第 12 章 加密复制更改日志


加密复制更改日志以增加实例的安全性,以防攻击者获得服务器文件系统的访问权限。

changelog 加密使用服务器的 TLS 加密密钥和相同的 PIN 来解锁密钥。您必须在服务器启动时手动输入 PIN,或使用 PIN 文件。

目录服务器使用随机生成的对称加密密钥来加密和解密更改日志。服务器为每个配置的密码使用单独的密钥。这些密钥使用服务器的 TLS 证书中的公钥进行嵌套,生成的嵌套密钥存储在服务器的配置文件中。属性加密的有效强度与用于嵌套的服务器 TLS 密钥的强度相同。在无法访问服务器的私钥和 PIN 的情况下,无法从嵌套的副本恢复对称密钥。

12.1. 使用命令行加密更改日志

要在复制拓扑中提高安全性,请加密供应商和 hub 上的更改日志。此流程描述了如何为 dc=example,dc=com 后缀启用 changelog 加密。

前提条件

  • 服务器启用了 TLS 加密。
  • 主机是复制拓扑中的供应商或 hub。

流程

  1. 将更改日志(如 /tmp/changelog.ldif)导出到 /tmp/changelog.ldif 文件中:

    # dsconf <instance_name> replication export-changelog to-ldif -o /tmp/changelog.ldif -r "dc=example,dc=com"
    Copy to Clipboard Toggle word wrap
  2. dc=example,dc=com 后缀启用更改日志加密:

    # dsconf <instance_name> replication --suffix "dc=example,dc=com" --encrypt
    Copy to Clipboard Toggle word wrap
  3. /tmp/changelog.ldif 文件中导入更改日志:

    # dsconf <instance_name> replication import-changelog from-ldif -r "dc=example,dc=com" /tmp/changelog.ldif
    Copy to Clipboard Toggle word wrap
  4. 重启实例:

    # dsctl <instance_name> restart
    Copy to Clipboard Toggle word wrap

验证

  1. 在 LDAP 目录中进行更改,如更新条目。
  2. 停止实例:

    # dsctl <instance_name> stop
    Copy to Clipboard Toggle word wrap
  3. 列出后缀及其对应的数据库:

    # dsconf <instance_name> backend suffix list
    dc=example,dc=com (userroot)
    Copy to Clipboard Toggle word wrap

    请注意您启用了 changelog 加密的数据库名称。

  4. 输入以下命令显示 changelog 的部分:

    # dbscan -f /var/lib/dirsrv/slapd-<instance_name>/db/userroot/replication_changelog.db | tail -50
    Copy to Clipboard Toggle word wrap

    如果更改被加密,您只会看到加密的数据。

  5. 启动实例。

    # dsctl <instance_name> start
    Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat