使用 SLES Encrypt File Container 保护远程 AIX V6.1 静止数据（2）

论坛元老

Rank: 8 Rank: 8

UID: 1066743

1^#

打印

字体大小: tT

look_w发表于 2018-6-13 14:34 | 只看该作者

使用 SLES Encrypt File Container 保护远程 AIX V6.1 静止数据（2）

在 SLES 上使用 NFS 导入SLES 也支持 NFS 协议和与 AIX NFS 互操作。通常，从 AIX 导出的共享可以挂载在您的文件系统中的任何目录。把共享挂载在 “/mnt/remote_storage” 下面。
在 SLES 上使用 NFS 导入清单 5. 在 SLES 上使用 NFS 导入

1
2
3
4

linux-r4pv:~ # hostname
linux-r4pv

linux-r4pv:~ # mount -t nfs 9.182.192.250:/storage/enduser/ /mnt/remote_storage/

在前面的命令中，-t nfs 指定使用的协议或要挂载的文件系统类型。服务器地址是导出 NFS 共享的服务器的 IP 地址（或 FQDN），在这里是 9.182.192.250 或 fsaix010。导出的路径 /storage/enduser/ 是作为 NFS 共享导出的服务器上的本地路径。目标路径 /mnt/remote_storage/ 是挂载 NFS 共享的客户机机器上的本地路径。
注意，只有当这两台机器（服务器和客户机）属于不同的域时，才必须使用完全限定域名 (FQDN)。如果机器属于相同的域，指定短名称/主机名就够了。但是，在这两种情况下都可以使用 IP 地址和 FQDN。
现在，可以使用 mount 命令检查挂载操作是否成功，这个命令列出挂载的所有共享以及它们的类型和路径。
清单 6. 检查挂载是否成功完成

1
2
3
4
5
6
7
8
9
10
11
12
13
14

linux-r4pv:~ # hostname
linux-r4pv

linux-r4pv:~ # mount
/dev/hda2 on / type reiserfs (rw,acl,user_xattr)
proc on /proc type proc (rw)
sysfs on /sys type sysfs (rw)
debugfs on /sys/kernel/debug type debugfs (rw)
udev on /dev type tmpfs (rw)
devpts on /dev/pts type devpts (rw,mode=0620,gid=5)
securityfs on /sys/kernel/security type securityfs (rw)
/dev/hdc on /media/SLED100_001 type iso9660 (ro,nosuid,nodev,utf8,uid=0)
9.182.192.250:/storage/enduser/ on /mnt/remote_storage type nfs
(rw,addr=9.182.192.250)

在 SLES 上使用 Encrypted File Container我们的目标是，确保在挂载的系统上创建并通过 NFS 在 SLES 上共享的所有用户文件是安全的。也就是说，确保使用 SLES 系统的最终用户创建的文件的静止数据是安全的。SUSE Linux Enterprise Server 通过分区加密和文件加密提供不同的数据保护方法。SLES 允许在安装期间或在正在运行的系统上设置 Encrypted File System (EFS) 以创建加密的分区，或者作为容器创建加密的文件（更多信息请参见）。
在这三种方法中，前两个可以无缝地保护数据，但是必须为这种设置指定专用的分区。对磁盘进行分区需要执行格式化，这会导致现有数据丢失。另外，对分布式文件系统执行这种操作可能会导致问题。但是，实际上不需要重新分区，而是可以使用 Encrypted File as a Container 特性，通过创建容器文件无缝地保护数据。这个文件包含所有加密的数据，它可以作为创建的新文件和目录的容器。因此，如果您有一个正在运行的系统，那么只需创建一个新的容器文件并作为新的文件系统使用它，这会在把数据写到磁盘之前执行加密。在这个示例中，我们通过 NFS 使用 Encrypted File as a Container 特性帮助保护远程数据。
配置 Encrypted File Container下面是在 SLES 上配置 Encrypted File Container 的详细步骤，可以通过这些步骤保护 NFS 共享上的数据。
步骤 1：创建将挂载 Encrypted File Container 的目录（例如 /mnt/encrypt）Encrypted File Container 形成一个循环（loop）设备，它将挂载在 /mnt/encrypt。现在，当在这个路径中创建新文件时，所有数据实际上都会加密并存储在容器文件中，而容器文件驻留在 NFS 共享上。所有数据块并不存储在本地文件系统中，而是存储在通过 NFS 挂载的共享（/mnt/remote_storage，它映射到 AIX 机器上的 /storage/enduser）上。因此，数据实际上以加密的形式驻留在远程 AIX 机器上。
清单 7. 创建目录（例如 /mnt/encrypt）

1
2
3
4

linux-r4pv:~ # hostname
linux-r4pv

linux-r4pv:~ # mkdir /mnt/encrypt

步骤 2：使用 YaST 工具创建容器文件按 SLES 文档中的说明使用 YaST 工具创建容器文件（见）。通常，通过 Computer->Control Center 启动 YaST 工具。选择 System 组，然后双击 YaST 图标。它会要求输入根密码。输入根密码并单击 Continue。在工具窗口中，从左边的边栏选择 System。双击 Partitioner 图标并选择 Yes 以响应警告消息。Expert Partitioner 窗口打开之后，从窗口底部的 “Crypt File” 下拉框中选择 Create Crypt File。
图 2. 创建新的循环设备设置

在 Create New Device Loop Setup 窗口中（见），必须输入将包含加密数据的容器文件的路径。因为已经通过 NFS 把 AIX JFS2 共享挂载在 /mnt/remote_storage 目录，所以指定容器文件的路径为 /mnt/remote_storage/secure_container。不需要在这个位置显式地创建此文件；这会自动地完成。选中 Create Loop File 选项。输入要创建的容器文件的大小（以 MB 为单位）。这是容器文件的容量，它保存的数据量不能超过这个值。选择 Format 单选按钮并选择容器文件上要使用的文件系统类型。这里显示的示例选择了 Ext2 File System。另外，选中 Encrypt file system 复选框。指定前面创建的目录 (/mnt/encrypt) 作为挂载点。可以修改 Fstab 选项和文件系统的选项，但是建议新手不要这么做。单击 OK 按钮，出现一个新的窗口，要求输入数据加密和解密所用的密码。在两个文本框中输入密码（长度必须大于等于 8 个字符），然后单击 OK 按钮关闭窗口。
一定要记住这个密码。
图 3. Expert Partitioner 表中的新条目

表中会出现一个设备名为 /dev/loop0 的新条目，见。现在配置完成了，但是在这个窗口中单击 Apply 之后修改才会生效。单击 Apply 之后，要求您确认应用修改，见图 4。再次单击 Apply 之后，修改持久化，Encrypted File Container 就准备好了。
图 4. 确认框

应用修改之后，新的基于文件的循环设备将挂载在指定的挂载点上。可以使用 mount 命令检查它：
清单 8. 检查循环设备是否成功挂载了

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

首先使用 NFS 在 SLES 机器上挂载了 AIX 导出的目录，然后在一个本地目录上挂载在这个 NFS 共享上创建的 Encrypted File Container。因此，在这个本地目录 (/mnt/encrypt) 中创建的所有文件实际上以加密的形式驻留在 Encrypted File Container 中，而 Encrypted File Container 驻留在远程 AIX 机器上，这样就实现了静止数据保护。

收藏分享评分

回复引用

订阅 TOP

返回列表