Scroll to navigation

SYSTEMD-PCRLOCK(8) systemd-pcrlock SYSTEMD-PCRLOCK(8)

الاسم

systemd-pcrlock, systemd-pcrlock-file-system.service, systemd-pcrlock-firmware-code.service, systemd-pcrlock-firmware-config.service, systemd-pcrlock-machine-id.service, systemd-pcrlock-make-policy.service, systemd-pcrlock-secureboot-authority.service, systemd-pcrlock-secureboot-policy.service - تحليل وتوقع حالات PCR الخاصة بـ TPM2 وتوليد سياسة وصول من التوقع

موجز

/usr/lib/systemd/systemd-pcrlock [OPTIONS...]

الوصف

ملاحظة: هذا الأمر تجريبي في الوقت الحالي. ورغم أنه من المرجح أن يصبح مكونًا نظاميًا في systemd، إلا أنه قد يطرأ عليه تغيير في السلوك والواجهة.

systemd-pcrlock هي أداة يمكن استخدامها لتحليل وتوقع قياسات PCR الخاصة بـ TPM2، وتوليد سياسات وصول TPM2 من التوقع الذي تخزنه في فهرس NV الخاص بـ TPM2 (أي في الذاكرة غير المتطايرة لـ TPM2). يمكن استخدام هذا بعد ذلك لتقييد الوصول إلى كائنات TPM2 (مثل مفاتيح تشفير القرص) على إقلاعات النظام التي تستخدم فيها مكونات محددة وموثوقة فقط.

يستخدم systemd-pcrlock كمدخلات لتحليله وتوقعه:

•سجل أحداث TPM2 للبرامج الثابتة UEFI (أي /sys/kernel/security/tpm0/binary_bios_measurements) للإقلاع الحالي.

•سجل أحداث TPM2 لمساحة المستخدم (أي /run/log/systemd/tpm2-measure.log) للإقلاع الحالي.

•حالة PCR الحالية لرقاقة TPM2.

•ملفات تعريف مكونات الإقلاع (*.pcrlock و *.pcrlock.d/*.pcrlock، انظر systemd.pcrlock(5)) التي يعرف كل منها القياسات المتوقعة لمكون واحد من عملية الإقلاع، مما يسمح بتنويعات بديلة لكل منها. (يمكن استخدام التنويعات لمباركة إصدارات نواة متعددة أو إصدارات محمل إقلاع في نفس الوقت.)

يستخدم هذه المدخلات لتوليد سجل أحداث مدمج، والتحقق من صحته مقابل حالات PCR. ثم يحاول التعرف على سجلات الأحداث ومطابقتها مع المكونات المعرفة. لكل PCR حيث يمكن القيام بذلك بشكل شامل (أي حيث تمت مطابقة جميع السجلات المدرجة وجميع المكونات المعرفة) يمكن استخدام هذا بعد ذلك لتوقع قياسات PCR المستقبلية، مع مراعاة التنويعات البديلة المعرفة لكل مكون. يمكن بعد ذلك تحويل هذا التوقع إلى سياسة وصول TPM2 (تتكون من عناصر PolicyPCR و PolicyOR الخاصة بـ TPM2)، والتي تخزن بعد ذلك في فهرس NV في TPM2. يمكن استخدام هذا بعد ذلك لقفل الأسرار (مثل مفاتيح تشفير القرص) على هذه السياسات (عبر سياسة PolicyAuthorizeNV الخاصة بـ TPM2).

استخدم أدوات مثل systemd-cryptenroll(1) أو systemd-repart(8) لربط تشفير القرص بسياسة TPM2 الخاصة بـ systemd-pcrlock هذه. على وجه التحديد، انظر مفاتيح --tpm2-pcrlock= لهذه الأدوات.

يتطلب منطق سياسة الوصول جهاز TPM2 ينفذ أمر "PolicyAuthorizeNV"، أي ينفذ TPM 2.0 الإصدار 1.38 أو أحدث.

