efskeymgr 命令
用途
管理“加密文件系统”(EFS) 密钥(或密钥库)的用户和组存储库。
语法
efskeymgr -?
efskeymgr -q
efskeymgr -V
Efskeymgr [-L load_module]-C <组>
Efskeymgr [-L load_module] [ -d ] [ -k <克斯> ] [ -g ] [ -p <人民> ] -v
Efskeymgr [-L load_module] [ -d ] [ -k <克斯> ] 命令
Efskeymgr [-L load_module] [ -d ] [ -k <克斯> ] [ -g ] [ -p <人民> ] -o <命令>
Efskeymgr [-L load_module] [ -d ] [ -c <命令> ]
Efskeymgr [-L load_module] [ -d ] [ -k <克斯> ] [ -g ] [ -p <人民> ] -n
Efskeymgr [-L load_module] [ -d ] [ -k <克斯> ] [ -g ] [ -p <人民> ] -r <模式>
efskeymgr [-L load_module] [ -d ] [ -k <克斯> ] [ -g ] [ -p <普> ] -s <Ks2>
efskeymgr [-L load_module] [ -d ] [ -k <克斯> ] [ -g ] [ -p <普> ] -S <Ks2>
Efskeymgr[-L load_module] [ -d ] [ -k <克斯> ] [ -g ] [ -p <人民> ] -R <阿尔戈>
Efskeymgr [-L load_module] [ -d ] [ -k <克斯> ] [ -g ] [ -p <人民> ] -D <菲普>
Efskeymgr [-L load_module] [ -d ] [ -k <克斯> ] [ -g ] [ -p <人民> ] -e <文件>
描述
efskeymgr 命令提供了 EFS 所需的所有密钥管理操作。 一旦在系统中使用 efsenable 命令启用了 EFS,则系统将在 /var/efs 目录中创建密钥库(公共和专用密钥库)。
用户密钥库的初始密钥是用户登录密码。 组密钥库和 admin 密钥库不受密码保护,但受访问密钥的保护。 访问密钥存储在该组的所有用户密钥库内。
当您打开一个密钥库时(登录或明确采用 efskeymgr 命令时),该密钥库中所包含的专用密钥将被送入内核并与过程相关联。 如果在密钥库中发现访问密钥,那么将打开相应的密钥库,同时密钥将被自动推送到内核。
- admin 方式
- 当密钥库设置为此种方式时,拥有 aix.security.efs RBAC 权限和 admin 密钥库访问密钥的 EFS 管理员可以打开密钥库来进行管理,如复位密码,重新生成密钥,添加或除去访问密钥。
- guard 方式
- 当密钥库设置为此种方式时,EFS 管理员无法访问密钥库。 在此种方式下,如果密钥库的密码丢失,将无法恢复专用密钥。
当密钥库密码与登录密码相同时,密钥库将在登录时自动打开,并且密钥在会话中可用。 当使用 passwd 命令并且提供了旧密码时,密钥库密码将与登录密码保持同步。 如果密钥库密码在某些点未与登录密码同步,可使用 efskeymgr 命令来更改密钥库密码。 如果密码未同步,那么登录时密钥将不再自动与会话相关联。
efskeymgr –o <cmd> and efskeymgr –c <cmd> 延迟的操作
- 必须重新生成专用密钥。
- 授予您密钥库 group/ group1 的访问权。
必须运行 efskeymgr -v 命令来执行暂挂操作。
- 重新生成专用密钥。 这将导致生成一个新的专用密钥,旧的密钥将标上“deprecated”。
- 新建访问密钥。 接受此 cookie 后,您将获得新密钥库(例如,已经添加的某个组的密钥库)的访问权。
- 除去访问密钥。 接受此 cookie 后(例如,当从组中除去访问密钥时),您可以选择能对密钥库的访问权。
- 接受 cookie:您的密钥库将根据 cookie 进行修改,然后密钥将被破坏。
- 延迟 cookie:您的密钥将不会被修改,不除去 cookie。 下次操作时系统将发出提示。
