Volumes logiques chiffrés

Editer en ligne

Pour protéger les données métier et personnelles, à partir d' IBM® AIX® 7.2 avec le niveau de technologie 5, le gestionnaire de volume logique (LVM) prend en charge le chiffrement des données au niveau du volume logique. Grâce à cette fonction, vous pouvez chiffrer les données au repos pour protéger l'exposition des données en raison de la perte ou du vol d'unités de disque dur ou d'ordinateurs mis hors service de manière inappropriée. Le terme données au repos fait référence à des données inactives qui sont stockées physiquement dans n'importe quelle forme numérique.

Chaque volume logique est chiffré avec une clé unique. Les données du volume logique sont chiffrées avant d'être écrites sur le volume physique. Ces données sont déchiffrées lorsqu'elles sont lues depuis le volume physique. Par défaut, le chiffrement des données n'est pas activé dans les volumes logiques. L'option de chiffrement de données doit être activée au niveau du groupe de volumes avant d'activer l'option de chiffrement de données au niveau du volume logique.

Le chiffrement du volume logique crée une clé de chiffrement de données pour chaque volume logique. La clé de chiffrement de données est protégée en stockant les clés séparément dans d'autres unités de stockage de données. Les types de méthode de protection de clé suivants sont pris en charge:

Paraphrase
Fichier de clés
Serveur de clés cryptographiques
Magasin de clés de la plateforme (PKS) (disponible dans le microprogramme IBM PowerVM® du système IBM Power ® System FW950)

Les sections suivantes décrivent en détail la fonction de chiffrement du volume logique:

Avantages du chiffrement du volume logique
Commandes de chiffrement du volume logique
Prérequis pour l'utilisation du chiffrement du volume logique
Création et authentification d'un volume logique chiffré
Ajout de la méthode d'authentification PKS (Platform keystore)
Ajout de la méthode d'authentification du serveur de clés
Ajout de la méthode d'authentification par fichier de clés
Ajout de la méthode d'authentification par phrase passe
Migration du PKS vers une autre partition logique avant la migration du groupe de volumes
Modification de la règle de chiffrement du groupe de volumes
Modification de la règle de chiffrement du volume logique
Meilleures pratiques
Limitations du chiffrement du volume logique
Prise en compte du système de fichiers pour le chiffrement du volume logique

Avantages du chiffrement du volume logique

Le système de fichiers chiffré (EFS) assure le chiffrement des données au niveau du système de fichiers. EFS gère la clé de chiffrement de données au niveau du fichier et protège la clé de chiffrement de données pour chaque utilisateur. Si vous souhaitez éviter la complexité du contrôle granulaire fin du chiffrement du système de fichiers et du chiffrement sélectif des fichiers, vous pouvez choisir le chiffrement de volume logique des données qui présente les avantages suivants:

Le propriétaire des données contrôle les clés de chiffrement.
Les données transmises sur le réseau (Fibre Channel ou Ethernet) sont chiffrées et protégées. Ces caractéristiques sont importantes pour les serveurs virtuels hébergés dans l'environnement de cloud.

Pour plus d'informations sur l'architecture de chiffrement du volume logique, voir le blogue: AIX 72 TL5: Logical Volume Encryption

Améliorations du chiffrement LV

A partir d' AIX 7.3, les améliorations suivantes ont été ajoutées à la fonction de chiffrement du volume logique:

