使用前准备
使用密钥管理工具之前需要确定系统是否有OCK_HOME环境变量,且在当前Linux环境中检查是否补熵。
确定环境变量
通过echo $OCK_HOME命令确定系统中是否存在OCK_HOME环境变量。如果没有,则设置到对应的OmniShuffle Shuffle加速组件安装目录。默认是“/home/ockadmin/opt/ock”。确认OCK_HOME环境变量之后,通过以下操作设置LD_LIBRARY_PATH。
export LD_LIBRARY_PATH="${OCK_HOME}/ucache/${OCK_VERSION}/${OCK_BINARY_TYPE}/lib/common:${OCK_HOME}/ucache/${OCK_VERSION}/${OCK_BINARY_TYPE}/lib/common/openssl:${OCK_HOME}/ucache/${OCK_VERSION}/${OCK_BINARY_TYPE}/lib/mf:${OCK_HOME}/ucache/${OCK_VERSION}/${OCK_BINARY_TYPE}/lib/datakit:${LD_LIBRARY_PATH}"
- OCK_HOME:OCK工具安装目录。
- OCK_VERSION:OCK工具版本。
- OCK_BINARY_TYPE:OCK可执行文件类型。
检查补熵
使用kmc tool工具之前,请在当前Linux环境中检查是否补熵(kmc初始化需要),查看及补熵请参见以下内容。
由于/dev/random生成强伪随机数的过程会阻塞当前的程序,所以生成随机数的速度必须越快越好,而熵值从小数值升到目标数值的速度就是生成随机数的速度。您可以通过使用haveged组件来进行补熵。
- 执行以下命令,确认系统是否开启了Haveged进程。
建议始终开启Haveged进程。
- 方式一
service haveged status
- 方式二
ps -ef | grep "haveged" | grep -v "grep"
- 方式一
- 启动Haveged,并将其设置为随系统启动。
systemctl start haveged systemctl enable haveged.service
- 查看屏幕输出随机数的速度。
cat /dev/random | od -x
- 查看当前熵值。
cat /proc/sys/kernel/random/entropy_avail
正常情况下,未启动Haveged是100多,启动Haveged之后会增大到1000多甚至2000。
- 停止Haveged。
使用加解密功能后可选该步骤,使用过程中,请保证Haveged服务一直开启。
service haveged stop
非运维用户环境
kmc_tool用于加密keypass、whitelist和keytab文件,whitelist、keytab、keypass请严格按照域名domainID划分的4个domainID(keypass 0、whitelist 1、keytab_server 2、keytab_client 3)调用接口。
若在非运维用户环境下使用kmc_tool工具,请按以下步骤进行操作。
- 切回至非运维用户环境,正常使用kmc_tool加密。生成加密口令之前建议关闭系统历史记录功能,避免密码被记录下来,可在口令生成后再打开该功能。
set +o history ./kmc_tool 0 --encrypt set -o history
图1 生成加密口令
返回信息表示加密成功。
父主题: 密钥管理工具