AIX 6 加密文件系统(Encrypted File System),第 3 部分:用户管理(上)
2008-09-06 08:20:10 来源:WEB开发网root 可以访问用户密钥存储库。
root 可以访问组密钥存储库。
root 可以重新设置用户密钥存储库的密码。
root 可以重新设置组访问密钥。
因为 root 可以访问用户密钥存储库,所以 root 也可以访问用户文件。
root guard 模式
root guard 模式不是操作的缺省模式。在这个模式中,不允许执行下面这些操作:
root 不能访问用户密钥存储库。
root 不能访问组密钥存储库。
root 不能重新设置用户密钥存储库的密码。
root 不能重新设置组访问密钥。
这个操作模式专门针对恶意 root 提供了相应的保护。这意味着,如果系统受到攻击,并且攻击者以某种方式获得了 root 权限,那么攻击者将无法访问用户或者组密钥存储库,从而无法访问用户文件。
另一方面,如果用户丢失了他的或者她的密码,那么 root 将无法对其进行重新设置。
这意味着,任何人都无法访问用户或者组密钥存储库,从而无法对用户文件的信息进行解密。
更改用户密钥存储库的密码
密钥存储库的密码和登录密码是不一样的。
您可以为密钥存储库设置单独的密码。然而,如果登录密码与密钥存储库密码相同,那么将自动地打开用户密钥存储库,并且自动地将密钥存储库的数据加载到内核中。如果这两个密码不相同,那么用户必须显式地打开密钥存储库,并在内核中加载访问密钥。
对于没有密钥存储库的用户,仍然允许使用登录密码进行登录。如果他或者她并不访问存储于加密文件系统中的任何数据,那么该用户可以进行成功地操作。
必须要清楚的是,运行 password 命令将仅更改登录密码,而不会更改密钥存储库密码。
任何用户都可以使用 efskeymgr -n 命令,更改他的或者她的密钥存储库密码。当在 root admin 模式中运行时,root 和该用户都可以更改该用户的密钥存储库密码。示例 6 中显示 root 正在更改用户密钥存储库密码。
更多精彩
赞助商链接