Vous pouvez chiffrer les LV dans le groupe de volumes root (rootvg) qui sont utilisés dans le processus d'amorçage. L'option de chiffrement du volume logique doit être sélectionnée lors de l'installation du système d'exploitation de base. Pour plus d'informations, voir Options d'installation BOS.
Après avoir installé le système d'exploitation de base, vous pouvez utiliser les commandes de conversion hdcryptmgr pour modifier le paramètre de chiffrement d'un volume logique. Cependant, la conversion d'un LV dans rootvg est différente de la conversion d'un LV dans un groupe de volumes utilisateur. Lorsque vous exécutez la commande de conversion hdcryptmgr pour modifier le statut de chiffrement d'un LV dans un rootvg, la commande hdcryptmgr crée un LV pour stocker les données de reprise de conversion. Lorsque vous exécutez la commande de conversion hdcryptmgr pour modifier le statut de chiffrement d'un volume logique dans un groupe de volumes utilisateur, la commande hdcryptmgr stocke les données de récupération de conversion dans un fichier qui se trouve dans le répertoire /var/hdcrypt . Par conséquent, le groupe de volumes root doit disposer d'au moins une partition logique libre pour que la conversion aboutisse. Lorsque le statut de conversion du chiffrement aboutit, le volume logique contenant les données de récupération de conversion est supprimé.
Lorsque rootvg est mis en fonction, le réseau n'est pas disponible. Par conséquent, la méthode d'authentification PKS (Platform Keystore) doit être disponible pour les LV qui sont utilisés dans le processus d'amorçage. Si la méthode d'authentification PKS n'est pas disponible pour un LV chiffré dans le rootvg, le LV reste verrouillé et donc inaccessible jusqu'à ce qu'il soit explicitement déverrouillé ultérieurement. En outre, vous ne pouvez pas supprimer une méthode d'authentification PKS valide d'un volume logique dans le groupe de volumes root qui est utilisé dans le processus d'amorçage. Si vous convertissez un LV non crypté, qui est utilisé dans le processus d'amorçage, à un LV chiffré, la méthode d'authentification PKS est automatiquement ajoutée au LV. Si la méthode d'authentification PKS n'est pas disponible ou est endommagée pour un LV chiffré qui est utilisé dans le processus d'amorçage, vous devez amorcer le système d'exploitation en mode maintenance et réparer la méthode d'authentification PKS avant de pouvoir reprendre l'opération d'amorçage normale.
Les commandes suivantes sont améliorées pour prendre en charge le chiffrement du volume logique: cplv, splitvg, splitlvcopy, chlvcopy, snapshot, savevg, et restvg.
Vous pouvez chiffrer un volume logique en mode simultané. Si vous modifiez le statut de chiffrement d'une LV dans un nœud en mode simultané, vous ne pouvez pas accéder aux autres nœuds tant que la conversion de chiffrement n'est pas terminée.
AIX 7.3 TL1 prend en charge Hyper Protect Crypto Services (HPCS) pour le chiffrement de volume logique AIX . Pour utiliser HPCS avec AIX, vous devez mettre à disposition Power Systems Virtual Server. La commande keysvrmgr fournit des options permettant de gérer l'intégration.

Commandes de chiffrement du volume logique

Vous pouvez utiliser les commandes suivantes pour gérer les clés de chiffrement et les informations du serveur de clés:

commande hdcryptmgr

L'utilitaire hdcryptmgr gère les volumes logiques chiffrés qui incluent les tâches telles que l'affichage des informations de chiffrement de volume logique et de volume, le contrôle de l'authentification et de nombreuses autres fonctions. L'utilitaire et ses messages d'aide sont générés de manière hiérarchique et explicite. Le fragment suivant présente un récapitulatif de l'utilisation de la commande. Pour une page de manuel détaillée, voir la commande hdcryptmgr .

# hdcryptmgr -h
Usage: hdcryptmgr <action> <..options..>

Display :
showlv        : Displays LV encryption status
showvg        : Displays VG encryption capability
showpv        : Displays PV encryption capability
showmd        : Displays encryption metadata related to device
showconv      : Displays status of all active and stopped conversions

Authentication control :
authinit      : Initializes master key for data encryption
authunlock    : Authenticates to unlock master key of the device
authadd       : Adds additional authentication methods
authcheck     : Checks validity of an authentication method
authdelete    : Removes an authentication method
authsetrvgpwd : Adds "initpwd" passphrase method to all rootvg's LVs

PKS management :
pksimport     : Import the PKS keys
pksexport     : Export the PKS keys
pksclean      : Removes a PKS key
pksshow       : Displays PKS keys status

Conversion :
plain2crypt   : Converts a LV to encrypted
crypt2plain   : Converts a LV to not encrypted

PV encryption management :
pvenable      : Enables the Physical Volume Encryption
pvdisable     : Disables the Physical Volume Encryption
pvsavemd      : Save encrypted physical volume metadata to a file
pvrecovmd     : Recover encrypted physical volume metadata from a file

commande keysvrmgr

Pour la méthode du serveur de clés, vous pouvez utiliser l'utilitaire keysvrmgr pour gérer les entrées du gestionnaire de données d'objet (ODM) qui sont associées aux informations du serveur de clés, telles que le nom d'hôte ou l'adresse IP du serveur de clés, le port de connexion et l'emplacement de la certification. Le fragment suivant présente un récapitulatif de l'utilisation de la commande. Pour une page de manuel détaillée, voir la commande keysvrmgr .

