科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网存储频道Netbackup加密备份实施

Netbackup加密备份实施

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在Unix环境中修改你的bp.conf,干掉DISALLOW_SERVER_WRITES这行。如果没有就算了。在windows环境中必须选中允许服务器控制的恢复(Allow Server Directed Restores)

2007年9月15日

关键字: unix Windows NetBackup 加密

  • 评论
  • 分享微博
  • 分享邮件

1。确认你的加密算法

你可以选择如下几种
DES 40    这是最简单的算法
DES 56    40的算法和他是一样的,不同的是40中有16位始终是0
DES 128与DES 256     这是NBU 5.1和NBU 6.0新添加的算法。当然数值越大,则加密程度越高。

2。在服务器端安装加密软件

在windows操作系统,这步可以省去。因为window默认安装所有DB agent和Add on软件。
在Unix操作系统,你需要按照如下步骤安装:
  1。以root身份登录主服务器
  2。确认License
   3。将DB Option光盘放入光驱
  4。切换至光盘目录
  5。执行安装脚本
    ./install
      在提示版本时,回答y
   6。集群环境必须在每个节点上各自执行
  7。在客户端安装ENCRYPTION软件

注意:
在Unix环境中
修改你的bp.conf,干掉DISALLOW_SERVER_WRITES这行。如果没有就算了。
在windows环境中
必须选中允许服务器控制的恢复(Allow Server Directed Restores)

3。将加密软件推向客户端

同样的,在windows环境中,你不用去推了。在Unix环境中,你需要将加密软件从服务器端推向客户端。

你可以根据很多方法来推,如策略名,客户端名等等。具体的说明需要看ENCRYPTION手册。

4。推送密码

采用如下命令生成密码文件。

在服务器端

bpkeyutil -client xxxxx
输入密码
确认密码

密码文件就生成了。

注意:在很多使用加密的用户中,90%拥有各类防火墙。现实告诉我们,bpkeyutil使用的端口,不包含在bpcd,vnetd,java所使用的这些端口之中。而一旦密码推送完成,bpkeyutil所使用的端口,就没有用了。因此,要求用户开放bpkeyutil端口会留下安全漏洞。对于安保要求级别较高的用户,会对开放过多端口提出异议。因此,我推荐采用如下方法推送密码。

在与master server同网段的一台机器上安装客户端。用bpkeyutil向这个客户端推送密码。密码文件生成后,改名保存。然后推送另一个密码。也就是说,所有客户端的密码文件,都在这一台计算机上生成。

注意:记录每一个密码文件的生成密码。一旦密码文件丢失,依靠这些密码,可以重新生成一样的密码文件。

将密码文件采用其他方式复制到目标客户端。即可完成密码推送工作。

设置加密选项

在策略中,可以选择加密还是不加密。同时,还有一个CRYPT_OPTION参数在起作用。

当CRYPT_OPTION的值为allow的时候,策略选择加密或者不加密都可以通过
当CRYPT_OPTION的值为required的时候,策略必须选择加密才能通过
当CRYPT_OPTION的值为denied的时候,策略则不能进行加密备份

加密实施至此其实就完成了。

    有些用户会提出恢复。我建议即使用户不提出,我们也应该主动提出这样的动作。因为这会增加用户对你的信赖,而对于我们自己,则在技术和实施环境上有相当大的好处。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章