AIX 6 加密文件系统（Encrypted File System），第 2 部分：文件级的加密

核心提示： 更改文件加密密钥参数在示例 9 中，我们介绍了如何更改加密密钥的长度，AIX 6 加密文件系统（Encrypted File System），第 2 部分：文件级的加密(7)，以及经过加密的文件的 AES 模式，我们使用一个名为 /efs 的、支持 EFS 的文件系统，在我们的场景中，进行

更改文件加密密钥参数

在示例 9 中，我们介绍了如何更改加密密钥的长度，以及经过加密的文件的 AES 模式。我们使用一个名为 /efs 的、支持 EFS 的文件系统。初始密钥长度是 128，初始模式是 CBC。生成一个长度为 256 的新密钥，并且在 ECB 模式中对文件进行加密。

示例9 更改文件加密的算法

# efsmgr -l file
EFS File information:
Algorithm:AES_128_CBC
List of keys that can open the file:
Key #1:
Algorithm :RSA_1024
Who :uid 0
Key fingerprint :5363bd50:0ed7631d:08a93ee5:efdbde20:54f1028c
# efsmgr -t file -c AES_256_ECB
# efsmgr -l file
EFS File information:
Algorithm:AES_256_ECB
List of keys that can open the file:
Key #1:
Algorithm :RSA_1024
Who :uid 0
Key fingerprint :5363bd50:0ed7631d:08a93ee5:efdbde20:54f1028c

注意：如果您更改了密钥参数或者密钥，那么将为该文件分配一个不同的索引节点。

文件访问权限

了解在控制文件访问方面，传统的 AIX 文件权限如何与文件加密进行交互，这一点非常重要。这两种机制相互并不重叠。它们相互协作，以提供对文件访问的更细粒度的控制。

当您尝试使用一个经过加密的文件时，首先将检查自主访问控制（Discretionary Access Control，DAC）和访问控制列表（Access Control List，ACL）以查找文件访问权限。只有在这些级别中授予了访问权限的情况下，才能继续进行密钥验证。

在示例10 中，显示了如何首先检查传统的文件访问权限。在我们的场景中，进行下面的操作：

以 user1 用户的身份进行登录。user1 的 uid 为 210。