NSE - Bootarg kmip.init.maxwait CAN发生原因数据丢失

如何缓解ARS风险#3016 - boot_ARS Loader选项kmip.init.maxwait和/或kmip.init.maxwait.ping设置为off。 

它们应设置为on或取消设置(默认设置)。默认情况下、NSE存储系统设置为对KMIP (外部密钥管理器)服务器执行ping操作、并等待至少一个KMIP服务器的ping响应、然后再启动安全SSL连接。
如果 boot_nSE选项kmip.init.maxwait和/或kmip.init.maxwait.ping设置为off、并且Loader磁盘已锁定并在使用中、并且系统由于任何原因进入启动循环、则其上的数据可能会丢失。 
默认情况下、 NSE磁盘驱动器具有一项内置功能、可防止其数据在未经授权的情况下连续尝试正确进行身份验证失败。如果顺序授权失败次数超过1024次、NSE磁盘驱动器将自行擦除其内部加密密钥、存储在这些驱动器上的数据将永久丢失。此过程没有还原。如果发生这种情况、则只能 通过进入维护模式并运行disk加密seandie -all命令将NSE磁盘驱动器设置回出厂默认值来重新使用NSE磁盘驱动器。要使此操作生效、还需要重新启动。

要缓解问题描述问题、请执行以下操作：

1. 在启动Loader提示符处取消设置变量、这是默认值。此设置为on、但此变量将被隐藏。 

unsetenv kmip.init.maxwait 
unsetenv kmip.init.maxwait.ping

2. 在启动Loader promp中、将变量设置为on。

setenv kmip.init.maxwait on
setenv kmip.init.maxwait.ping on