zencrypt工具的操作日志默认记录在$GSDB_HOME/log/oper路径下,日志文件名称为:zencrypt.olog。其中,zencrypt工具的日志保留个数:10,日志文件最大大小:10M,日志文件权限:600,日志目录权限:700。
在线更新密钥因子(_FACTOR_KEY)会触发工作密钥(LOCAL_KEY)同步更新,如果配置了SSL私钥密码,也会触发SSL私钥密码同步更新。
可以使用zencrypt -g -f <factor_key>指定密钥因子生成新的工作密钥,然后通过alter system或者更新配置文件方式更新工作密钥。
基于安全要求,zencrypt工具只能由非root用户执行,root用户执行将报错,报错提示如下:
""root"" execution of the zencrypt tool is not permitted。
语法格式
显示帮助页面
zencrypt {-h|-H}
显示版本信息
zencrypt {-v|-V}
使用PBKDF2加密用户密码
zencrypt {-e|-E} PBKDF2
使用SCRAM_SHA256加密用户密码
zencrypt {-e|-E} SCRAM[_SHA256] [-i iter_count]
使用AES256加密SSL私钥密码
zencrypt {-e|-E} AES[256] {-f|-F} factor_key {-k|-K} work_key
生成密钥因子和工作密钥
zencrypt {-g|-G} [{-f factor_key | -o key_file}]
参数说明
参数
说明
-h,-H
显示帮助页面。
-v,-V
显示版本信息。
-g, -G
生成密钥因子和工作密钥。
-e,-E
指定加密算法。当前支持的算法如下:
SCRAM_SHA256:用来加密SYS用户密码。
AES256:加密SSL私钥密码。
PBKDF2:加密SYS用户密码。
-f, -F
指定密钥因子。
仅在使用AES256算法或者生成工作密钥时有效。
-k, -K
指定工作密钥。
仅在使用AES256算法时有效。
-o, -O
将指定的密钥因子经过HMAC运算的结果写入到-O指定的文件中。生成的文件可用于创建数据库时修改默认的密钥因子。
仅在生成密钥因子时有效。
文件存放路径需要当前用户有可写权限。
如果通过替换文件的方式修改密钥因子,还需要同步修改配置文件中的工作密钥(LOCAL_KEY)参数,保证密钥配对,工作密钥可以使用zencrypt工具生成的WorkKey值。
-i
指定迭代次数。
仅在使用SCRAM_SHA256算法加密用户密码时有效。