table of contents
- bookworm-backports 4.24.0-2~bpo12+1
- testing 4.24.0-2
- unstable 4.24.0-2
SYSTEMD-PCRPHASE.SERVICE(8) | systemd-pcrphase.service | SYSTEMD-PCRPHASE.SERVICE(8) |
BEZEICHNUNG¶
systemd-pcrphase.service, systemd-pcrphase-sysinit.service, systemd-pcrphase-initrd.service, systemd-pcrmachine.service, systemd-pcrfs-root.service, systemd-pcrfs@.service, systemd-pcrextend - Systemstartphase in TPM2 PCR 11 einmessen, Maschinenkennung und Dateisystemidentität in PCR 15
ÜBERSICHT¶
systemd-pcrphase.service
systemd-pcrphase-sysinit.service
systemd-pcrphase-initrd.service
systemd-pcrmachine.service
systemd-pcrfs-root.service
systemd-pcrfs@.service
/usr/lib/systemd/systemd-pcrextend [ZEICHENKETTE]
BESCHREIBUNG¶
systemd-pcrphase.service, systemd-pcrphase-sysinit.service und systemd-pcrphase-initrd.service sind Systemdienste, die bestimmte Zeichenketten in TPM2-PCR 11 zu bestimmten Meilensteinen während des Systemstartprozesses einmessen.
systemd-pcrmachine.service ist ein Systemdienst, der die Maschinenkennung (siehe machine-id(5)) in PCR 15 einmisst.
systemd-pcrfs-root.service und systemd-pcrfs@.service sind Dienste, die Dateisystem-Identitätsinformationen (z.B. Einhängepunkt, Dateisystemtyp, Kennzeichnung und UUID, Partitionskennzeichnung und UUID) in PCR 14 einmessen. systemd-pcrfs-root.service macht dies für das Wurzeldateisystem, systemd-pcrfs@.service ist eine Vorlagen-Unit, die stattdessen das von seiner Instanzkennzeichner angezeigte Dateisystem einmisst.
Diese Dienste benötigen, dass systemd-stub(7) in einem vereinigten Kernelabbild (UKI) verwandt wird. Sie führen keine Aktion aus, wenn der Rumpf nicht zum Aufruf des Kernels verwandt wurde. Der Rumpf wird sicherstellen, dass der aufgerufene Kernel und die zugehörigen Ressourcen des Lieferanten in PCR 11 eingemessen werden, bevor ihm die Steuerung übergeben wird; sobald der Anwendungsraum aufgerufen wird, werden diese Dienste TMP2 PCR 11 mit bestimmten wörtliche Zeichenketten erweitern und damit Phasen des Systemstartprozesses andeuten. Während des regulären Systemstartprozesses wird PCR 11 mit den nachfolgenden Zeichenketten erweitert.
Während der regulären/normalen Nutzung(sdauer) eines Systems wird PCR 11 mit den Zeichenketten »enter-initrd«, »leave-initrd«, »sysinit«, »ready«, »shutdown« und »final« erweitert.
Bestimmte Phasen des Systemstartprozesses können über eine Reihe von eingemessenen Zeichenketten (getrennt durch Doppelpunkte) referenziert werden (den »Phasenpfad«). Der Phasenpfad für die reguläre System-Laufzeitumgebung ist beispielsweise »enter-initrd:leave-initrd:sysinit:ready«, während die für die Initrd nur »enter-initrd« ist. Der Phasenpfad für die Systemstartphase vor der Initrd ist die leere Zeichenkette; da das schwer weiterzugeben ist, kann ein einzelner Doppelpunkt (»:«) stattdessen verwandt werden. Beachten Sie, dass die vorgenannten sechs Zeichenketten nur die Vorgabezeichenketten sind und individuelle Systeme andere Zeichenketten zu anderen Zeitpunkten einmessen könnten, und daher andere und granularere Systemstartphasen implementieren könnten, um Richtlinien daran zu binden.
Durch Binden von Richtlinien von TPM2-Objekten an bestimmte Phasenpfade wird es möglich, sie auf bestimmte Phasen des Systemstartprozesses zu beschränken. Damit wird es beispielsweise unmöglich, auf den Verschlüsselungsschlüssel des Wurzeldateisystems zuzugreifen, nachdem das System von der Initrd auf das Dateisystem des Systems gewechselt hat.
Verwenden Sie systemd-measure(1) (mit dem Schalter --phase=), um die erwarteten PCR-11-Werte für bestimmte Systemstartphasen vorzuberechnen.
systemd-pcrfs-root.service und systemd-pcrfs@.service werden automatisch durch systemd-gpt-auto-generator(8) für die Wurzel- und /var/-Dateisysteme in die anfängliche Transaktion hereingezogen. systemd-fstab-generator(8) macht dies für alle Einhängepunkte, bei denen die Einhängeoption x-systemd.pcrfs in /etc/fstab gesetzt ist.
OPTIONEN¶
Das Programm /usr/lib/systemd/system-pcrextend kann auch von der Befehlszeile aufgerufen werden. Dort erwartet es das Wort, das in PCR 11 erweitert werden soll, sowie die folgenden Schalter:
--bank=
Hinzugefügt in Version 252.
--pcr=
Hinzugefügt in Version 255.
--tpm2-device=PFAD
Hinzugefügt in Version 252.
--graceful
Hinzugefügt in Version 253.
--machine-id
Hinzugefügt in Version 253.
--file-system=
Hinzugefügt in Version 253.
-h, --help
--version
DATEIEN¶
/run/log/systemd/tpm2-measure.log
Eine LOCK_EX-BSD-Dateisperre (flock(2)) auf der Protokolldatei wird während der Durchführung der Messung und der Aktualisierung der Datei erlangt. Daher sollten Anwendungen, die planen, eine konsistente Angabe aus dem TPM mit dem zugehörigen Schnappschuss des Ereignisprotokolls zu erlangen, eine LOCK_SH-Sperre erlangen, während sie dies tun.
Hinzugefügt in Version 252.
SIEHE AUCH¶
systemd(1), systemd-stub(7), systemd-measure(1), systemd-gpt-auto-generator(8), systemd-fstab-generator(8), Von Systemd durchgeführte TPM2-PCR-Messungen[3]
ANMERKUNGEN¶
- 1.
- JSON-SEQ
- 2.
- Kanonisches TCG-Ereignisprotokollformat (CEL-JSON)
- 3.
- Von Systemd durchgeführte TPM2-PCR-Messungen
ÜBERSETZUNG¶
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer.
systemd 256.5 |