# keysvrmgr -h
Usage: keysvrmgr <action> [-h] -t <server_type> <options> server_name
Manage ODM data for key server and HPCS. 

<action> is one of the following: 
add     : Add a new key server or HPCS to ODM. 
modify  : Modify a key server or HPCS ODM record. 
remove  : Remove a keyserver or HPCS ODM record. 
show    : Display key server or HPCS ODM records. 
verify  : Verify a HPCS ODM record (HPCS only). 
rekey   : Generate a new API key for a HPCS ODM record (HPCS only). 

<server_type> is one of the following:
keyserv : For (KMIP compliant) key management server. 
hpcs    : For IBM Cloud Hyper Protect Crypto Services. 

For more details on <options> run : keysvrmgr <action> -h

Prérequis pour l'utilisation de la fonction de chiffrement du volume logique

Utilisez AIX 7.2.5 ou version ultérieure pour chiffrer un volume logique.
Le jeu de fichiers suivant doit être installé pour crypter les données LV. Ces ensembles de fichiers sont inclus dans le système d'exploitation de base.
- bos.hdcrypt
- bos.kmip_client
- bos.rte.lvm
- security.acf
- openssl.base
- oss.lib.libcurl
- oss.lib.libjson-c
Remarque :
1. Les jeux de fichiers bos.hdcrypt et bos.kmip_client ne sont pas installés automatiquement lorsque vous exécutez la commande smit update_all ou lors d'une opération de migration du système d'exploitation. Vous devez les installer séparément de votre source logicielle (DVD ou image ISO).
2. Le jeu de fichiers security.acf est une dépendance pour certains jeux de fichiers. Les niveaux précédents du jeu de fichiers security.acf ont livré le script security.acf.pre_d et le script s'exécute lorsque vous exécutez un processus de désinstallation ou que vous prévisualisez le processus de désinstallation. Le script security.acf.pre_d arrête le démon ssh pendant l'aperçu de la désinstallation. Si le script /usr/lpp/security.acf/deinstl/security.acf.pre_d existe sur le système, il est recommandé de supprimer manuellement le script du système avant d'effectuer l'aperçu de désinstallation.

Création et authentification d'un volume logique chiffré

Pour créer un volume logique chiffré, procédez comme suit:

Créez un groupe de volumes avec chiffrement activé.
Créez un volume logique compatible avec le chiffrement.
Authentifiez la clé de chiffrement principale du volume logique.

Création d'un groupe de volumes avec chiffrement activé

Pour créer un groupe de volumes avec chiffrement activé, procédez comme suit:

Créez un groupe de volumes dans lequel l'option de chiffrement de données est activée en exécutant la commande suivante:
```
mkvg -f -y testvg -k y hdisk2
```
où testvg est le nom du nouveau groupe de volumes, hdisk2 est le volume physique utilisé pour le groupe de volumes.

Vérifiez les détails du nouveau groupe de volumes en exécutant la commande suivante:

# lsvg testvg

VOLUME GROUP:       testvg              VG IDENTIFIER: 00fb294400004c0000000176437c6663
VG STATE:           active              PP SIZE:        8 megabyte(s)
VG PERMISSION:      read/write          TOTAL PPs:      637 (5096 megabytes)
MAX LVs:            256                 FREE PPs:       637 (5096 megabytes)
LVs:                0                   USED PPs:       0 (0 megabytes)
OPEN LVs:           0                   QUORUM:         2 (Enabled)
TOTAL PVs:          1                   VG DESCRIPTORS: 2
STALE PVs:          0                   STALE PPs:      0
ACTIVE PVs:         1                   AUTO ON:        yes
MAX PPs per VG:     32512                                     
MAX PPs per PV:     1016                MAX PVs:        32
LTG size (Dynamic): 512 kilobyte(s)     AUTO SYNC:      no
HOT SPARE:          no                  BB POLICY:      relocatable
PV RESTRICTION:     none                INFINITE RETRY: no
DISK BLOCK SIZE:    512                 CRITICAL VG:    no
FS SYNC OPTION:     no                  CRITICAL PVs:   no
ENCRYPTION:         yes

