使用 SLES Encrypt File Container 保护远程 AIX V6.1 静止数据

核心提示： 在 SLES 上使用 Encrypted File Container我们的目标是，确保在挂载的系统上创建并通过 NFS 在 SLES 上共享的所有用户文件是安全的，使用 SLES Encrypt File Container 保护远程 AIX V6.1 静止数据(5)，也就是说，确保使用 SL

在 SLES 上使用 Encrypted File Container

我们的目标是，确保在挂载的系统上创建并通过 NFS 在 SLES 上共享的所有用户文件是安全的。也就是说，确保使用 SLES 系统的最终用户创建的文件的静止数据是安全的。SUSE Linux Enterprise Server 通过分区加密和文件加密提供不同的数据保护方法。SLES 允许在安装期间或在正在运行的系统上设置 Encrypted File System (EFS) 以创建加密的分区，或者作为容器创建加密的文件。

在这三种方法中，前两个可以无缝地保护数据，但是必须为这种设置指定专用的分区。对磁盘进行分区需要执行格式化，这会导致现有数据丢失。另外，对分布式文件系统执行这种操作可能会导致问题。但是，实际上不需要重新分区，而是可以使用 Encrypted File as a Container 特性，通过创建容器文件无缝地保护数据。这个文件包含所有加密的数据，它可以作为创建的新文件和目录的容器。因此，如果您有一个正在运行的系统，那么只需创建一个新的容器文件并作为新的文件系统使用它，这会在把数据写到磁盘之前执行加密。在这个示例中，我们通过 NFS 使用 Encrypted File as a Container 特性帮助保护远程数据。

配置 Encrypted File Container

下面是在 SLES 上配置 Encrypted File Container 的详细步骤，可以通过这些步骤保护 NFS 共享上的数据。

步骤 1：创建将挂载 Encrypted File Container 的目录（例如 /mnt/encrypt）

Encrypted File Container 形成一个循环（loop）设备，它将挂载在 /mnt/encrypt。现在，当在这个路径中创建新文件时，所有数据实际上都会加密并存储在容器文件中，而容器文件驻留在 NFS 共享上。所有数据块并不存储在本地文件系统中，而是存储在通过 NFS 挂载的共享（/mnt/remote_storage，它映射到 AIX 机器上的 /storage/enduser）上。因此，数据实际上以加密的形式驻留在远程 AIX 机器上。