KMSAGENT相关参数解释
一级参数名称 |
二级参数名称 |
二级参数说明 |
|---|---|---|
SCENARIO |
Position |
应为aivault,表示密钥由AI-Vault管理的模式。 |
SERVER_FOR_CFS |
IP |
KMSAGENT连接Crypto_fs通信的IP。只能设置为127.0.0.1或172.0.0.0-172.255.255.255。 |
Port |
KMSAGENT连接Crypto_fs通信的端口。端口范围[1024-65535]。 |
|
CaPath |
KMSAGENT连接Crypto_fs通信的服务端根证书路径。设置的路径必须是存在的文件且HwHiAiUser 用户可访问。 |
|
TlsVersion |
TLS通信协议版本号, 只能配置为TLSv1.3。 |
|
SslCipherSuites |
安全密码套件名称,可选TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256。 |
|
TlsCertPath |
TLS通信协议证书路径。设置的目录必须是存在且HwHiAiUser用户可访问。 |
|
TlsBackupCertPath |
TLS通信协议证书路径备份。设置目录必须是存在且HwHiAiUser用户可访问。 |
|
CheckCertPeriod |
检查证书的间隔时间。单位为天。默认周期为7天,配置范围为[1, 180]。 |
|
LastTimeForAlarm |
产生告警时证书的剩余有效期。单位为天。默认值为90天,配置范围为[7, 180]。 |
|
CLIENT_FOR_AIVAULT |
ConnectIP |
KMSAGENT连接AiVault通信的IP。可配置IP为ABC类地址。 |
ConnectPort |
KMSAGENT连接AiVault通信的端口。端口范围[1024-65535]。 |
|
CaPath |
KMSAGENT连接AiVault通信的服务端根证书路径。设置的路径必须是存在的文件且HwHiAiUser 用户可访问。 |
|
TlsVersion |
TLS通信协议版本号, 只能配置为TLSv1.3。 |
|
SslCipherSuites |
安全密码套件名称,可选TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256。 |
|
TlsCertPath |
TLS通信协议证书路径。设置的目录必须是存在且HwHiAiUser用户可访问。 |
|
TlsBackupCertPath |
TLS通信协议证书路径备份。设置目录必须是存在且HwHiAiUser用户可访问。 |
|
CheckCertPeriod |
检查证书的间隔时间。单位为天。默认周期为7天,配置范围为[1, 180]。 |
|
LastTimeForAlarm |
产生告警时证书的剩余有效期。单位为天。默认值为90天,配置范围为[7, 180]。 |
|
KMSAGENT_KEYSTORE |
KmcMainPath |
kmsagent 运行时使用的kmc keystorefilea 。设置的文件可不存在,但是该文件的上层目录必须存在且HwHiAiUser 用户可访问 |
KmcBackupPath |
kmsagent运行时使用的kmc keystorefileb 。设置的文件可不存在,但是该文件的上层目录必须存在且HwHiAiUser 用户可访问 |
|
KMSAGENT_PERFORMANCE |
AcceptCfsFrequency |
kmsagent每秒接收cfs加解密连接请求的数量,最小为1,最大值为128,默认值为32。 |
MaxMem |
kmsagent内存限制,最小值为40M。0表示不限制内存,默认值为0。 |
|
WarnFdNums |
表示kmsagent和cfs打开fd数目的告警值,达到配置值数目,日志告警提示。值>500 |
|
MaxFdNums |
表示kmsagent和cfs打开fd数目的最大值,达到配置值数目,日志告警提示,并且进程睡眠5分钟。值>500 |
|
KMSAGENT_LOG |
UseSyslog |
1表示使用syslog,路径为/var/log/syslog(默认)或/var/log/messages(默认路径不存在时)。 0表示使用配置目录(RunLogPath、SecLogPath、OpLogPath)。默认值为1。 |
MaxLogSize |
KMSAGENT日志大小,默认值为10*1024*1024。最小值512,最大值为20*1024*1024。(单位byte) |
|
MaxLogFileNum |
KMSAGENT日志数量,默认值为10。值范围[1-20]。 |
|
RunLogPath |
KMSAGENT运行日志文件的目录。路径必须存在,且HwHiAiUser用户可读写访问,默认为工作目录。 |
|
SecLogPath |
KMSAGENT安全日志文件的目录。路径必须存在,且HwHiAiUser用户可读写访问,默认为工作目录。 |
|
OpLogPath |
KMSAGENT操作日志文件的目录。路径必须存在,且HwHiAiUser用户可读写访问,默认为工作目录。 |
|
VERIFICATION |
FileCheckData |
配置文件校验码,用户不可改。 |
- 用户可以修改kmsagent.conf中AcceptCfsFrequency,KMSAGENT_PERFORMANCE的MaxMem,CFS_PERFORMANCE的MaxMem三个参数对cfs流量进行限制,从而使kmsagent达到防御拒绝服务攻击的效果。
/usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s KMSAGENT_PERFORMANCE -n AcceptCfsFrequency -v $CfsReceiveFrequency /usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s KMSAGENT_PERFORMANCE -n MaxMem-v $KmsMaxMem /usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s CFS_PERFORMANCE -n MaxMem-v $CfsMaxMem
具体命令为:
执行以上命令后请参考修改配置文件步骤4重启kmsagent服务。
- 安全密码套件名称。
- TLSv1.3建议使用。
- TLS_AES_128_GCM_SHA256
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLSv1.3建议使用。
命令格式 |
命令功能 |
参数及选项说明 |
|---|---|---|
kmsagent <config_path> <config_ksf_path> |
启动kmsagent。 |
|
kmsagent <-c config_path> <-k ksf_path> <-s section> <-n name> <-v value> |
修改kmsagent配置文件。 |
|
kmsagent ${tls} get-csr <keyAndsignAlg_param> <cert_op_param> <config_path> <config_ksf_path> |
生成csr功能: |
|
kmsagent ${tls} set-cert <cert_op_param> <config_path> <config_ksf_path> |
导入证书功能 |
|
kmsagent ${tls} cert-info <config_path> <config_ksf_path> |
查询证书功能 |
|
kmsagent ${tls} set-crl <crl_path> <config_path> <config_ksf_path> |
导入crl功能 |
|
kmsagent [options] |
版本及帮助选项。 |
|
