加密文件系统密钥库
密钥库是使用密码进行保护的。 除了登录密码外,用户还可以选择备用密钥库密码。 在这种情况下,在用户的标准登录期间密钥库将关闭且不可用。 这样,用户必须通过使用 efskey 命令手动装入密钥库来提供密钥库密码。
密钥库格式为 PKCS # 12。 密钥库存储在以下文件中:
- 用户密钥库
- /var/efs/users//keystore
- 组密钥库
- /var/efs/groups//keystore
- efsadmin 密钥库
- /var/efs/efs_admin/keystore
如果用户将其登录密码和密钥库密码设置成同一个密码,那么在他们登录时,将打开并启用密钥库。
用户可使用 EFS efskeymgr 命令来选择加密算法的类型和密钥长度。
对密钥库的访问权可由任何子进程继承。
基于组的密钥管理也受到支持。 如果组密钥库处于保护方式,那么将只有组成员才能将组密钥添加到成员密钥库中或从中除去组密钥。 用户密钥库包含用户的专用密钥以及打开用户组密钥库(包含组的专用密钥)的密码。
注意:只有当用户的密钥库密码与其登录密码一致时,EFS密钥库才会作为标准AIX®登录的一部分自动打开。 缺省情况下,这是在最初创建用户密钥库期间设置的。 除标准 AIX 登录以外的登录方法 (例如,可装入的认证模块和可插入的认证模块) 可能不会自动打开密钥库。