Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
第 20 章 volume_key 功能
volume_key 功能提供两个工具:libvolume_key 和 volume_key。libvolume_key 是用于控制存储卷加密密钥的库,并将它们与卷分开存储。volume_key 是一个关联的命令行工具,用于提取密钥和密码短语,以恢复对加密硬盘驱动器的访问。
这适用于在员工突然离开后忘记其密钥和密码,或者为了在硬件或软件故障破坏加密卷标头后提取数据。在企业设置中,IT 帮助台可以使用 volume_key 在将计算机移交给最终用户之前备份加密密钥。
目前,volume_key 仅支持 LUKS 卷加密格式。
注意
volume_key 不包含在 Red Hat Enterprise Linux 7 服务器的标准安装中。有关安装的详情请参考: http://fedoraproject.org/wiki/Disk_encryption_key_escrow_use_cases
20.1. volume_key 命令
volume_key 的格式为:
volume_key [OPTION]... OPERAND
volume_key 的操作对象和操作模式通过指定以下选项之一来确定:
- --save
- 此命令需要操作对象 卷 [数据包]。如果提供了 数据包,volume_key 将从中提取密钥和密码短语。如果未提供 数据包,则 volume_key 将从卷中提取密钥和密码短语 , 并在需要时提示用户。这些密钥和密码短语将存储在一个或多个输出数据包中。
- --restore
- 此命令需要操作对象 卷数据包。然后,它会打开 卷 并使用 数据包 中的密钥和密码短语使 卷 再次可访问,并在需要时提示用户输入新的密语,例如:允许用户输入新的密语。
- --setup-volume
- 此命令需要 operands 卷数据包名称。然后,它会打开 卷 并使用 数据包 中的密钥和密码短语来设置 卷,以便将解密的数据用作 名称。name 是 dm-crypt 卷的名称。此操作使解密的卷作为
/dev/mapper/name提供。例如,此操作不会通过添加新密码短语来永久更改 卷。用户可以访问和修改解密的卷,从而修改过程中 的卷。 - --reencrypt、--secrets 和 --dump
- 这三个命令通过不同的输出方法执行类似的功能。它们各自需要操作对象 数据包,并且每个都打开 数据包,根据需要对其进行解密。然后 --reencrypt 将信息存储在一个或多个新输出数据包中。--secrets 输出 数据包 中包含的密钥和密码短语。--dump 输出 数据包 的内容,但默认情况下不会输出密钥和密语。这可以通过将 --with-secrets 附加到 命令来更改。也可以使用 --un 加密 命令仅转储数据包未加密的部分(如果有)。这不需要任何密语或私钥访问。
每个选项均可附加以下选项:
- -o,--output 数据包
- 此命令将默认密钥或密语写入 数据包。默认密钥或密语取决于卷格式。确保它不太可能过期,并且允许 --restore 恢复对卷的访问。
- --output-format 格式
- 此命令使用所有输出数据包的指定 格式。目前,格式 可以是以下之一:
- 非对称 :使用 CMS 来加密整个数据包,并且需要证书
- nonymmetric_wrap_secret_only: 仅打包 secret、密钥和密码短语,并且需要证书
- 密码短语 :使用 GPG 加密整个数据包,并且需要密语
- --create-random-passphrase packet
- 此命令生成随机字母数字密码短语,将它添加到 卷 中(而不影响其他密语),然后将此随机密语存储到 数据包 中。