الأوامر

الأوامر التالية مفهومة:

log

يقرأ سجل أحداث TPM2 المدمج، ويتحقق من صحته، ويطابقه مع قيم PCR الحالية، ويخرج كليهما في شكل جدولي. ادمج مع --json= لتوليد مخرجات بتنسيق JSON.

أُضيف في الإصدار 255.

cel

يقرأ سجل أحداث TPM2 المدمج ويكتبه إلى STDOUT بتنسيق TCG Canonical Event Log Format (CEL-JSON)[1].

أُضيف في الإصدار 255.

list-components

يعرض قائمة بتعريفات المكونات وتنويعاتها، أي ملفات *.pcrlock المكتشفة في /var/lib/pcrlock.d/ و /usr/lib/pcrlock.d/ والأدلة الأخرى المدعومة. انظر systemd.pcrlock(5) للحصول على تفاصيل حول هذه الملفات والقائمة الكاملة للأدلة التي تم البحث فيها.

أُضيف في الإصدار 255.

predict

يتوقع حالة PCR على الإقلاعات المستقبلية. سيحلل سجل أحداث TPM2 كما هو موصوف أعلاه، ويتعرف على المكونات، ثم يولد جميع قيم PCR الممكنة الناتجة لجميع توليفات تنويعات المكونات. لاحظ أنه لا يتم توقع أي PCR لا تتطابق قيمته مع سجلات الأحداث، أو التي تكتشف لها قياسات غير معروفة، أو التي تعرف لها مكونات لا يمكن العثور عليها في سجل الأحداث. هذا إجراء أمان لضمان إمكانية تنفيذ أي سياسة وصول مولدة بشكل صحيح على الإقلاعات الحالية والمستقبلية.

أُضيف في الإصدار 255.

make-policy

يتوقع حالة PCR للإقلاعات المستقبلية، مثل أمر predict أعلاه. ثم يستخدم هذه البيانات لتوليد سياسة وصول TPM2 يخزنها في فهرس NV الخاص بـ TPM2. يكتب التوقع والمعلومات حول TPM2 المستخدم وفهرس NV الخاص به إلى /var/lib/systemd/pcrlock.json.

يخصص فهرس NV في أول استدعاء، ويحدث في الاستدعاءات اللاحقة.

يمكن تغيير محتويات فهرس NV (وبالتالي تحديث السياسة المخزنة فيه) بتوفير PIN وصول. يولد PIN هذا آليًا عادة ويخزن في شكل مشفر (مع سياسة وصول تربطه بفهرس NV نفسه) في ملف سياسة JSON المذكور أعلاه. يمكن اختيار PIN هذا من قبل المستخدم، عبر المفتاح --recovery-pin=. إذا تم تحديده، يمكن استخدامه كمسار بديل للوصول لتحديث السياسة.

إذا تطابق التوقع الجديد مع القديم، ينهي هذا الأمر بسرعة ولا ينفذ أي عملية إضافية. (ما لم يتم تحديد --force، انظر أدناه.)

بدءًا من الإصدار v256، يتم ترميز نسخة من ملف السياسة /var/lib/systemd/pcrlock.json في بيانات اعتماد (انظر systemd-creds(1) للتفاصيل) وكتابتها إلى قسم نظام EFI أو قسم XBOOTLDR، في الدليل الفرعي /loader/credentials/. هناك يتم التقاطها عند الإقلاع بواسطة systemd-stub(7) وتمريرها إلى initrd المستدعى، حيث يمكن استخدامها لفتح نظام الملفات الجذر (الذي يحتوي عادةً على /var/، حيث توجد النسخة الأساسية من السياسة، والتي لا يمكن استخدامها بالتالي لفتح نظام الملفات الجذر). يتم تسمية ملف بيانات الاعتماد بعد رمز إدخال الإقلاع للتثبيت (انظر bootctl(1))، والذي يمكن تكوينه عبر المفتاح --entry-token=، انظر أدناه.

