給數(shù)據(jù)加密碼鎖 NBU加密備份實施手冊

1、給數(shù)據(jù)加"密碼鎖" NBU加密備份實施手冊 2005 年，花旗銀行、Ameritrade、時代華納和美國銀行在幾個月內(nèi)相繼報告，包含客戶個人信息的備份磁帶失蹤，而這些公司沒有任何一家能夠排除被盜的可能性。在未加密的備份磁帶丟失導(dǎo)致個人信息泄漏的120 萬名美國銀行客戶中，有幾位正好是美國參議員。毫無意外，這幾位參議員提出加強立法，規(guī)范銀行和其它金融機構(gòu)對備份介質(zhì)的處理，要求一些機構(gòu)的磁帶備份數(shù)據(jù)必須加密。其實，上述只是數(shù)據(jù)泄露事故列表中的案例之一，每年，因為數(shù)據(jù)泄露造成企業(yè)財產(chǎn)經(jīng)濟損失的案例不計其數(shù)。很多企業(yè)都發(fā)生過因為員工惡意破壞、或者其他人為疏漏而導(dǎo)致的磁帶丟失，為加密

2、的數(shù)據(jù)外泄出去，給企業(yè)帶來不同程度的損失。如今當(dāng)我們談?wù)摯鎯Π踩掝}時，往往會涉及到數(shù)據(jù)在存儲、備份以及歸檔過程中，是否具備很高的安全性，這也就是我們常常說起的數(shù)據(jù)的加密，能夠應(yīng)用到這個領(lǐng)域的加密解決方案主要有磁帶加密、備份軟件加密以及專用設(shè)備加密。給數(shù)據(jù)加上保護(hù)鎖盡管在目前比較先進(jìn)的傳統(tǒng)磁帶設(shè)備中有很多強制的加密功能，它會幫助你，使你現(xiàn)有的備份處理更加堅固、更加真實。如果你想擁有這些新的功能的話，你需要升級你的磁帶介質(zhì)、升級你的驅(qū)動器類型，并且當(dāng)一個新的驅(qū)動器或介質(zhì)連入到你的備份系統(tǒng)你還需要改變你備份管理軟件的一些配置信息，這都將給你帶來很多額外的工作量。而通過專用設(shè)備的加密方式更是百花齊放

3、，它采用內(nèi)置的處理器來處理加密和管理密鑰，只不過其需要增加的成本也是比較大的，所有這部分不在本文的討論范圍之內(nèi)。筆者發(fā)現(xiàn)很多公司或組織單位都寧愿選擇備份管理軟件附帶的加密功能，它可以作為一個功能選項在備份服務(wù)器上執(zhí)行加密工作。如果你的版本足夠新的話或許你現(xiàn)在就可以在你的備份服務(wù)器上設(shè)置此項功能，如果版本低你也可以升級目前的版本到一個具備加密功能的版本，這樣做的好處就是你可以免去對備份策略或者處理過程的大量修改。來自賽門鐵克公司的備份軟件NetBackup(簡稱NBU)同樣也提供了加密備份的選項，被稱為NetBackup Encryption，鑒于賽門鐵克NBU在企業(yè)級備份軟件市場上占有大部分的

4、市場份額，如何應(yīng)用賽門鐵克NetBackup Encryption對企業(yè)備份數(shù)據(jù)進(jìn)行加密同樣十分重要。本文旨在說明如何應(yīng)用NetBackup Encryption進(jìn)行加密備份。不過僅僅是筆者整理的一個草稿，根據(jù)Encryption手冊，羅列一切有關(guān)知識，然后加入自己的經(jīng)驗。用于今后建成標(biāo)準(zhǔn)文檔。下面將重點介紹NetBackup Encryption中的相關(guān)概念：DES加密算法與密碼文件DES加密算法是一個國際標(biāo)準(zhǔn)算法，據(jù)說當(dāng)密碼長達(dá)512位時，一個人窮盡一生也無法破解。對于加密/解密，并不是我專長。但需要知道的是，生成加密文件所使用的密碼，決定了加密文件的最終狀態(tài)。因此，在相同計算機上生成的加

5、密文件，可以分給不同的計算機來使用。這使得我們得到了一個穿越防火墻的極好辦法。這個問題在后面還會有敘述。密鑰的長度40位，56位，128位都是不同的密鑰長度。很明顯，選擇長度越大的密鑰則破解難度越高。在Netbackup 5.0中提供了40和56兩種密鑰。而5.1則增加了128位密鑰。在6.0則再次增加了256位密鑰。密碼在創(chuàng)建密碼文件時，需要輸入一個密碼。請注意，這并不是加密算法的密碼，因此沒必要把他設(shè)定到256位。這個密碼決定了密碼文件中的數(shù)據(jù)，而密碼文件才最后生成DES密碼。加密備份的設(shè)定在策略中，可以選擇加密還是不加密。同時，還有一個CRYPT_OPTION參數(shù)在起作用。當(dāng)CRYPT_