Vérifiez l'état de chiffrement des groupes de volumes en fonction en exécutant la commande suivante:

# hdcryptmgr showvg

VG NAME / ID         ENCRYPTION ENABLED 
testvg                        yes                
rootvg                        no

Vérifiez les métadonnées de chiffrement du groupe de volumes en exécutant la commande suivante:

# hdcryptmgr showmd testvg
.....
.....    Mon Dec  7 21:19:00 2020
.....    Device type : VG
.....    Device name : testvg
.....
=============== B: VG HEADER ================
Version                      : 0
Timestamp                    : Mon Dec  7 21:16:04 2020
Default data crypto algorithm: AES_XTS
Default MasterKey size       : 16 bytes
Auto-auth (during varyonvg)  : Enabled
=============== E: VG HEADER ================
=============== B: VG TRAILER ===============
Timestamp        : Mon Dec  7 21:16:04 2020
=============== E: VG TRAILER ===============

Création d'un volume logique avec chiffrement activé

Pour créer un volume logique avec chiffrement activé, procédez comme suit:

Créez un volume logique dans lequel l'option de chiffrement de données est activée en exécutant la commande suivante:

# mklv -k y -y testlv testvg 10
testlv
mklv: Please run :
hdcryptmgr authinit lvname [..] to define LV encryption options.

Vérifiez les détails du nouveau groupe de volumes en exécutant la commande suivante:

# lslv testlv

LOGICAL VOLUME:     testlv                             VOLUME GROUP:   testvg
LV IDENTIFIER:      00fb294400004c0000000176437c6663.1 PERMISSION:     read/write
VG STATE:           active/complete                    LV STATE:       closed/syncd
TYPE:               jfs                                WRITE VERIFY:   off
MAX LPs:            512                                PP SIZE:        8 megabyte(s)
COPIES:             1                                  SCHED POLICY:   parallel
LPs:                10                                 PPs:            10
STALE PPs:          0                                  BB POLICY:      relocatable
INTER-POLICY:       minimum                            RELOCATABLE:    yes
INTRA-POLICY:       middle                             UPPER BOUND:    32
MOUNT POINT:        N/A                                LABEL:          None
MIRROR WRITE CONSISTENCY: on/ACTIVE                             
EACH LP COPY ON A SEPARATE PV ?: yes                                   
Serialize IO ?:     NO                                    
INFINITE RETRY:     no                                 PREFERRED READ: 0
ENCRYPTION:         yes

Vérifiez l'état d'authentification du volume logique en exécutant la commande suivante:

# hdcryptmgr showlv testlv
LV NAME   CRYPTO ENABLED   AUTHENTICATED    ENCRYPTION (%)  CONVERSION     
testlv         yes              no             100             done

Authentification de la clé de chiffrement principale du volume logique

Pour authentifier la clé de chiffrement principale du volume logique, procédez comme suit:

Initialisez la clé primaire d'un volume logique chiffré en exécutant la commande suivante. Le volume logique n'est pas accessible tant que la première méthode de phrase passe n'est pas initialisée.
```
# hdcryptmgr authinit testlv
Enter Passphrase:
Confirm Passphrase:
Passphrase authentication method with name "initpwd" added successfully.
```

Vérifiez le statut d'authentification et les méthodes d'authentification du volume logique en exécutant la commande suivante:

# hdcryptmgr showlv testlv -v
LV NAME    CRYPTO ENABLED   AUTHENTICATED    ENCRYPTION (%)   CONVERSION     
testlv          yes             yes             100              done           

-- Authentication methods ------------
INDEX         TYPE               NAME
#0            Passphrase         initpwd

Mettez hors fonction et en fonction le groupe de volumes en exécutant les commandes suivantes:
```
# varyoffvg testvg
# varyonvg testvg
```

Vérifiez le statut d'authentification du volume logique en exécutant la commande suivante:

# hdcryptmgr showlv testlv
LV NAME      CRYPTO ENABLED   AUTHENTICATED    ENCRYPTION (%)   CONVERSION     
testlv            yes              no             100              done

La sortie indique que le volume logique testlv n'est pas authentifié.

