论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2006-08-31 13:40 |只看该作者 |倒序浏览

1。确认你的加密算法\r\n\r\n你可以选择如下几种\r\nDES 40 这是最简单的算法\r\nDES 56 40的算法和他是一样的，不同的是40中有16位始终是0\r\nDES 128与DES 256 这是NBU 5.1和NBU 6.0新添加的算法。当然数值越大，则加密程度越高。\r\n\r\n2。在服务器端安装加密软件\r\n\r\n在windows操作系统，这步可以省去。因为window默认安装所有DB agent和Add on软件。\r\n在Unix操作系统，你需要按照如下步骤安装：\r\n 1。以root身份登录主服务器\r\n 2。确认License\r\n 3。将DB Option光盘放入光驱\r\n 4。切换至光盘目录\r\n 5。执行安装脚本\r\n ./install\r\n 在提示版本时，回答y\r\n 6。集群环境必须在每个节点上各自执行\r\n 7。在客户端安装ENCRYPTION软件\r\n\r\n注意：\r\n在Unix环境中\r\n修改你的bp.conf，干掉DISALLOW_SERVER_WRITES这行。如果没有就算了。\r\n在windows环境中\r\n必须选中允许服务器控制的恢复(Allow Server Directed Restores)\r\n\r\n3。将加密软件推向客户端\r\n\r\n同样的，在windows环境中，你不用去推了。在Unix环境中，你需要将加密软件从服务器端推向客户端。\r\n\r\n你可以根据很多方法来推，如策略名，客户端名等等。具体的说明需要看ENCRYPTION手册。\r\n\r\n4。推送密码\r\n\r\n采用如下命令生成密码文件。\r\n\r\n在服务器端\r\n\r\nbpkeyutil -client xxxxx\r\n输入密码\r\n确认密码\r\n\r\n密码文件就生成了。\r\n\r\n注意：在很多使用加密的用户中，90%拥有各类防火墙。现实告诉我们，bpkeyutil使用的端口，不包含在bpcd，vnetd，java所使用的这些端口之中。而一旦密码推送完成，bpkeyutil所使用的端口，就没有用了。因此，要求用户开放bpkeyutil端口会留下安全漏洞。对于安保要求级别较高的用户，会对开放过多端口提出异议。因此，我推荐采用如下方法推送密码。\r\n\r\n在与master server同网段的一台机器上安装客户端。用bpkeyutil向这个客户端推送密码。密码文件生成后，改名保存。然后推送另一个密码。也就是说，所有客户端的密码文件，都在这一台计算机上生成。\r\n\r\n注意：记录每一个密码文件的生成密码。一旦密码文件丢失，依靠这些密码，可以重新生成一样的密码文件。\r\n\r\n将密码文件采用其他方式复制到目标客户端。即可完成密码推送工作。\r\n\r\n设置加密选项\r\n\r\n在策略中，可以选择加密还是不加密。同时，还有一个CRYPT_OPTION参数在起作用。\r\n\r\n当CRYPT_OPTION的值为allow的时候，策略选择加密或者不加密都可以通过\r\n当CRYPT_OPTION的值为required的时候，策略必须选择加密才能通过\r\n当CRYPT_OPTION的值为denied的时候，策略则不能进行加密备份\r\n\r\n加密实施至此其实就完成了。\r\n\r\n有些用户会提出恢复。我建议即使用户不提出，我们也应该主动提出这样的动作。因为这会增加用户对你的信赖，而对于我们自己，则在技术和实施环境上有相当大的好处。\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n这是一篇速效文档。用户帮助工程师尽快开始工作。请大家多提意见，或者说认为哪里写的不够完整或有错误，以方便我更加完善这篇文档。与此相关的文档还有一篇，是与加密备份的所有知识点的详细介绍。我现在贴不了，因为不在这台机器上。这两篇文档，加上VERITAS NetBackup™ 5.1 Encryption System Administrator’s Guide for UNIX and Windows。就应该可以保证实施中90%的问题都能解决。