6、OPTION的值為allow的時候，策略選擇加密或者不加密都可以通過當(dāng)CRYPT_OPTION的值為required的時候，策略必須選擇加密才能通過當(dāng)CRYPT_OPTION的值為denied的時候，策略則不能進(jìn)行加密備份恢復(fù)的過程服務(wù)器首先根據(jù)映像確認(rèn)該備份是否被加密。然后，服務(wù)器連接客戶端的bpcd啟動恢復(fù)。加密與解密過程都是在客戶端上完成的，服務(wù)器本身不參與數(shù)據(jù)的加密與解密。因此，不管是備份還是恢復(fù)，其數(shù)據(jù)流都是被加密的。加密備份與恢復(fù)的理論過程當(dāng)主服務(wù)器根據(jù)日程表發(fā)起備份后，bpcd接受備份發(fā)起指令后，利用密碼文件為即將發(fā)送的數(shù)據(jù)加密。因此，從客戶端到服務(wù)器的數(shù)據(jù)流是已經(jīng)加密的。而服務(wù)

7、器端則完全按照標(biāo)準(zhǔn)的方法來保存加密數(shù)據(jù)流。而當(dāng)?shù)玫交謴?fù)請求后，服務(wù)器端不會進(jìn)行解密處理，而是直接將數(shù)據(jù)發(fā)送給客戶端。當(dāng)客戶端收到數(shù)據(jù)后，再通過密碼文件對數(shù)據(jù)進(jìn)行解密。因此，恢復(fù)的數(shù)據(jù)流也同樣是加密的。安裝必須在主服務(wù)器上安裝ENCRYPTION組件。這個組件存在于DB Option光盤上。屬于Add ON軟件。ENCRYPTION組件需要單獨License，沒有Tier級別限制標(biāo)準(zhǔn)安裝過程1。以root身份登錄主服務(wù)器2。確認(rèn)License3。將DB Option光盤放入光驅(qū)4。切換至光盤目錄5。執(zhí)行安裝腳本./install在提示版本時，回答y6。集群環(huán)境必須在每個節(jié)點上各自執(zhí)行7。在客戶端

8、安裝ENCRYPTION軟件推送軟件的過程bpinst命令并不是一個專門用于加密的安裝命令。他適用于幾乎所有的NetBackup軟件的安裝。-ENCRYPTION指示bpinst命令去推送加密軟件。而其實在windows客戶端，這一步是不需要的。因為Windows版本的NetBackup一旦安裝，就包括了所有DB Agent和AddON軟件。推送軟件的同時，可以設(shè)定密碼。但我個人不推薦這樣做。因為這樣做不僅命令非常長，且并不是非常有利于保護(hù)密碼。推送密碼bpkeyutil命令可以向客戶端推送密碼文件。密碼文件存在于客戶端上，是為客戶端加密提供算法的。在windows環(huán)境里，密碼文件位于VERI

9、TAS_DIRnetbackupvarkeyfile.dat。關(guān)于這一點，手冊中指明的路徑是錯誤的，要注意。在Unix環(huán)境里，密碼文件位于/usr/openv/netbackup/keyfile在5.1文檔中，推送密碼的命令是bpkeyfile，在6.0文檔中，推送密碼的命令是bpkeyutil。而其實，5.1也一樣是bpkeyutil命令推送密碼。bpkeyfile我總是失敗，不知道是bug還是其他什么原因。推送密碼的命令bpkeyutil -client 客戶端名推薦的辦法大部分應(yīng)用NetBackup加密的用戶，都會有非常嚴(yán)格的安保措施，對防火墻的控制也非常嚴(yán)格。而bpkeyutil并不使

10、用bpcd或者vnetd這些端口，具體使用什么端口，在手冊中沒有說明。即便知道，我們也不得不要求用戶多開放一個端口。而一旦密碼文件推送成功，這個端口就沒有作用了。給用戶留下這樣一個無用端口，是會引起很多不必要的問題的。解決的辦法其實很簡單。我在與主服務(wù)器同網(wǎng)段的機器中找了一個客戶端，用bpkeyutil命令向其推送密碼，密碼生成后，將其改名。再推送其他密碼文件。他們的區(qū)別就是推送時設(shè)定的密碼。然后將這些密碼文件復(fù)制到目標(biāo)客戶端的相應(yīng)位置上，密碼文件就算推送完成了。這樣就可以完全繞過那個我們不必要知道的端口。保護(hù)密碼文件密碼文件是加密備份與恢復(fù)所必需的鑰匙。一旦被人取道，則很有可能被人非法恢復(fù)用戶的備份。因此，密碼文件的安全性是非常重要的。在Unix環(huán)境中，可以通過修改訪問權(quán)限的方法來保護(hù)。在Windows環(huán)境中，則一定要注意密碼文件所在分區(qū)的訪問權(quán)限。重要警告密碼文件的生成密碼是具有歷史性的。如果你中途修改過密碼文件的密碼，那么，你就必須記住包括原先密碼在內(nèi)