Déverrouillez l'authentification du volume logique en exécutant la commande suivante:

# hdcryptmgr authunlock testlv
Enter Passphrase:
Passphrase authentication succeeded.

Vérifiez l'état d'authentification du volume logique en exécutant la commande suivante:

# hdcryptmgr showlv testlv
LV NAME      CRYPTO ENABLED   AUTHENTICATED    ENCRYPTION (%)   CONVERSION     
testlv           yes              yes             100              done

Ajout de la méthode d'authentification du magasin de clés de la plateforme (PKS)

Pour ajouter la méthode d'authentification PKS (Platform keystore), procédez comme suit:

Vérifiez le statut PKS de la partition logique en exécutant la commande suivante:
```
# hdcryptmgr pksshow
3020-0349 PKS is not supported or PKS is not activated.
3020-0218 hdcrypt driver service error. QUERY_PKS service failed with error 124: An attempt was made to set an attribute to an unsupported value.
```
La sortie de cet exemple montre que le PKS n'est pas activé. La taille du magasin de clés d'une partition logique est définie sur 0 par défaut.
Arrêtez la partition logique et augmentez la taille du magasin de clés dans la console HMC associée. La taille du magasin de clés est comprise entre 4 et 64 Ko. Vous ne pouvez pas modifier la valeur de la taille du magasin de clés lorsque la partition logique est active.

Vérifiez à nouveau le statut PKS de la partition logique en exécutant la commande suivante:

# hdcryptmgr pksshow
PKS uses 32 bytes on a maximum of 4096 bytes.
PKS_Label (LVid)                Status
PKS_Label (objects)

Ajoutez la méthode d'authentification PKS au volume logique en exécutant la commande suivante:

# hdcryptmgr authadd -t pks -n pks1 testlv 
PKS authentication method with name "pks1" added successfully.

Vérifiez le statut de chiffrement du volume logique en exécutant la commande suivante:

# hdcryptmgr showlv testlv -v
LV NAME        CRYPTO ENABLED   AUTHENTICATED    ENCRYPTION (%)   CONVERSION     
testlv         yes              yes              100              done           
-- Authentication methods ------------
INDEX         TYPE                 NAME
#0            Passphrase           initpwd     
#1            PKS                  pks1

Vérifiez le statut PKS en exécutant la commande suivante:
```
# hdcryptmgr pksshow
PKS uses 116 bytes on a maximum of 4096 bytes.
PKS_Label (LVid)                         Status
00fb294400004c0000000176437c6663.1       VALID KEY
PKS_Label (objects)
```
PKS est une méthode d'authentification automatique qui signifie que la commande varyonvg déverrouille automatiquement l'authentification du volume logique.
Mettez le groupe de volumes hors fonction en exécutant la commande suivante:
```
# varyoffvg testvg
```

Vérifiez le statut PKS en exécutant la commande suivante:

# hdcryptmgr pksshow
PKS uses 116 bytes on a maximum of 4096 bytes.
PKS_Label (LVid)                            Status
00fb294400004c0000000176437c6663.1       UNKNOWN
PKS_Label (objects)

Mettez en fonction le groupe de volumes en exécutant la commande suivante:
```
# varyonvg testvg
```

Vérifiez le statut de chiffrement du volume logique en exécutant la commande suivante:

# hdcryptmgr showlv testlv
LV NAME         CRYPTO ENABLED   AUTHENTICATED    ENCRYPTION (%)   CONVERSION     
testlv          yes              yes              100              done

Ajout de la méthode d'authentification du serveur de clés

Vous pouvez utiliser n'importe quel serveur de gestion de clés compatible KMIP (Key Management Interoperability Protocol) pour utiliser ce type de méthode d'authentification. Dans cet exemple, la partition logique AIX est installée et configurée avec IBM Security Key Lifecycle Manager (SKLM) V4.0 pour AIX. La clé Security Key Lifecycle Manager est utilisée comme serveur de clés de chiffrement.

