acfo 命令
用途
管理 "高级加密设施" (ACF) 的可调参数。
语法
acfo [-d] | [-d -t tunable_name]acfo -Racfo -r tunable_nameacfo -p [-R | -r -t tunable_name] | [-t tunable_name=value]acfo -t tunable_name=valueacfo [-h] | [-h -t tunable_name]描述
acfo 命令可以显示或修改 ACF 的当前和持久可调参数。 ACF 可调参数确定 nest (NX) 加速还是 in-core 密码加速是否必须在由公用密钥密码术标准 (PKCS) #11提供的内核加密 API 中使用。
当前,对于 PKCS #11 子系统, NX 和核心加密加速仅支持高级加密标准 (AES)。
基于POWER7+处理器的服务器及更高版本支持 NX 加密加速。 基于POWER8处理器的服务器及更高版本支持内核加密加速。 如果服务器不支持核心内加密加速,那么您将无法开启该功能。
内核加密 API 由加密文件系统 (EFS) , IP 安全性 (IPSec) ,逻辑卷加密,内核扩展以及使用 AIX® PKCS #11 API 对象 /usr/lib/pkcs11/ibm_pks11.so的用户空间应用程序使用。
运行 acfo 命令时, PKCS #11 设备驱动程序必须处于活动状态。
持久可调参数值是在重新引导操作期间由可调参数保留的值。 持久可调参数值存储在 ODM 数据库中。 在运行 CFG_INIT 命令来初始化可调参数时, PKCS #11 设备驱动程序将使用这些值。
acfo 命令仅影响系统范围的可调参数,因此 acfo 命令在工作负载分区 (WPAR) 环境中不受支持。
注: 当几个内核加密操作正在进行时,管理员不得修改 NX 或核心内加密加速设置。 使用 acfo 命令的 -p 参数永久修改加速设置,然后重新启动逻辑分区以应用更改。
标志
- -a
- 显示所有 ACF 可调参数的值 (每行一个参数)。
- -d
- 显示所有 ACF 可调参数名称和当前值。 当您将 -d 标志与 -t 标志配合使用时, acfo 命令将显示指定可调参数的当前值。
- -h
- 显示有关命令及其参数的帮助信息。 将 -t 标志与 -h 标志配合使用时,该命令将显示特定可调参数的帮助信息。
- -p
- 永久修改可调参数的当前值和下一个引导值。 如果未指定 -p 标志,那么只会更改可调参数的当前值; 这些更改不会在下次引导操作中持久存在。
- -R
- 将所有可调参数复位为其缺省值。
- --r 可调
- 将指定的可调参数复位为其缺省值。
- -可调[=new_value]
- 显示指定可调参数的当前值,或将该可调参数设置为指定值。
可调参数
对于 AFC 可调参数的缺省值和值范围,请运行 acfo -h -t tunable_name 命令。 以下是有效的可调参数名称:
- 启用 nx_enabled
- 指定 NX 加密加速。 值为 1 表示启用 NX 加密加速 0 值为 0 则表示禁用 NX 加密加速。
- 明斯
- 指定适用于 NX 加密加速的最小数据大小 (以字节为单位)。 如果加速请求所需要的数据少于指定的最小值,那么加速请求将使用通用 CPU 执行的软件实现 (例如加密软件方法)。 此可调整参数仅适用于 NX 加密加速。
- 已启用核心功能
- 指定内核加密加速功能。 1 值为 1 表示启用核心内加密加速 0 值为 0 表示禁用核心内加密加速。 此可调参数在 启用 nx_enabled 可调参数之前。
安全性
注: 只有 root 用户才能运行 acfo 命令。
示例
- 要显示所有 AFC 可调参数名称和对应的当前值,请运行以下命令:
acfo -d nx_enabled : 1. min_sz : 1024. in_core_enabled : 0. - 要将 AFC NX 加密加速的最小数据大小设置为非持久值 1024 个字节,请运行以下命令:
acfo -t min_size=1024 - 要永久关闭 NX 加密加速功能,请运行以下命令:
acfo -p -t nx_enabled=0