中文
注册
我要评分
文档获取效率
文档正确性
内容完整性
文档易理解
在线提单
论坛求助
鲲鹏小智

使用前准备

使用密钥管理工具之前需要确定系统是否有OCK_HOME环境变量,且在当前Linux环境中检查是否补熵。

  • 首先通过echo $OCK_HOME确定系统是否有OCK_HOME环境变量,如果没有则设置到对应的OmniShuffle安装目录。默认是“/home/ockadmin/opt/ock”。确认OCK_HOME环境变量之后,通过以下操作设置LD_LIBRARY_PATH。
    export LD_LIBRARY_PATH="${OCK_HOME}/ucache/${OCK_VERSION}/${OCK_BINARY_TYPE}/lib/common:${OCK_HOME}/ucache/${OCK_VERSION}/${OCK_BINARY_TYPE}/lib/common/openssl:${OCK_HOME}/ucache/${OCK_VERSION}/${OCK_BINARY_TYPE}/lib/mf:${OCK_HOME}/ucache/${OCK_VERSION}/${OCK_BINARY_TYPE}/lib/datakit:${OCK_HOME}/ucache/${OCK_VERSION}/${OCK_BINARY_TYPE}/lib/common/ucx:${OCK_HOME}/ucache/${OCK_VERSION}/${OCK_BINARY_TYPE}/lib/common/ucx/ucx:${LD_LIBRARY_PATH}"
  • 使用kmc tool工具之前,请在当前Linux环境中检查是否补熵(kmc初始化需要),查看及补熵请参考以下内容。

    由于/dev/random生成强伪随机数的过程会阻塞当前的程序,所以生成随机数的速度必须越快越好,而熵值从小数值升到目标数值的速度就是生成随机数的速度,为此,我们必须想办法提高熵值。可以使用haveged组件来进行补熵。

    1. 确认系统是否开启了Haveged进程(建议一直开启)。
      service haveged status

      ps –ef | grep "haveged" | grep -v "grep"
    2. 启动Haveged,并将其设置为随系统启动。
      systemctl start haveged
      systemctl enable haveged.service
    3. 查看屏幕输出随机数的速度。
      cat /dev/random | od –x
    4. 查看当前熵值。
      cat /proc/sys/kernel/random/entropy_avail

      正常情况下,未启动Haveged是100多,启动Haveged之后会增大到1000多甚至2000。

    5. 可选:停止Haveged(使用完加解密功能后可选该步骤,使用过程中,请保证Haveged服务一直开启)。
      service haveged stop

kmc_tool用于加密keypass,whitelist,keytab文件,whitelist、keytab、keypass请严格按照域名domainID划分的4个domainID(keypass 0、whitelist 1、keytab_server 2、keytab_client 3)调用接口。

若在非运维用户环境下使用kmc_tool工具,请按以下步骤进行操作。

  1. 查看kmc信号量。
    ipcs -s

    该信号量是在root用户下使用kmc加密产生的,绑定root权限,需删除,若无此信号量,则无需执行下面删除信号量操作。

  2. 使用root用户删除root下的kmc信号量。
    ipcrm -S 0x20161316

    用该指令删除绑定在root权限的kmc信号量。

  3. 切回至非运维用户环境,正常使用kmc_tool加密。
    生成加密口令之前建议关闭系统历史记录功能,避免密码被记录下来,可在口令生成后再打开该功能。
    set +o history
    ./kmc_tool 0 --encrypt
    set -o history

    加密成功。