Pour ajouter la méthode d'authentification du serveur de clés, procédez comme suit:

Vérifiez les serveurs de clés dans la partition logique en exécutant la commande suivante:
```
# keysvrmgr show
3020-0279 No key server in database
```

Ajoutez un serveur de clés de chiffrement portant le nom keyserver1 en exécutant la commande suivante :

# keysvrmgr add -i 9.X.X.X -s /tmp/sklm_cert.cer -c /tmp/ssl_client_cer.p12 keyserver1
Key server keyserver1 successfully added

Vérifiez à nouveau les serveurs de clés dans la partition logique en exécutant la commande suivante:

# keysvrmgr show                                                                                   
List of key servers:
ID                    PWD            IP:PORT
keyserver1            N              9.X.X.X:5696

Vérifiez les informations du serveur de clés de chiffrement qui sont sauvegardées dans la classe d'objets ODM KeySvr en exécutant la commande suivante:

# odmget KeySvr
KeySvr:
        keysvr_id = "keyserver1"
        ip_addr = "9.X.X.X"
        port = 5696
        svr_cert_path = "/tmp/sklm_cert.cer"
        cli_cert_path = /tmp/ssl_client_cer.p12 "
        flags = 0

Ajoutez la méthode d'authentification du serveur de clés au volume logique en exécutant la commande suivante:

# hdcryptmgr authadd -t keyserv -n key1_testlv -m keyserver1 testlv
Keyserver authentication method with name "key1_testlv" added successfully.

Vérifiez le statut de chiffrement du volume logique en exécutant la commande suivante:

#hdcryptmgr showlv -v testlv
LV NAME          CRYPTO ENABLED   AUTHENTICATED    ENCRYPTION (%)   CONVERSION     
testlv           yes              yes              100              done           
-- Authentication methods ------------
INDEX                 TYPE               NAME
#0                    Passphrase         initpwd     
#1                    PKS                pks1        
#2                    Keyserver          key1_testlv

Ajout de la méthode d'authentification du fichier de clés

Pour ajouter une méthode d'authentification par fichier clé, procédez comme suit :

Créez un fichier nommé testfile qui contient le texte de la phrase passe en exécutant la commande suivante:
```
# cat /testfile
Add1ng Key f1le authent1cation meth0d
```

Ajoutez la méthode d'authentification du fichier de clés au volume logique en exécutant la commande suivante:

# hdcryptmgr authadd -t keyfile -n key1_file -m /testfile testlv
Keyfile authentication method with name "key1_file" added successfully.

Vérifiez le contenu du fichier testfile en exécutant la commande suivante:

# cat /testfile
Add1ng Key f1le authent1cation meth0d
00fb294400004c0000000176437c6663.1 xdxKjlJvZU+f9lFTgSM63kGoIoKW6Yxc+bKrk5GgCzc=

Vérifiez le statut de chiffrement du volume logique en exécutant la commande suivante:

# hdcryptmgr showlv testlv -v
LV NAME          CRYPTO ENABLED   AUTHENTICATED    ENCRYPTION (%)   CONVERSION
testlv           yes              yes              100              done          
-- Authentication methods ------------
INDEX              TYPE               NAME
#0                 Passphrase         initpwd     
#1                 PKS                pks1        
#2                 Keyserver          key1_testlv    
#3                 Keyfile            key1_file

Ajout de la méthode d'authentification par phrase passe

Pour ajouter la méthode d'authentification par phrase passe, procédez comme suit:

Ajoutez la méthode d'authentification par phrase passe au volume logique en exécutant la commande suivante:

# hdcryptmgr authadd -t pwd -n test_pwd testlv                 
Enter Passphrase:
Confirm Passphrase:
Passphrase authentication method with name "test_pwd" added successfully.

