了解 EFS

引言

加密的文件系统 (EFS) 是 J2 文件系统级别的加密(通过单独密钥存储库)。EFS 允许文件加密,以便保护保密的数据不会被攻击者以直接访问计算机的方式进行窃取。在操作系统运行时，用户身份验证和访问控制列表可以保护文件不会受到未经授权的访问；然而，如果攻击者获得对计算机的直接访问，那么要绕过控制列表将是很容易的。

一种解决方案是，在计算机的磁盘中存储经过加密的文件。在 EFS 中，每个用户都具有一个相关联的密钥。这些密钥存储在采用密码保护的密钥存储库中，在成功登录之后，会将用户的密钥加载到内核中，并建立与进程凭据的关联。当进程需要打开一个受 EFS 保护的文件时，系统将对凭据进行测试。如果系统找到一个匹配文件保护的密钥，那么这个进程就可以对文件密钥和文件内容进行解密。加密信息保存在每个文件的扩展属性中。EFS 使用了扩展属性版本 2，并且每个文件在写入磁盘之前都要经过加密。在将文件从磁盘读取到内存时对文件解密，因此文件数据能够以明文格式保存在内存中。数据只经过一次解密，这是一个主要的优点。当另一个用户需要访问该文件时，在授予对数据的访问权限之前，将验证其安全凭据，既使这些文件数据已经以明文格式存在于内存中。如果用户无资格访问该文件，则会拒绝访问。文件加密不排除传统访问权限的角色，而是增加了更高的粒度和灵活性。

为了能够在系统中创建并使用启用 EFS 的文件系统，必须满足下面的先决条件：

在 C (CliC) 密码库中安装 CryptoLite。

启用 RBAC。

允许系统使用 EFS 文件系统。

AIX EFS 与市场中其他的可用产品有哪些不同呢？

AIX® EFS 加密是在文件系统级别进行的。每个文件都使用唯一的文件密钥进行保护，并且创建了针对恶意 root 的保护。