注册微创客 • 个人创业
信息化
- 通讯录管理
- 文件同步
- 办公软件
- 局域网搭建
- 计算机辅助设计CAD
- 邮件服务器
- VPN/PPTP项目
- pos系统(销售点)
- 数据取证软件
- 任务/项目管理
- 电子政务
- OA办公/协作平台
- MySQL衍生版
- 企业ERP
- 版本控制系统
- 文档管理
- SIP项目
- 监控软件
- 数据保护
- 教育教学
- CRM
- 管理软件
- 其他软件
- 教学科研相关
- FTP服务器
- DNS服务器
- 基础软件
- 地理信息系统GIS
- 代理服务器软件
- 系统网络
- 软件开发
- 安全保密
- JMS/消息中间件
- 电子电路设计软件
- 网站建设
- 金融、财务系统
- 行业专用
- 400电话
- BI商业智能
- 数据库驱动程序
- 数据库服务器
- 操作系统工具
- 目录服务LDAP
- HTTP服务器
- 数据库建模
- 网络推广
- DHCP软件
- 虚拟机
- 流媒体服务器
- 企业搜索引擎
- 电话/通讯/IM聊天
- XMPP即时通讯
- 信息化
信息化
NBU加密备份实施技巧(三)
推送密码
bpkeyutil命令可以向客户端推送密码文件。密码文件存在于客户端上,是为客户端加密提供算法的。
在windows环境里,密码文件位于VERITAS_DIR\netbackup\var\keyfile.dat。关于这一点,手册中指明的路径是错误的,要注意。
在Unix环境里,密码文件位于/usr/openv/netbackup/keyfile
在5.1文档中,推送密码的命令是bpkeyfile,在6.0文档中,推送密码的命令是bpkeyutil。而其实,5.1也一样是bpkeyutil命令推送密码。bpkeyfile我总是失败,不知道是bug还是其他什么原因。
推送密码的命令
bpkeyutil -client 客户端名
推荐的办法
大部分应用NetBackup加密的用户,都会有非常严格的安保措施,对防火墙的控制也非常严格。而bpkeyutil并不使用bpcd或者vnetd这些端口,具体使用什么端口,在手册中没有说明。即便知道,我们也不得不要求用户多开放一个端口。而一旦密码文件推送成功,这个端口就没有作用了。给用户留下这样一个无用端口,是会引起很多不必要的问题的。
解决的办法其实很简单。我在与主服务器同网段的机器中找了一个客户端,用bpkeyutil命令向其推送密码,密码生成后,将其改名。再推送其他密码文件。他们的区别就是推送时设定的密码。然后将这些密码文件复制到目标客户端的相应位置上,密码文件就算推送完成了。这样就可以完全绕过那个我们不必要知道的端口。
保护密码文件
密码文件是加密备份与恢复所必需的钥匙。一旦被人取道,则很有可能被人非法恢复用户的备份。因此,密码文件的安全性是非常重要的。
在Unix环境中,可以通过修改访问权限的方法来保护。
在Windows环境中,则一定要注意密码文件所在分区的访问权限。
重要警告
密码文件的生成密码是具有历史性的。如果你中途修改过密码文件的密码,那么,你就必须记住包括原先密码在内的所有密码。因为,一旦密码文件遗失,你需要重建密码文件的时候,要根据该密码文件的历史,重新输入所有密码,才能生成对应的密码文件。
保护密码
密码文件的生成依赖于密码。因此,VERITAS建议将密码写在纸上,装入信封,并封入保险柜内。当然,根据用户数据安全级别的不同,我们可以采用很多方法来保护这些密码的秘密,不一定非得这样大动干戈。
上一篇文章:
NBU加密备份实施技巧(一)
下一篇文章:
EMC DATA DOMAIN备份系统打破业界记录