Vérifiez le statut de chiffrement du volume logique en exécutant la commande suivante:

# hdcryptmgr showlv testlv -v
LV NAME              CRYPTO ENABLED   AUTHENTICATED    ENCRYPTION (%)   CONVERSION     
testlv               yes              yes              100              done           
-- Authentication methods ------------
INDEX         TYPE            NAME
#0            Passphrase      initpwd     
#1            PKS             pks1        
#2            Keyserver       key1_testlv    
#3            Keyfile         key1_file   
#4            Passphrase      test_pwd

Migration de PKS vers une autre partition logique avant la migration du groupe de volumes

Pour migrer le magasin de clés de la plateforme (PKS) vers une autre partition logique, procédez comme suit:

Exportez les clés PKS dans un autre fichier en exécutant la commande suivante:

# hdcryptmgr pksexport -p /tmp/pksexp testvg 
Enter Passphrase:
Confirm Passphrase:
1 PKS keys exported.

Importez le groupe de volumes dans une autre partition logique en exécutant la commande suivante:
```
# importvg -y testvg hdisk2
```

Vérifiez le statut de chiffrement du volume logique en exécutant la commande suivante:

# hdcryptmgr showlv testlv -v
LV NAME          CRYPTO ENABLED   AUTHENTICATED    ENCRYPTION (%)   CONVERSION     
testlv           yes              yes              100              done           
-- Authentication methods ------------
INDEX         TYPE             NAME
#0            Passphrase       initpwd     
#1            PKS              pks1        
#2            Keyserver        key1_testlv    
#3            Keyfile          key1_file   
#4            Passphrase       test_pwd

Vérifiez si la méthode d'authentification est valide et accessible en exécutant la commande suivante:

# hdcryptmgr authcheck -n pks1  testlv
3020-0199 Key does not exist in PKS storage.
3020-0127 hdcryptmgr authcheck failed for LV testlv.

Déplacez le fichier de clés PKS vers une nouvelle partition logique et exécutez la commande suivante:

#  hdcryptmgr pksimport -p /tmp/pksexp testvg             
Enter Passphrase:
3020-0341 Key having LVid 00fb294400004c0000000176437c6663.1 is successfully imported in LV testlv.
1 PKS keys imported.

Vérifiez si la méthode d'authentification est valide et accessible en exécutant la commande suivante:
```
# hdcryptmgr authcheck -n pks1  testlv
PKS authentication check succeeded.
```

Modification de la règle de chiffrement du groupe de volumes

Les métadonnées de chiffrement sont sauvegardées à la fin de chaque disque du groupe de volumes. L'activation du chiffrement de groupe de volumes requiert la libération de partitions physiques sur chaque disque du groupe de volumes.

Modifiez l'option de chiffrement de données du groupe de volumes en exécutant la commande suivante:

# chvg -k y testvg
0516-1216 chvg: Physical partitions are being migrated for volume group
                descriptor area expansion.  Please wait.

Vérifiez les détails du groupe de volumes en exécutant la commande suivante:

# lsvg testvg
VOLUME GROUP:       testvg              VG IDENTIFIER:  00fb294400004c000000017648ff8d32
VG STATE:           active              PP SIZE:        8 megabyte(s)
VG PERMISSION:      read/write          TOTAL PPs:      636 (5088 megabytes)
MAX LVs:            256                 FREE PPs:       506 (4048 megabytes)
LVs:                1                   USED PPs:       130 (1040 megabytes)
OPEN LVs:           0                   QUORUM:         2 (Enabled)
TOTAL PVs:          1                   VG DESCRIPTORS: 2
STALE PVs:          0                   STALE PPs:      0
ACTIVE PVs:         1                   AUTO ON:        yes
MAX PPs per VG:     32512                                     
MAX PPs per PV:     1016                MAX PVs:        32
LTG size (Dynamic): 512 kilobyte(s)     AUTO SYNC:      no
HOT SPARE:          no                  BB POLICY:      relocatable
PV RESTRICTION:     none                INFINITE RETRY: no
DISK BLOCK SIZE:    512                 CRITICAL VG:    no
FS SYNC OPTION:     no                  CRITICAL PVs:   no
ENCRYPTION:         yes

Modification de la règle de chiffrement du volume logique

Pour modifier la règle de chiffrement, procédez comme suit:

Remarque: cette fonction est réservée à des fins expérimentales uniquement.

Activez le chiffrement du volume logique en exécutant la commande suivante:

# hdcryptmgr plain2crypt testlv
Enter Passphrase:
Confirm Passphrase:
Passphrase authentication method with name "initpwd" added successfully.
Created recovery file : /var/hdcrypt/conv.004200021607542921
In case of error or if the conversion is canceled, this file may be
necessary to be able to recover the LV. If the conversion is fully
successful, then the file will be removed automatically
Successfully converted LV testlv to an encrypted LV.

