etbackupvarkeyfile.dat�。關于這一點,手冊中指明的路徑是錯誤的,要注意�。
在Unix環(huán)境里����,密碼文件位于/usr/openv/netbackup/keyfile
在5.1文檔中,推送密碼的命令是bpkeyfile��,在6.0文檔中��,推送密碼的命令是bpkeyutil�����。而其實���,5.1也一樣是bpkeyutil命令推送密碼�。bpkeyfile我總是失敗��,不知道是bug還是其他什么原因���。
推送密碼的命令
bpkeyutil -client 客戶端名
推薦的辦法
大部分應用NetBackup加密的用戶,都會有非常嚴格的安保措施�����,對防火墻的控制也非常嚴格。而bpkeyutil并不使用bpcd或者vnetd這些端口��,具體使用什么端口���,在手冊中沒有說明����。即便知道���,我們也不得不要求用戶多開放一個端口��。而一旦密碼文件推送成功�,這個端口就沒有作用了����。給用戶留下這樣一個無用端口,是會引起很多不必要的問題的���。
解決的辦法其實很簡單���。我在與主服務器同網段的機器中找了一個客戶端�,用bpkeyutil命令向其推送密碼�����,密碼生成后����,將其改名。再推送其他密碼文件�����。他們的區(qū)別就是推送時設定的密碼��。然后將這些密碼文件復制到目標客戶端的相應位置上�,密碼文件就算推送完成了。這樣就可以完全繞過那個我們不必要知道的端口����。
保護密碼文件
密碼文件是加密備份與恢復所必需的鑰匙。一旦被人取道�����,則很有可能被人非法恢復用戶的備份����。因此,密碼文件的安全性是非常重要的���。
在Unix環(huán)境中�����,可以通過修改訪問權限的方法來保護��。
在Windows環(huán)境中���,則一定要注意密碼文件所在分區(qū)的訪問權限。
重要警告
密碼文件的生成密碼是具有歷史性的�����。如果你中途修改過密碼文件的密碼��,那么����,你就必須記住包括原先密碼在內的所有密碼。因為,一旦密碼文件遺失�����,你需要重建密碼文件的時候�����,要根據該密碼文件的歷史�����,重新輸入所有密碼���,才能生成對應的密碼文件�。
保護密碼
密碼文件的生成依賴于密碼����。因此,VERITAS建議將密碼寫在紙上��,裝入信封���,并封入保險柜內�����。當然��,根據用戶數據安全級別的不同�����,我們可以采用很多方法來保護這些密碼的秘密�����,不一定非得這樣大動干戈��。
