comando chsecmode

Editar online

Propósito

Altera o modo de segurança e os tipos de chave e inicia a transição para o modo especificado.

Sintaxe

chsecmodo -c modo [-m método ] [-s tipo ] [-f] [-x] [-h]

Descrição

O comando chsecmode configura o modo de conformidade de segurança Reliable Scalable Cluster Technology (RSCT) para o modo nist_sp800_131a . Um novo método de geração para as chaves públicas e privadas, a chave simétrica para assinatura de mensagem e verificação também podem ser especificados. O modo de conformidade NIST também pode ser desligado ao passar o modo como nenhum.

Se o método de geração de chaves não for especificado, o método atual não será alterado mesmo se o modo ainda estiver em conformidade com o novo modo de conformidade especificado. Se o método de geração de chaves não for compatível, o método rsa2048_sha256 é usado para o modo nist_sp800_131a e o método rsa512 é usado para o modo none.

Se o tipo de chave simétrica for padrão, o tipo de chave real é escolhido internamente pela RSCT para o modo de conformidade especificado. No modo nist_sp800_131a , a chave aes256_sha256 é usada para o tipo de chave simétrica padrão. Se o modo de conformidade for desligado, o tipo de chave simétrica apropriado é escolhido com base na situação.

Sinalizações

Item Descrição
-c modo Especifica o modo de conformidade de segurança. Os modos válidos são: nist_sp800_131a e none.
-f Gera novas chaves mesmo que o método de geração de chaves não tenha sido alterado.
-h Exibe as informações de uso para o comando chsecmode .
-m método Especifica um tipo apropriado, que é válido para o modo de conformidade que é usado para gerar as chaves públicas ou privadas do nó. Para o modo nist_sp800_131a , os seguintes métodos de geração de chaves válidos são listados:
  • rsa2048_sha256
  • rsa2048_sha512
  • rsa3072_sha256
  • rsa3072_sha512
Para o modo de conformidade não NIST none, quaisquer métodos de geração de chaves suportados são válidos incluindo os métodos rsa512 e rsa1024 .
-stipo Especifica o tipo de chave simétrica padrão do cluster. Os seguintes tipos de chave simétrica são válidos para o modo nist_sp800_131a :
  • aes128_sha256
  • aes128_sha512
  • aes256_sha256
  • aes256_sha512
Para o modo de conformidade não NIST nenhum, quaisquer tipos de chave simétrica suportados são válidos incluindo:
  • aes128_md5
  • aes256_md5
  • 3des_md5
  • des_md5
-X Força a operação pendente a ser sobrescrita. Se uma mudança pendente existir e a opção -x não for especificada, o comando chsecmode falha se ele for usado para alterar a configuração de segurança.

Segurança

O comando chsecmode permite apenas root para executar o comando.

Status de saída

0
Conclusão bem-sucedida.
27
Erro de chave simétrica ou assimétrica inválida.
54
Erro de parâmetro de entrada inválido.
55
Atualização do arquivo THL falhou erro.
56
O comando startsrc falhou.
57
O comando stopsrc falhou.
58
O comando refresh <subsystem> falhou.
59
Erro de modo de conformidade inválido.
60
Erro da API.

Exemplos

  1. Para ativar o modo de compilação do NIST com o método de geração de chaves compatível e o tipo de chave simétrica, digite:
    chsecmode -c nist_sp800_131a
    Se o método atual e os tipos de chave simétrica são compatíveis, eles não são alterados. Se o método e o tipo atual não forem compatíveis, são usados os seguintes valores: o modo rsa2048_sha256 para o método de geração de chaves e o modo aes256_sha256 para tipo de chave simétrica.
  2. Para ativar o modo de conformidade NIST com o método de geração de chaves rsa2048_sha512 , digite:
    chsecmode -c nist_sp800_131a -m rsa2048_sha512
    Se a chave simétrica atual já estiver cumprida, ela não será alterada. Se a chave simétrica atual não for cumprida, ela é substituída com a chave aes256_sha256 .
  3. Para ativar o modo de conformidade NIST com o método de geração de chaves rsa2048_sha512 e a chave simétrica aes128_sha512 , digite:
    chsecmode -c nist_sp800_131a -m rsa2048_sha512 -s aes128_sha512
  4. Para desativar o modo de conformidade do NIST, digite:
    chsecmode -c none
    O método de geração de chaves atual e tipo de chave simétrica não é alterado.
  5. Para gerar chaves públicas e privadas usando o método de geração de chaves rsa512 , digite:
    chsecmode -m rsa512
    Se o modo de conformidade atual for nist_sp800_131a, esta operação é rejeitada. Se o modo de conformidade atual não for nenhum e o método de geração de chave atual não for rsa512, o método de geração de chaves atual é substituído por rsa512 e um novo pares de chave privada ou pública são gerados.
  6. Para forçar a gerar as chaves públicas e privadas mesmo que não haja alteração no método de geração de chaves, digite:
    chsecmode -m rsa512 -f
    Se o modo de conformidade atual for nist_sp800_131a, esta operação é rejeitada. Se o modo de conformidade atual não for nenhum e o método de geração de chave atual for substituído pelo método rsa512 , um novo par de chaves privadas ou públicas é gerado, mesmo que as chaves públicas ou privadas atuais já estejam no método rsa512 .
  7. Para sobrescrever ou cancelar qualquer operação pendente, digite:
    chsecmode -x -c nist_sp800_131a
    Se houver um modo de conformidade pendente, a operação pendente é ignorada e uma nova mudança de modo de conformidade para o modo nist_sp800_131a é iniciada.

Local

Item Descrição
/opt/rsct/bin/chsecmode Contém o comando chsecmode .

Arquivos

Item Descrição
/var/ct/cfg/ct_has.pkf Localização padrão do arquivo de chave pública de serviços de segurança do cluster para o nó.
/var/ct/cfg/ct_has.qkf Localização padrão do arquivo de chave privada dos serviços de segurança do cluster para o nó.
/var/ct/cfg/ct_has.thl Localização padrão da lista de hosts confiáveis dos serviços de segurança do cluster para o nó.