- 删除 cookie:您的密钥将不会修改,除去 cookie。 必须使用 efskeymgr 命令来再次执行操作。
标志
| 项 | 描述 |
|---|---|
| 常规标志: | |
| -d | 详细方式。 |
| -g | 打开密钥库时不处理暂挂操作。 |
| -k 克斯 | 此操作的对象是 ks 密钥库而不是活动的用户密钥库。 可能的 ks 值如下所示:
|
| -L 加载模块 | 指定用于密钥库操作的可装入模块。 |
| -p 人民 | 用于打开密钥库的密钥。 不推荐使用此标志,因为其他用户可以通过使用 ps 命令看到此标志,例如: |
| -P 文件名 | 将公用密钥 cookie 推入位于 ~/.ssh/authorized_keys 目录的 OpenSSH 文件中的所有密钥。 |
| 命令的标志(无权访问密钥库文件): | |
| -? | 显示命令帮助或出口。 |
| -q | 显示用于重新生成密钥的受支持算法的列表。 |
| -V | 显示与内核中的活动过程凭证相关的密钥。 |
| 命令标志(密钥库的只读访问): | |
| -c <命令> | 从内核中除去所有密钥,然后运行 cmd 命令。 cmd 命令结束时将恢复密钥。 |
| -M | 列示密钥库中的所有暂挂操作。 |
| -o <命令> | 打开密钥库并推入密钥,然后运行 cmd 命令。 cmd 命令结束时将放弃密钥。 |
| -v | 显示密钥库文件的内容。 |
| 命令标志(密钥库的读写访问): | |
| -C <组> | 创建 group 组的密钥库。 |
| -D <菲普> | 从密钥库中除去不推荐的专用密钥。 fp 值是密钥指印。 |
| -e <文件> | 将密钥导出到某个文件。 文件采用 PKCS#12 加密并包含密钥库中的公共和专用密钥。 此文件可在 openssh 中使用,例如: |
| -n | 对于用户密钥库,提示输入密钥库的新密码。 对于组密钥库,生成一个新的访问密钥并将其发送给组成员。 对于 admin 密钥库,生成一个新的访问密钥。 必须使用 efskeymgr 命令将密钥发送给 EFS 管理员。 |
| -R <阿尔戈> | 重新生成密钥库专用密钥。 请参阅 -q 标志以获取 algo 参数的有效值。 |
| -r <模式> | 更改密钥库管理方式。 mode
值可以是:
|
| -S <Ks2> | 从密钥库中除去 ks2 访问密钥。 之后再打开密钥库时,ks2 专用密钥不会自动推入。 |
| -s <Ks2> | 将密钥库访问密钥发送到 ks2 密钥库。 之后再打开 ks2 密钥时,密钥库专用密钥会自动载入。 |
退出状态
| 项 | 描述 |
|---|---|
| 重大安全事件数量 | 命令成功运行。 |
| 第 1 年 | 执行命令的过程中发生错误。 |
| 2 | 命令行发生语法错误。 |
安全性
示例
- 要查看密钥库内容,请输入:
efskeymgr –v - 要查看与活动 shell 相关的密钥,请输入:
efskeymgr -V - 要从密钥库中重新生成专用密钥,请输入:
efskeymgr –R RSA_1024 - 要删除不推荐密钥,请输入:
efskeymgr –D dbb62547:d6925088:45357fd3:54cddbba:27b255a9 - 要将组“students”的访问密钥发送给用户“joe”,请输入:
efskeymgr –k group/students –s user/joe - 要将 Open-SSH 客户机用户 Open-SSH 公用密钥 cookie 推入目标密钥库(其中 ~/.ssh/authorized_keys 文件包含已安装的公用密钥),请输入:
efskeymgr -P ~/.ssh/authorized_keys - 要在 LDAP(如果已配置)上直接创建组密钥库,请输入:
efskeymgr -L LDAP -C staff
文件
| 项 | 描述 |
|---|---|
| /var/efs | 包含所有密钥库。 |
| /etc/security/user | 包含用于创建和管理用户密钥库的 EFS 属性。 |
| /etc/security/group | 包含用于创建组密钥库的 EFS 属性。 |