أُضيف في الإصدار 255.

remove-policy

يزيل سياسة مولدة مسبقًا. يحذف ملف /var/lib/systemd/pcrlock.json، ويحرر فهرس NV.

أُضيف في الإصدار 255.

is-supported

يتحقق مما إذا كان TPM2 المحلي يدعم جميع الوظائف اللازمة لعمل systemd-pcrlock بشكل صحيح. يقوم هذا بإجراء اختبارات مشابهة لـ systemd-analyze has-tpm2، ولكنه يتحقق أيضًا من دعم عمليات TPM2 المطلوبة بواسطة systemd-pcrlock. يُخرج إحدى القيم "no" أو "partial" (في حالة توفر بعض أجزاء دعم TPM2 في العتاد والبرامج الثابتة ونظام التشغيل ولكنها غير كاملة) أو "obsolete" (إذا كان دعم TPM2 متوفرًا في العتاد والبرامج الثابتة ونظام التشغيل ولكن العمليات المطلوبة لـ systemd-pcrlock مفقودة) أو "yes". يُرجع حالة خروج صفرية إذا كان الدعم الكامل متوفرًا، وإلا يُرجع قيمة غير صفرية.

إذا تم دمجه مع --quiet، يُكتم إخراج السلسلة.

حاليًا، يتحقق هذا من دعم أمر PolicAuthorizeNV TPM2، بالإضافة إلى دعم خوارزمية التجزئة SHA-256.

أُضيف في الإصدار 258.

lock-firmware-code، unlock-firmware-code

يُولد/يزيل ملفات .pcrlock بناءً على سجل أحداث TPM2 للإقلاع الحالي الذي يغطي جميع السجلات لـ PCRs 0 ("platform-code") و 2 ("external-code").

تسمح هذه العملية بقفل عملية الإقلاع على الإصدار الحالي من البرامج الثابتة للنظام وبطاقات التوسعة الخاصة به. يجب استخدام هذه العملية فقط إذا كان بائع النظام لا يوفر بيانات pcrlock مناسبة مسبقًا.

لاحظ أن هذه البيانات تطابق فقط الإصدار الحالي من البرامج الثابتة. إذا تم تطبيق تحديث للبرامج الثابتة، فستصبح هذه البيانات قديمة ولن تمر أي سياسة وصول مولدة منها بعد الآن. لذلك يُوصى باستدعاء unlock-firmware-code قبل إجراء تحديث للبرامج الثابتة، متبوعًا بـ make-policy لتحديث السياسة.

يتم استدعاء systemd-pcrlock lock-firmware-code آليًا عند الإقلاع عبر وحدة systemd-pcrlock-firmware-code.service، إذا كانت مفعلة. يضمن هذا أن سياسة الوصول المُدارة بواسطة systemd-pcrlock تُقفل آليًا على إصدار البرامج الثابتة الجديد كلما تم تخفيف السياسة مؤقتًا، لتغطية تحديثات البرامج الثابتة، كما هو موصوف أعلاه.

يتم إنشاء الملفات من سجل الأحداث فقط إذا كان سجل الأحداث يطابق حالة TPM2 PCR الحالية.

يكتب/يزيل هذا الملفات /var/lib/pcrlock.d/250-firmware-code-early.pcrlock.d/generated.pcrlock و /var/lib/pcrlock.d/550-firmware-code-late.pcrlock.d/generated.pcrlock.

أُضيف في الإصدار 255.

lock-firmware-config، unlock-firmware-config

هذا مشابه لـ lock-firmware-code/unlock-firmware-code ولكنه يقفل تكوين البرامج الثابتة، أي PCRs 1 ("platform-config") و 3 ("external-config").

