给数据加"密码锁" NBU加密备份实施手册

为理想而奋斗 发表于:11年01月20日 00:00 [转载] IT168

  • 分享:
[导读]本文旨在说明如何应用NetBackup Encryption进行加密备份。不过仅仅是笔者整理的一个草稿,根据Encryption手册,罗列一切有关知识,然后加入自己的经验。

推送密码

bpkeyutil命令可以向客户端推送密码文件。密码文件存在于客户端上,是为客户端加密提供算法的。

在windows环境里,密码文件位于VERITAS_DIR\netbackup\var\keyfile.dat。关于这一点,手册中指明的路径是错误的,要注意。

在Unix环境里,密码文件位于/usr/openv/netbackup/keyfile

在5.1文档中,推送密码的命令是bpkeyfile,在6.0文档中,推送密码的命令是bpkeyutil。而其实,5.1也一样是bpkeyutil命令推送密码。bpkeyfile我总是失败,不知道是bug还是其他什么原因。

推送密码的命令

bpkeyutil -client 客户端名

推荐的办法

大部分应用NetBackup加密的用户,都会有非常严格的安保措施,对防火墙的控制也非常严格。而bpkeyutil并不使用bpcd或者vnetd这些端口,具体使用什么端口,在手册中没有说明。即便知道,我们也不得不要求用户多开放一个端口。而一旦密码文件推送成功,这个端口就没有作用了。给用户留下这样一个无用端口,是会引起很多不必要的问题的。

解决的办法其实很简单。我在与主服务器同网段的机器中找了一个客户端,用bpkeyutil命令向其推送密码,密码生成后,将其改名。再推送其他密码文件。他们的区别就是推送时设定的密码。然后将这些密码文件复制到目标客户端的相应位置上,密码文件就算推送完成了。这样就可以完全绕过那个我们不必要知道的端口。

保护密码文件

密码文件是加密备份与恢复所必需的钥匙。一旦被人取道,则很有可能被人非法恢复用户的备份。因此,密码文件的安全性是非常重要的。

在Unix环境中,可以通过修改访问权限的方法来保护。

在Windows环境中,则一定要注意密码文件所在分区的访问权限。

重要警告

密码文件的生成密码是具有历史性的。如果你中途修改过密码文件的密码,那么,你就必须记住包括原先密码在内的所有密码。因为,一旦密码文件遗失,你需要重建密码文件的时候,要根据该密码文件的历史,重新输入所有密码,才能生成对应的密码文件。

保护密码

密码文件的生成依赖于密码。因此,VERITAS建议将密码写在纸上,装入信封,并封入保险柜内。当然,根据用户数据安全级别的不同,我们可以采用很多方法来保护这些密码的秘密,不一定非得这样大动干戈。

[责任编辑:刘凯]
12月8日,由DOIT传媒主办,以“信息世界 共想明天”为主题的2010年中国存储峰会在北京富力万丽酒店隆重召开,中国存储行业又一次迎来了最具代表性、权威性的年度盛会。
官方微信
weixin
精彩专题更多
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
12月15日,中国闪存联盟成立,同时IBM Flash System卓越中心正式启动
DOIT、DOSTOR、易会移动客户端播报中国存储峰会盛况。
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved.