Scroll to navigation

SYSTEMD-CRYPTSETUP(8) systemd-cryptsetup SYSTEMD-CRYPTSETUP(8)

الاسم

systemd-cryptsetup، systemd-cryptsetup@.service - منطق فك تشفير القرص بالكامل

موجز

systemd-cryptsetup [خيارات...] attach وحدة-تخزين جهاز-مصدر [ملف-مفتاح] [خيارات-crypttab]

systemd-cryptsetup [خيارات...] detach وحدة-تخزين

systemd-cryptsetup@.service

system-systemd\x2dcryptsetup.slice

الوصف

يُستخدم systemd-cryptsetup لإعداد (مع attach) وإزالة (مع detach) الوصول إلى جهاز كتلة مشفر. يُستخدم بشكل رئيس عبر systemd-cryptsetup@.service أثناء الإقلاع المبكر، ولكن قد يُستدعى يدويًا أيضًا. الوسائط الموضعية VOLUME وSOURCE-DEVICE وKEY-FILE وCRYPTTAB-OPTIONS لها نفس معنى الحقول في crypttab(5).

systemd-cryptsetup@.service هي خدمة مسؤولة عن توفير الوصول إلى أجهزة الكتلة المشفرة. تُنشأ لكل جهاز يتطلب فك تشفير.

تُعد نسخ systemd-cryptsetup@.service جزءًا من شريحة systemd\x2dcryptsetup.slice، والتي لا تُدمر إلا في مرحلة متأخرة جدًّا من عملية إيقاف التشغيل. وهذا يسمح للأجهزة المشفرة بالبقاء قيد التشغيل حتى يتم إلغاء ربط أنظمة الملفات.

سيطلب systemd-cryptsetup@.service كلمات سر الأقراص الصلبة عبر منطق وكيل كلمات المرور[1]، وذلك من أجل استعلام المستخدم عن كلمة السر باستخدام الآلية الصحيحة عند بدء التشغيل وأثناء التشغيل.

عند الإقلاع المبكر وعند إعادة تحميل تهيئة مدير النظام، يُترجم /etc/crypttab إلى وحدات systemd-cryptsetup@.service بواسطة systemd-cryptsetup-generator(8).

لفتح وحدة تخزين، يلزم كلمة مرور أو مفتاح ثنائي. تحاول systemd-cryptsetup@.service الحصول على كلمة مرور أو مفتاح ثنائي مناسب عبر الآليات التالية، التي تُجرب بالترتيب:

1.إذا تم تهيئة ملف مفتاح صراحة (عبر العمود الثالث في /etc/crypttab)، يُستخدم مفتاح يُقرأ منه. إذا تم تهيئة رمز PKCS#11 أو رمز FIDO2 أو جهاز TPM2 (باستخدام خيارات pkcs11-uri= أو fido2-device= أو tpm2-device=) يُفك تشفير المفتاح قبل الاستخدام.

2.إذا لم يتم تهيئة ملف مفتاح صراحة بهذه الطريقة، يُحمّل ملف مفتاح آليًا من /etc/cryptsetup-keys.d/volume.key و/run/cryptsetup-keys.d/volume.key، إذا كان موجودًا. هنا أيضًا، إذا تم تهيئة رمز/جهاز PKCS#11/FIDO2/TPM2، يُفك تشفير أي مفتاح يُوجد بهذه الطريقة قبل الاستخدام.

3.إذا تم تحديد خيار try-empty-password، تُحاول فتح وحدة التخزين بكلمة مرور فارغة.

4.إذا تم تعيين خيار password-cache= إلى "yes" أو "read-only"، يُفحص حلقة مفاتيح النواة بحثًا عن كلمة مرور مخبأة مناسبة من المحاولات السابقة.

5.أخيرًا، يُستعلم المستخدم عن كلمة مرور، ربما عدة مرات، ما لم يتم تعيين خيار headless.

إذا لم يمكن الحصول على مفتاح مناسب عبر أي من الآليات الموصوفة أعلاه، يفشل تنشيط وحدة التخزين.

بيانات الاعتماد

يدعم systemd-cryptsetup منطق بيانات اعتماد الخدمة كما هو مطبق بواسطة ImportCredential=/LoadCredential=/SetCredential= (انظر systemd.exec(5) للتفاصيل). تُستخدم بيانات الاعتماد التالية بواسطة "systemd-crypsetup@root.service" (التي يُنشئها systemd-gpt-auto-generator) عند تمريرها:

cryptsetup.passphrase

تحدد بيانات الاعتماد هذه عبارة مرور وحدة تخزين LUKS.

أُضيف في الإصدار 256.

cryptsetup.tpm2-pin

تحدد هذه الشهادة رقم التعريف الشخصي لـ TPM.

أُضيف في الإصدار 256.

cryptsetup.fido2-pin

تحدد هذه الشهادة رقم التعريف الشخصي لرمز FIDO2.

أُضيف في الإصدار 256.

cryptsetup.pkcs11-pin

تحدد هذه الشهادة رقم التعريف الشخصي لرمز PKCS11.

أُضيف في الإصدار 256.

cryptsetup.luks2-pin

تحدد هذه الشهادة رقم التعريف الشخصي المطلوب من قبل وحدات رمز LUKS2 العامة.

أُضيف في الإصدار 256.

انظر أيضًا

systemd(1)، systemd-cryptsetup-generator(8)، crypttab(5)، systemd-cryptenroll(1)، cryptsetup(8)، قياسات TPM2 PCR التي أجراها systemd[2]

ملاحظات

1.
منطق وكيل كلمة السر
https://systemd.io/PASSWORD_AGENTS/
2.
قياسات TPM2 PCR التي أجراها systemd
https://systemd.io/TPM2_PCR_MEASUREMENTS

ترجمة

تُرجمت هذه الصفحة من الدليل بواسطة زايد السعيدي <zayed.alsaidi@gmail.com>

هذه الترجمة هي وثيقة مجانية؛ راجع رخصة جنو العامة الإصدار 3 أو ما بعده للاطلاع على شروط حقوق النشر. لا توجد أي ضمانات.

إذا وجدت أي أخطاء في ترجمة صفحة الدليل هذه، يرجى إرسال بريد إلكتروني إلى قائمة بريد المترجمين: kde-l10n-ar@kde.org.

systemd 260.1