начало изменения

Зашифрованные логические тома

Шифрование логических томов (LV) обеспечивает защиту данных от несанкционированного доступа в случае потери или кражи жестких дисков либо в случае ненадлежащего вывода из эксплуатации компьютеров. Базовая операционная система выполняет шифрование и расшифровку данных логического тома при выполнении операций ввода-вывода. Приложения, выполняющие операции ввода-вывода с помощью интерфейсов файловой системы или устройства логического тома, могут использовать защищенные данные без каких-либо изменений.

Для шифрования данных логического тома должны быть установлены следующие наборы файлов. Они входят в состав базовой операционной системы.

  • bos.hdcrypt
  • bos.kmip_client
  • bos.rte.lvm
  • security.acf
  • openssl.base

Настройка шифрования логических томов

Начиная с IBM® AIX 7.2 с технологическим пакетом обслуживания 5, с помощью команды hdcryptmgr можно управлять всеми операциями шифрования логических томов.

Отношения зашифрованного логического тома

Если логический том зашифрован, то следующие команды и функции логического тома не поддерживаются:
Команда cplv
Командаcplv создает логические тома в незашифрованном виде. Логический том с поддержкой шифрования можно создать и инициализировать с помощью команды mkvg -k y. Затем содержимое исходного логического тома можно скопировать в логический том с поддержкой шифрования с помощью команды cplv.
Команды splitvg и joinvg
В случае применения команды splitvg зеркальная группа томов (VG) разбивается на основную группу томов и синхронную группу томов. Хранилище ключей платформы (PKS) и методы идентификации на основе файла ключей нельзя использовать в синхронной группе томов. Однако, эти методы идентификации можно использовать в основной группе томов.

В основной группе томов нельзя удалить метод идентификации логического тома. Кроме того, нельзя добавить или удалить метод идентификации логического тома в синхронной группе томов.

Команда splitlvcopy
Команда splitlvcopy не поддерживается в зашифрованном логическом томе.
Команда chlvcopy
Команда chlvcopy не поддерживается в зашифрованном логическом томе.
Команды savevg и restvg
В случае применения команд savevg и restvg параметр шифрования группы томов сохраняется. Однако параметр уровня логического тома не сохраняется при выполнении команды savevg. Таким образом, команда restvg заново создает логические тома без включения параметра шифрования. Восстановленные логические тома можно преобразовать в зашифрованные тома с помощью команды hdcryptmgr plain2crypt.
Команда snapshot
Если при создании моментальной копии файловой системы, которая использует зашифрованный логический том, целевой логический том не существует, то создается логический том без поддержки шифрования. Исходный логический том должен быть разблокирован для копирования данных в целевой логический том.
Параллельный режим
Функция шифрования логических томов не поддерживается, если группа томов работает в параллельном режиме.
Загрузочный раздел
Шифрование логических томов не поддерживается для группы томов, содержащей загрузочный раздел.
AIX Live Update
Операция Live Update не поддерживается, если включено шифрование логического тома.

Особенности файловой системы для зашифрованного логического тома

При создании или изменении файловых систем, связанных с зашифрованными логическими томами, обратите внимание на следующие особенности:

  • При создании или монтировании файловой системы в зашифрованном логическом томе убедитесь, что логический том разблокирован и активирован.
  • Если зашифрованный логический том, содержащий файловую систему с помощью файла /etc/exports NFS (сетевая файловая система), не блокирован в ходе загрузки системы, то возникнет ошибка монтирования и таблица физических файловых систем в файле /etc/exports не будет обновлена. После разблокирования зашифрованного логического тома и монтирования файловой системы можно выполнить команду exportfs -a для обновления файла /etc/exports.
  • В расширенной журнализированной файловой системе (JFS2) можно использовать одно устройство протоколов для нескольких файловых систем. Если в нескольких файловых системах применяется общее устройство протоколов и зашифрованный логический том, то файловые системы можно смонтировать только после разблокировки логического тома.
конец изменения