zencrypt
功能介绍
zencrypt工具在单机中用于SYS用户的密码加密,增强通讯安全,用户不直接感知。zencrypt工具的操作日志默认记录在$GSDB_HOME/log/oper路径下,日志文件名称为:zencrypt.olog。其中,zencrypt工具的日志保留个数:10,日志文件最大大小:10M,日志文件权限:600,日志目录权限:700。
- 在线更新密钥因子(_FACTOR_KEY)会触发工作密钥(LOCAL_KEY)同步更新,如果配置了SSL私钥密码,也会触发SSL私钥密码同步更新。
- 可以使用zencrypt -g -f <factor_key>指定密钥因子生成新的工作密钥,然后通过alter system或者更新配置文件方式更新工作密钥。
- 基于安全要求,zencrypt工具只能由非root用户执行,root用户执行将报错,报错提示如下:
"root" execution of the zencrypt tool is not permitted。
- zencrypt工具针对环境变量GSDB_HOME未配置、日志路径权限不足等导致日志初始化异常场景,加密日志将不作记录,仅给出WARNING提示:
Warning: zencrypt operate log will not record, due to log init failed.
语法格式
- 显示帮助页面
zencrypt {-h|-H}- 显示版本信息
zencrypt {-v|-V}- 使用PBKDF2加密用户密码
zencrypt {-e|-E} PBKDF2- 使用SCRAM_SHA256加密用户密码
zencrypt {-e|-E} SCRAM[_SHA256] [-i iter_count]- 使用AES256加密SSL私钥密码
zencrypt {-e|-E} AES[256] {-f|-F} factor_key {-k|-K} work_key- 生成密钥因子和工作密钥
zencrypt {-g|-G} [{-f factor_key | -o key_file}]参数说明
表1 zencrypt参数说明 参数
说明
-h,-H
显示帮助页面。
-v,-V
显示版本信息。
-g, -G
生成密钥因子和工作密钥。
-e,-E
指定加密算法。当前支持的算法如下:
- SCRAM_SHA256:用来加密SYS用户密码。
- AES256:加密SSL私钥密码。
- PBKDF2:加密SYS用户密码。
-f, -F
指定密钥因子。
仅在使用AES256算法或者生成工作密钥时有效。
-k, -K
指定工作密钥。
仅在使用AES256算法时有效。
-o, -O
将指定的密钥因子经过HMAC运算的结果写入到-O指定的文件中。生成的文件可用于创建数据库时修改默认的密钥因子。
仅在生成密钥因子时有效。
说明:- 文件存放路径需要当前用户有可写权限。
- 如果通过替换文件的方式修改密钥因子,还需要同步修改配置文件中的工作密钥(LOCAL_KEY)参数,保证密钥配对,工作密钥可以使用zencrypt工具生成的WorkKey值。
-i
指定迭代次数。
仅在使用SCRAM_SHA256算法加密用户密码时有效。
「喜欢这篇文章,您的关注和赞赏是给作者最好的鼓励」关注作者【版权声明】本文为墨天轮用户原创内容,转载时必须标注文章的来源(墨天轮),文章链接,文章作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。评论
- 显示版本信息
