AIX 6 加密文件系统（Encrypted File System），第 3 部分：用户管理（上）

核心提示： 重要：当在 root guard 模式中创建用户时，安全管理员必须清楚，AIX 6 加密文件系统（Encrypted File System），第 3 部分：用户管理（上）(3)，在创建密钥存储库时需要将 root 的需求看作是可信的，另外，如果是 root guard，那么不允许 roo

重要：当在 root guard 模式中创建用户时，安全管理员必须清楚，在创建密钥存储库时需要将 root 的需求看作是可信的。另外，只有 root 可以指定用户密钥存储库为 root admin 模式或者 root guard 模式，以及是否允许用户更改密钥存储库模式。

用户密钥存储库

密钥存储库是存储用于对文件进行加密/解密操作、控制对文件的访问，以及管理用户和组的公共和私有数据的容器。在为每个用户分配密码时，将自动地为该用户创建一个密钥存储库。将自动地生成公/私钥对，并存储于密钥存储库中。将从 /etc/security/user 中读取生成公钥和私钥的参数，如密钥长度。

除了属主的公/私钥之外，用户密钥存储库还可能包含一些其他的访问密钥。采用 PKCS12 的格式保存密钥。密钥没有有效期的限制。

通过访问密钥来保护用户密钥存储库。根据 PKCS 5 规范得到访问密钥，并将其用于对密钥存储库的私有部分进行加密。如果系统支持 EFS，那么在所有现有用户第一次登录时，将自动地为他们创建密钥存储库。

如果您是从以前的版本迁移到 AIX 6，那么在用户第一次登录时，将自动地创建密钥存储库。

如果用户不需要访问经过加密的文件系统，并且您不希望创建用户密钥存储库，那么您必须对 /etc/security/user 文件中对应的用户节进行修改。

密钥存储库的内容

密钥存储库包含公共信息和私有信息。

密钥存储库中保存的公共信息包括以下几种：

用户名。

UID。

最近一次更改密码的日期。

密钥存储库的管理模式：可以是 root guard 或者 root admin。如果是 root guard，那么不允许 root 将 root guard 模式更改为 root admin。

Self cookie：使用用户的公钥加密的密钥存储库的访问密钥。