يجب استخدام هذه الوظيفة بحذر لأنه في معظم السيناريوهات، لا ينبغي لتغيير بسيط في تكوين البرامج الثابتة أن يبطل سياسات الوصول إلى كائنات TPM2. لاحظ أيضًا أن بعض الأنظمة تقيس معلومات غير مستقرة وغير متوقعة (مثل الفولتية الحالية لوحدة المعالجة المركزية ودرجات الحرارة، كجزء من بيانات SMBIOS) إلى هذه PCRs، مما يعني أن هذا الشكل من القفل لا يمكن استخدامه بشكل موثوق على هذه الأنظمة. استخدم هذه الوظيفة فقط إذا كان النظام والعتاد معروفين جيدًا ولا يعانيان من هذه القيود، على سبيل المثال في البيئات الافتراضية.

استخدم unlock-firmware-config قبل إجراء تغييرات على تكوين البرامج الثابتة. إذا كانت وحدة systemd-pcrlock-firmware-config.service مفعلة، فستقوم آليًا بإنشاء ملف pcrlock من القياسات الجديدة.

يكتب/يزيل هذا الملفات /var/lib/pcrlock.d/250-firmware-config-early.pcrlock.d/generated.pcrlock و /var/lib/pcrlock.d/550-firmware-config-late.pcrlock.d/generated.pcrlock.

أُضيف في الإصدار 255.

lock-secureboot-policy، unlock-secureboot-policy

يُولد/يزيل ملف .pcrlock بناءً على سياسة SecureBoot المفروضة حاليًا. ينظر هذا إلى متغيرات EFI الخاصة بـ SecureBoot و PK و KEK و db و dbx و dbt و dbr ويتنبأ بقياساتها إلى PCR 7 ("secure-boot-policy") عند الإقلاع التالي.

استخدم unlock-firmware-config قبل تطبيق تحديثات سياسة SecureBoot. إذا كانت وحدة systemd-pcrlock-secureboot-policy.service مفعلة، فستقوم آليًا بإنشاء ملف pcrlock من السياسة المكتشفة.

يكتب/يزيل هذا الملف /var/lib/pcrlock.d/230-secureboot-policy.pcrlock.d/generated.pcrlock.

أُضيف في الإصدار 255.

lock-secureboot-authority، unlock-secureboot-authority

يُولد/يزيل ملف .pcrlock بناءً على سلطات SecureBoot المستخدمة للتحقق من صحة مسار الإقلاع. سلطات SecureBoot هي إدخالات قاعدة بيانات SecureBoot المحددة التي استُخدمت للتحقق من صحة ثنائيات UEFI PE المنفذة عند الإقلاع. ينظر هذا إلى سجل أحداث الإقلاع الحالي، ويستخدم القياسات ذات الصلة على PCR 7 ("secure-boot-policy").

يكتب/يزيل هذا الملف /var/lib/pcrlock.d/620-secureboot-authority.pcrlock.d/generated.pcrlock.

أُضيف في الإصدار 255.

lock-gpt [DEVICE], unlock-gpt

يولد/يزيل ملف .pcrlock استنادًا إلى جدول أقسام GPT للقرص المحدد. إذا لم يُحدد قرص، يُحدد آليًا جهاز الكتلة الداعم لنظام الملفات الجذر. يقفل هذا حالة تقسيم القرص للوسيط المُقلع، الذي يقيسه البرنامج الثابت إلى PCR 5 ("boot-loader-config").

يكتب/يزيل هذا الملف /var/lib/pcrlock.d/600-gpt.pcrlock.d/generated.pcrlock.

أُضيف في الإصدار 255.

lock-pe [BINARY], unlock-pe

يولد/يزيل ملف .pcrlock استنادًا إلى الثنائي PE المحدد. هذا مفيد للتنبؤ بالقياسات التي يأخذها البرنامج الثابت إلى PCR 4 ("boot-loader-code") إذا كان الثنائي المحدد جزءًا من عملية إقلاع UEFI. استخدم هذا على ثنائيات محمل الإقلاع وما شابه. استخدم lock-uki (انظر أدناه) للثنائيات PE التي هي صور نواة موحدة (UKIs).

