您可以使用管理 GUI 或指令行介面,在系統上啟用加密。系統支援 USB 快閃記憶體隨身碟,作為管理加密金鑰的方法。USB 快閃記憶體隨身碟型加密需要實際存取系統,在最少量系統的環境下較實用。對於在 USB 快閃記憶體隨身碟方面需要嚴密安全原則的組織,系統支援停用這些埠,以避免在未獲授權的情況下將系統資料傳送至可攜式媒體裝置。如果您具有此類安全需求,請使用金鑰伺服器來管理加密金鑰。
使用管理 GUI 來啟用加密
系統啟用加密時,會提示您將 USB 快閃磁碟機插入系統中。系統會有系統地將加密金鑰複製到這些隨身碟。系統會產生加密金鑰並複製到所有可用的 USB 快閃磁碟機。如果要啟用加密,請完成下列步驟:
- 在管理 GUI 中,選取。
- 按一下啟用加密。
- 在歡迎使用畫面中,選取 USB 快閃磁碟機。
註: 您也可以將金鑰伺服器和 USB 快閃記憶體隨身碟都選取,以配置這兩種方法來管理加密金鑰。如果任一種方法變成無法使用,您可以利用另一種方法存取系統上加密的資料。
- 精靈會提示您將所需的 USB 快閃記憶體隨身碟數目插入系統中。當系統偵測到 USB 快閃記憶體隨身碟時,就會自動將加密金鑰複製到 USB 快閃記憶體隨身碟。請務必建立任何必要的額外副本當作備份。您可以讓 USB 快閃記憶體隨身碟一直插在系統中。不過,系統所在的區域必須很安全,以避免 USB 快閃記憶體隨身碟遺失或遭竊。如果系統所在的區域不安全,請從系統中移除所有 USB 快閃記憶體隨身碟,並安全地存放。
- 完成所有副本之後,按一下確認。
- 在 USB 快閃磁碟機或其他外部儲存體媒體上,建立數個金鑰備份副本,並安全地存放。
使用指令行介面來啟用加密
請遵循這些步驟,來啟用加密:
- 輸入下列 CLI 指令,在系統上啟用加密:
chencryption -usb enable
- 請確定已安裝至少三個 USB 快閃記憶體隨身碟:
lsportusb
檢查 status 參數的值為 active。 這個狀態表示 USB 快閃記憶體隨身碟已插在節點上,可供系統使用。
- 建立系統加密金鑰,並將這些金鑰寫入系統連接的所有 USB 快閃記憶體隨身碟:
chencryption -usb newkey -key prepare
- 確定所準備的金鑰是現行金鑰。 當 usb_rekey 的 lsencryption 值設為 prepared,且 USB 加密金鑰數目大於所需的最少數目時,請使用這個指令。
chencryption -usb newkey -key commit
如果金鑰未寫入至 USB 裝置,則無法存取加密的物件,且資料會遺失。基於可用性及災難發生時有額外的備份可用,準備足夠的金鑰副本非常重要。 您可以從已建立的檔案製作備份,以複製金鑰資料。