AIX 6 加密文件系统（Encrypted File System），第 3 部分：用户管理（上）

核心提示： root 可以访问用户密钥存储库， root 可以访问组密钥存储库，AIX 6 加密文件系统（Encrypted File System），第 3 部分：用户管理（上）(7)， root 可以重新设置用户密钥存储库的密码， root 可以重新设置组访问密钥，当在 root admin 模式

root 可以访问用户密钥存储库。

root 可以访问组密钥存储库。

root 可以重新设置用户密钥存储库的密码。

root 可以重新设置组访问密钥。

因为 root 可以访问用户密钥存储库，所以 root 也可以访问用户文件。

root guard 模式

root guard 模式不是操作的缺省模式。在这个模式中，不允许执行下面这些操作：

root 不能访问用户密钥存储库。

root 不能访问组密钥存储库。

root 不能重新设置用户密钥存储库的密码。

root 不能重新设置组访问密钥。

这个操作模式专门针对恶意 root 提供了相应的保护。这意味着，如果系统受到攻击，并且攻击者以某种方式获得了 root 权限，那么攻击者将无法访问用户或者组密钥存储库，从而无法访问用户文件。

另一方面，如果用户丢失了他的或者她的密码，那么 root 将无法对其进行重新设置。

这意味着，任何人都无法访问用户或者组密钥存储库，从而无法对用户文件的信息进行解密。

更改用户密钥存储库的密码

密钥存储库的密码和登录密码是不一样的。

您可以为密钥存储库设置单独的密码。然而，如果登录密码与密钥存储库密码相同，那么将自动地打开用户密钥存储库，并且自动地将密钥存储库的数据加载到内核中。如果这两个密码不相同，那么用户必须显式地打开密钥存储库，并在内核中加载访问密钥。

对于没有密钥存储库的用户，仍然允许使用登录密码进行登录。如果他或者她并不访问存储于加密文件系统中的任何数据，那么该用户可以进行成功地操作。

必须要清楚的是，运行 password 命令将仅更改登录密码，而不会更改密钥存储库密码。

任何用户都可以使用 efskeymgr -n 命令，更改他的或者她的密钥存储库密码。当在 root admin 模式中运行时，root 和该用户都可以更改该用户的密钥存储库密码。示例 6 中显示 root 正在更改用户密钥存储库密码。