une taille de 32 Mo et initialisez la configuration du chiffrement pour le volume logique.
    # mkvg -k y hdisk1 hdisk2
vg00
# mklv -t jfs2 -k y vg00 32M
mklv: Please run :
# hdcryptmgr authinit lvname [..] to define LV encryption options.
fslv00
# hdcryptmgr authinit -n default fslv00
Enter Passphrase:
Confirm Passphrase:
Password authentication method added successfully
  2. Créez un système de fichiers dans le volume logique chiffré de la même manière que dans un volume logique standard.
    # crfs -v jfs2 -d fslv00 -m /mnt/myfs -A no
File system created successfully.
32560 kilobytes total disk space.
New File System size is 65536
Scénario: Authentification sur un volume logique dans lequel le chiffrement est activé
Lorsque le groupe de volumes est désactivé ou que le système est redémarré, l'authentification du volume logique crypté expire. S'authentifier auprès du volume logique crypté pour accéder à ses données. Utilisez la méthode de protection des clés configurée pour le volume logique crypté. Pour authentifier un volume logique chiffré, procédez comme suit :
  1. Mettez le VG en fonction.
    # varyonvg vg00
varyonvg: 1 encrypted LV defined in VG vg00.
To check if a LV is encrypted and if it is unlocked, use:
        hdcryptmgr showlv vgname    or
        hdcryptmgr showlv lvname
In order to unlock a LV, use:
        hdcryptmgr authunlock lvname
  2. Authentifiez-vous à l'aide de la méthode de protection par clé de phrase passe.
    # hdcryptmgr authunlock -t pwd fslv00
Enter Passphrase:
Password authentication succeeded
Scénario : Réparation des clés PKS corrompues dans les volumes logiques chiffrés nécessaires au démarrage du système d'exploitation

Si un volume logique chiffré est nécessaire pour démarrer le système d'exploitation, le volume logique doit disposer d'une clé PKS valide. Dans le cas contraire, le processus de démarrage n'aboutit pas. Dans un tel scénario, vous devez amorcer la partition logique en mode maintenance. Les instructions suivantes s'appliquent si vous initialisez le système d'exploitation en mode maintenance à l'aide du serveur NIM. Le disque hdisk0 contient le rootvg et les clés PKS du volume logique hd3 sont corrompus.
  1. Sélectionnez 3 dans l'écran suivant :
           Maintenance 

Type the number of your choice and press Enter.

    1 Access a Root Volume Group 
    2 Copy a System Dump to Removable Media
>>> 3 Access Advanced Maintenance Functions
    4 Erase Disks
    5 Configure Network Disks (iSCSI)
    6 Select Storage Adapters
  2. Sélectionnez 0 dans l'écran suivant :
    Information for Advanced Maintenance Functions

-------------------------------------------------------------------------------
 To return to the Maintenance Menu after completing maintenance
 activities, type exit on the command line and press Enter.

-------------------------------------------------------------------------------

 Type the number of your choice and press Enter.

>>> 0 Enter the Limited Function Maintenance Shell
  3. Exécutez la commande suivante pour réparer le volume logique crypté :
    # LIBPATH=/SPOT/usr/lib:$LIBPATH
# importvg hdisk0
# hdcryptmgr32 authunlock hd3
# hdcryptmgr32 authdel -t pks hd3
# hdcryptmgr32 authadd -t pks -n initpks hd3
  4. Répétez les étapes 1 à 3 pour tous les volumes logiques chiffrés qui doivent être réparés.
Scénario : Récupération d'une opération de conversion interrompue d'un volume logique nécessaire au démarrage du système d'exploitation


Si la conversion d'un volume logique normal en un volume logique chiffré et d'un volume logique chiffré en un volume logique normal est interrompue, vous pouvez reprendre l'opération de conversion en exécutant à nouveau la même commande de conversion hdcryptmgr que celle que vous avez lancée précédemment. La commande de conversion hdcryptmgr lit les informations de récupération de la conversion et reprend le processus de conversion là où il s'était arrêté lors de l'exécution précédente. Cette commande de conversion hdcryptmgr s'exécute indépendamment du fait que le volume logique soit utilisé dans le processus de démarrage ou non. Toutefois, si le LPAR redémarre alors que l'opération de conversion est en cours, et si le LPAR devient sale, l'opération de redémarrage risque d'échouer. Par exemple, le bloc de données converti est partiellement chiffré et le volume logique converti est nécessaire pour démarrer le système d'exploitation. Dans un tel scénario, vous devez amorcer la partition logique en mode maintenance et reprendre l'opération de conversion.

