etbackupvarkeyfile.dat。關(guān)于這一點(diǎn)����,手冊(cè)中指明的路徑是錯(cuò)誤的�,要注意�。
在Unix環(huán)境里,密碼文件位于/usr/openv/netbackup/keyfile
在5.1文檔中�,推送密碼的命令是bpkeyfile,在6.0文檔中����,推送密碼的命令是bpkeyutil����。而其實(shí),5.1也一樣是bpkeyutil命令推送密碼�����。bpkeyfile我總是失敗��,不知道是bug還是其他什么原因�����。
推送密碼的命令
bpkeyutil -client 客戶端名
推薦的辦法
大部分應(yīng)用NetBackup加密的用戶���,都會(huì)有非常嚴(yán)格的安保措施����,對(duì)防火墻的控制也非常嚴(yán)格。而bpkeyutil并不使用bpcd或者vnetd這些端口���,具體使用什么端口����,在手冊(cè)中沒有說明���。即便知道���,我們也不得不要求用戶多開放一個(gè)端口。而一旦密碼文件推送成功�,這個(gè)端口就沒有作用了。給用戶留下這樣一個(gè)無用端口�����,是會(huì)引起很多不必要的問題的�����。
解決的辦法其實(shí)很簡單����。我在與主服務(wù)器同網(wǎng)段的機(jī)器中找了一個(gè)客戶端���,用bpkeyutil命令向其推送密碼,密碼生成后�,將其改名。再推送其他密碼文件�。他們的區(qū)別就是推送時(shí)設(shè)定的密碼。然后將這些密碼文件復(fù)制到目標(biāo)客戶端的相應(yīng)位置上�����,密碼文件就算推送完成了�����。這樣就可以完全繞過那個(gè)我們不必要知道的端口�。
保護(hù)密碼文件
密碼文件是加密備份與恢復(fù)所必需的鑰匙�����。一旦被人取道����,則很有可能被人非法恢復(fù)用戶的備份�����。因此�����,密碼文件的安全性是非常重要的���。
在Unix環(huán)境中,可以通過修改訪問權(quán)限的方法來保護(hù)�����。
在Windows環(huán)境中�,則一定要注意密碼文件所在分區(qū)的訪問權(quán)限。
重要警告
密碼文件的生成密碼是具有歷史性的�����。如果你中途修改過密碼文件的密碼�����,那么����,你就必須記住包括原先密碼在內(nèi)的所有密碼�。因?yàn)?,一旦密碼文件遺失,你需要重建密碼文件的時(shí)候����,要根據(jù)該密碼文件的歷史,重新輸入所有密碼�����,才能生成對(duì)應(yīng)的密碼文件�����。
保護(hù)密碼
密碼文件的生成依賴于密碼�。因此�����,VERITAS建議將密碼寫在紙上�����,裝入信封,并封入保險(xiǎn)柜內(nèi)����。當(dāng)然,根據(jù)用戶數(shù)據(jù)安全級(jí)別的不同����,我們可以采用很多方法來保護(hù)這些密碼的秘密,不一定非得這樣大動(dòng)干戈��。
欲想了解更多�,請(qǐng)閱讀:
經(jīng)驗(yàn)技巧 :NBU加密備份實(shí)施技巧(一)
經(jīng)驗(yàn)技巧 :NBU加密備份實(shí)施技巧(二)
