使用密钥管理工具之前需要确定系统是否有OCK_HOME环境变量,且在当前Linux环境中检查是否补熵。
- 首先通过echo $OCK_HOME确定系统是否有OCK_HOME环境变量,如果没有则设置到对应的OmniShuffle安装目录。默认是“/home/ockadmin/opt/ock”。确认OCK_HOME环境变量之后,通过以下操作设置LD_LIBRARY_PATH。
export LD_LIBRARY_PATH="${OCK_HOME}/ucache/${OCK_VERSION}/${OCK_BINARY_TYPE}/lib/common:${OCK_HOME}/ucache/${OCK_VERSION}/${OCK_BINARY_TYPE}/lib/common/openssl:${OCK_HOME}/ucache/${OCK_VERSION}/${OCK_BINARY_TYPE}/lib/mf:${OCK_HOME}/ucache/${OCK_VERSION}/${OCK_BINARY_TYPE}/lib/datakit:${OCK_HOME}/ucache/${OCK_VERSION}/${OCK_BINARY_TYPE}/lib/common/ucx:${OCK_HOME}/ucache/${OCK_VERSION}/${OCK_BINARY_TYPE}/lib/common/ucx/ucx:${LD_LIBRARY_PATH}" - 使用kmc tool工具之前,请在当前Linux环境中检查是否补熵(kmc初始化需要),查看及补熵请参考以下内容。
由于/dev/random生成强伪随机数的过程会阻塞当前的程序,所以生成随机数的速度必须越快越好,而熵值从小数值升到目标数值的速度就是生成随机数的速度,为此,我们必须想办法提高熵值。可以使用haveged组件来进行补熵。
- 确认系统是否开启了Haveged进程(建议一直开启)。
service haveged status
或
ps –ef | grep "haveged" | grep -v "grep"
- 启动Haveged,并将其设置为随系统启动。
systemctl start haveged systemctl enable haveged.service
- 查看屏幕输出随机数的速度。
cat /dev/random | od –x
- 查看当前熵值。
cat /proc/sys/kernel/random/entropy_avail
正常情况下,未启动Haveged是100多,启动Haveged之后会增大到1000多甚至2000。
- 可选:停止Haveged(使用完加解密功能后可选该步骤,使用过程中,请保证Haveged服务一直开启)。
service haveged stop
- 确认系统是否开启了Haveged进程(建议一直开启)。
kmc_tool用于加密keypass,whitelist,keytab文件,whitelist、keytab、keypass请严格按照域名domainID划分的4个domainID(keypass 0、whitelist 1、keytab_server 2、keytab_client 3)调用接口。
若在非运维用户环境下使用kmc_tool工具,请按以下步骤进行操作。
- 查看kmc信号量。
ipcs -s
该信号量是在root用户下使用kmc加密产生的,绑定root权限,需删除,若无此信号量,则无需执行下面删除信号量操作。
- 使用root用户删除root下的kmc信号量。
ipcrm -S 0x20161316
用该指令删除绑定在root权限的kmc信号量。
- 切回至非运维用户环境,正常使用kmc_tool加密。
生成加密口令之前建议关闭系统历史记录功能,避免密码被记录下来,可在口令生成后再打开该功能。
set +o history ./kmc_tool 0 --encrypt set -o history
加密成功。