Les instructions suivantes supposent que vous initialisez le système d'exploitation en mode maintenance à l'aide du serveur NIM. Le disque hdisk0 contient le rootvg et le volume logique hd3 est devenu sale à cause d'un processus de conversion interrompu.
  1. Sélectionnez 3 Access Advanced Maintenance Functions dans le menu Maintenance .
  2. Sélectionnez 0 Enter the Limited Function Maintenance Shell dans la page Advanced Maintenance Functions.
  3. Exécutez les commandes suivantes :
    # LIBPATH=/SPOT/usr/lib:$LIBPATH
# importvg hdisk0
# hdcryptmgr32 plain2crypt hd3
Scénario: Création d'un volume physique chiffré
Lorsque vous créez un volume physique chiffré, par défaut, une méthode de protection par clé de phrase passe est ajoutée au volume physique chiffré. Vous pouvez activer le chiffrement pour un volume physique (hdisk3) à l'aide de la commande suivante:
# hdcryptmgr pvenable -f hdisk3
Enter Passphrase: 
Confirm Passphrase: 
Passphrase authentication method with name "initpwd" added successfully.

L'indicateur -f indique que la commande hdcryptmgr pvenable peut écraser les données du volume physique sans demander de confirmation. Une fois la commande hdcryptmgr pvenable exécutée avec succès, le volume physique est activé pour le chiffrement et déverrouillé pour les opérations d'entrée/sortie. Toutes les données écrites sur le volume physique chiffré sont chiffrées et toutes les données lues à partir du volume physique chiffré sont déchiffrées.

Scénario: Vérification et correction des métadonnées de volume chiffrées
La commande hdcryptmgr pvrecovmd -c valide les métadonnées de chiffrement sur un volume physique chiffré. Si le volume physique possède deux copies des métadonnées de chiffrement, le paramètre d'action pvrecovmd valide et compare les deux copies des métadonnées de chiffrement.
Pour valider les métadonnées de chiffrement sur un volume physique (hdisk24), entrez la commande suivante:
# hdcryptmgr pvrecovmd -cv hdisk24
Si les deux copies des métadonnées de chiffrement sur le volume physique (hdisk24) sont valides, le message suivant s'affiche:
Metadata area 1 is valid.
Metadata area 2 is valid.
IPL record is valid for an encrypted disk.
All encryption fields for disk hdisk24 are valid.
Check of metadata on PV hdisk24 is complete.
pvrecovmd action complete.
Si une copie des métadonnées de chiffrement sur le volume physique (hdisk24) est corrompue, le message suivant s'affiche :
Metadata area 1 is valid.
Disk metadata copy #2 is corrupt.
IPL record is valid for an encrypted disk.
Check of metadata on PV hdisk24 is complete.
pvrecovmd action complete.
Pour remplacer les métadonnées de chiffrement endommagées par les métadonnées de chiffrement correctes sur le volume physique (hdisk24), entrez la commande suivante:
# hdcryptmgr pvrecovmd hdisk24 -v
La commande hdcryptmgr pvrecovmd affiche le message suivant et vous invite à confirmer si les métadonnées de chiffrement endommagées peuvent être écrasées:
Metadata area 1 is valid.
Disk metadata copy #2 is corrupt.
IPL record is valid for an encrypted disk.
Preparing to write the following fields to the disk:
    Backup metadata
Warning, about to write to disk hdisk25
Do you wish to continue?  y(es) or n(o)?
si vous voulez écraser les métadonnées de chiffrement corrompues, entrez y. La commande hdcryptmgr pvrecovmd remplace les métadonnées de chiffrement endommagées par les métadonnées de chiffrement correctes et affiche le message suivant:
Encrypted disk recovery attempt complete.
pvrecovmd action complete.

Fichiers

/usr/sbin/hdcryptmgr
Contient la commande hdcryptmgr .