Cette commande effectue les opérations suivantes:

Active la règle de chiffrement du volume logique
Initialise les métadonnées de clé principale et de chiffrement pour un volume logique chiffré
Chiffre les données dans le volume logique

Vérifiez les détails du volume logique en exécutant la commande suivante:

# lslv testlv
LOGICAL VOLUME:     testlv                              VOLUME GROUP:   testvg
LV IDENTIFIER:      00fb294400004c000000017648ff8d32.2  PERMISSION:     read/write
VG STATE:           active/complete                     LV STATE:       closed/syncd
TYPE:               jfs                                 WRITE VERIFY:   off
MAX LPs:            512                                 PP SIZE:        8 megabyte(s)
COPIES:             1                                   SCHED POLICY:   parallel
LPs:                10                                  PPs:            10
STALE PPs:          0                                   BB POLICY:      relocatable
INTER-POLICY:       minimum                             RELOCATABLE:    yes
INTRA-POLICY:       middle                              UPPER BOUND:    32
MOUNT POINT:        N/A                                 LABEL:          None
MIRROR WRITE CONSISTENCY: on/ACTIVE                             
EACH LP COPY ON A SEPARATE PV ?: yes                                   
Serialize IO ?:     NO                                    
INFINITE RETRY:     no                                  PREFERRED READ: 0
ENCRYPTION:         yes

Vérifiez le statut de chiffrement du volume logique en exécutant la commande suivante:

# hdcryptmgr showlv testlv -v
LV NAME              CRYPTO ENABLED   AUTHENTICATED    ENCRYPTION (%)   CONVERSION     
testlv               yes              yes              100              done           
-- Authentication methods ------------
INDEX         TYPE                 NAME
#0                 Passphrase    initpwd

Meilleures pratiques

Utilisez une unité de consignation en ligne pour le système de fichiers créé à partir d'un volume logique chiffré.
Si le système de fichiers est créé avec une unité de journalisation externe et que l'unité de journalisation est partagée entre plusieurs systèmes de fichiers, déverrouillez l'authentification (hdcryptmgr authunlock) pour tous les volumes logiques chiffrés avant de monter le système de fichiers.
Utilisez une méthode d'authentification autre que PKS pour déverrouiller l'authentification du groupe de volumes de clichés.
Pour copier un volume logique chiffré à l'aide de la commande cplv , créez un volume logique dans lequel le chiffrement est activé et utilisez le volume logique comme volume logique de destination pour copier le volume logique source.

Limitations du chiffrement du volume logique

Si un LV est chiffré, les commandes ou fonctions LV suivantes ne sont pas prises en charge :

AIX Mise à jour en direct: L'opération Live Update n'est pas prise en charge si le chiffrement LV est activé.
Sérialisation E/S: La sérialisation E/S n'est pas garantie tant que la conversion de chiffrement LV est en cours.

Prise en compte du système de fichiers pour le chiffrement du volume logique

Tenez compte des éléments suivants lorsque vous créez ou modifiez des systèmes de fichiers associés à un volume logique chiffré:

Lorsque vous créez ou montez un système de fichiers sur une LV chiffrée, assurez-vous que le LV chiffré est déverrouillé et activé.
Si un volume logique chiffré, qui héberge un système de fichiers à l'aide du fichier NFS (Network File System) /etc/exports , n'est pas déverrouillé lors de l'amorçage du système, l'opération de montage du système de fichiers échoue et la table des systèmes de fichiers physiques dans le fichier /etc/exports n'est pas mise à jour. Une fois le volume logique chiffré déverrouillé et le système de fichiers monté, vous pouvez exécuter la commande exportfs -a pour mettre à jour le fichier /etc/exports .
Dans le système Enhanced Journaled File System ( JFS2 ), vous pouvez utiliser un seul périphérique de journalisation pour plusieurs systèmes de fichiers. Si l'unité de journalisation est partagée entre plusieurs systèmes de fichiers et si le volume logique utilisé par les systèmes de fichiers est chiffré, le volume logique doit être déverrouillé avant le montage des systèmes de fichiers.