使用密钥管理工具之前需要确定系统是否有OCK_HOME环境变量,且在当前Linux环境中检查是否补熵。
- 首先通过echo $OCK_HOME命令确定系统中是否存在OCK_HOME环境变量,如果没有则设置到对应的OmniShuffle Shuffle加速组件安装目录。默认是“/home/ockadmin/opt/ock”。确认OCK_HOME环境变量之后,通过以下操作设置LD_LIBRARY_PATH。
export LD_LIBRARY_PATH="${OCK_HOME}/ucache/${OCK_VERSION}/${OCK_BINARY_TYPE}/lib/common:${OCK_HOME}/ucache/${OCK_VERSION}/${OCK_BINARY_TYPE}/lib/common/openssl:${OCK_HOME}/ucache/${OCK_VERSION}/${OCK_BINARY_TYPE}/lib/mf:${OCK_HOME}/ucache/${OCK_VERSION}/${OCK_BINARY_TYPE}/lib/datakit:${LD_LIBRARY_PATH}"
- OCK_HOME:OCK工具安装目录。
- OCK_VERSION:OCK工具版本。
- OCK_BINARY_TYPE:OCK可执行文件类型。
- 使用kmc tool工具之前,请在当前Linux环境中检查是否补熵(kmc初始化需要),查看及补熵请参考以下内容。
由于/dev/random生成强伪随机数的过程会阻塞当前的程序,所以生成随机数的速度必须越快越好,而熵值从小数值升到目标数值的速度就是生成随机数的速度。为此,我们必须想办法提高熵值。可以通过使用haveged组件来进行补熵。
- 确认系统是否开启了Haveged进程(建议始终开启)。
service haveged status
或
ps -ef | grep "haveged" | grep -v "grep"
- 启动Haveged,并将其设置为随系统启动。
systemctl start haveged systemctl enable haveged.service
- 查看屏幕输出随机数的速度。
cat /dev/random | od -x
- 查看当前熵值。
cat /proc/sys/kernel/random/entropy_avail
正常情况下,未启动Haveged是100多,启动Haveged之后会增大到1000多甚至2000。
- 可选:停止Haveged(使用加解密功能后可选该步骤,使用过程中,请保证Haveged服务一直开启)。
service haveged stop
- 确认系统是否开启了Haveged进程(建议始终开启)。
kmc_tool用于加密keypass、whitelist和keytab文件,whitelist、keytab、keypass请严格按照域名domainID划分的4个domainID(keypass 0、whitelist 1、keytab_server 2、keytab_client 3)调用接口。
若在非运维用户环境下使用kmc_tool工具,请按以下步骤进行操作。
- 切回至非运维用户环境,正常使用kmc_tool加密。
生成加密口令之前建议关闭系统历史记录功能,避免密码被记录下来,可在口令生成后再打开该功能。
set +o history ./kmc_tool 0 --encrypt set -o history
图1 生成加密口令
返回信息表示加密成功。