يتوقع مسارًا إلى الثنائي PE كوسيطة. إذا لم يُحدد، يقرأ الثنائي من STDIN بدلاً من ذلك.

يجب تحديد ملف pcrlock المراد كتابته عبر المفتاح --pcrlock=.

أُضيف في الإصدار 255.

lock-uki [UKI], unlock-uki

يولد/يزيل ملف .pcrlock استنادًا إلى الثنائي PE لـ UKI المحدد. هذا مفيد للتنبؤ بالقياسات التي يأخذها البرنامج الثابت إلى PCR 4 ("boot-loader-code")، و systemd-stub(7) إلى PCR 11 ("kernel-boot")، إذا أُقلع UKI المحدد. هذه مجموعة شاملة من lock-pe.

يتوقع مسارًا إلى الثنائي PE لـ UKI كوسيطة. إذا لم يُحدد، يقرأ الثنائي من STDIN بدلاً من ذلك.

يجب تحديد ملف pcrlock المراد كتابته عبر المفتاح --pcrlock=.

أُضيف في الإصدار 255.

lock-machine-id, unlock-machine-id

يولد/يزيل ملف .pcrlock استنادًا إلى /etc/machine-id. هذا مفيد للتنبؤ بالقياسات التي يأخذها systemd-pcrmachine.service(8) إلى PCR 15 ("system-identity").

يكتب/يزيل هذا الملف /var/lib/pcrlock.d/820-machine-id.pcrlock.

أُضيف في الإصدار 255.

lock-file-system [PATH], unlock-file-system [PATH]

يولد/يزيل ملف .pcrlock استنادًا إلى هوية نظام الملفات. هذا مفيد للتنبؤ بالقياسات التي يأخذها systemd-pcrfs@.service(8) إلى PCR 15 ("system-identity") لأنظمة الملفات الجذر و /var/.

يكتب/يزيل هذا الملفات /var/lib/pcrlock.d/830-root-file-system.pcrlock و /var/lib/pcrlock.d/840-file-system-path.pcrlock.

أُضيف في الإصدار 255.

lock-kernel-cmdline [FILE], unlock-kernel-cmdline

يولد/يزيل ملف .pcrlock استنادًا إلى /proc/cmdline (أو الملف المحدد إذا أُعطي). هذا مفيد للتنبؤ بالقياسات التي يأخذها نواة لينكس إلى PCR 9 ("kernel-initrd").

يكتب/يزيل هذا الملف /var/lib/pcrlock.d/710-kernel-cmdline.pcrlock/generated.pcrlock.

أُضيف في الإصدار 255.

lock-kernel-initrd FILE, unlock-kernel-initrd

يولد/يزيل ملف .pcrlock استنادًا إلى أرشيف cpio لـ initrd النواة. هذا مفيد للتنبؤ بالقياسات التي يأخذها نواة لينكس إلى PCR 9 ("kernel-initrd"). لا تستخدم لـ systemd-stub(7) UKIs، لأن initrd يُدمج ديناميكيًا من مصادر متعددة وبالتالي لا يأخذ مدخلاً واحدًا، مثل هذا الأمر.

يكتب/يزيل هذا الملف /var/lib/pcrlock.d/720-kernel-initrd.pcrlock/generated.pcrlock.

أُضيف في الإصدار 255.

lock-raw [FILE], unlock-raw

يولد/يزيل ملف .pcrlock استنادًا إلى بيانات ثنائية خام. تُقرأ البيانات إما من الملف المحدد أو من STDIN (إذا لم يُحدد أي ملف). يتطلب هذا تحديد --pcrs=. يُكتب ملف .pcrlock المُولد إلى الملف المحدد عبر --pcrlock= أو إلى STDOUT (إذا لم يُحدد أي ملف).

أُضيف في الإصدار 255.

الخيارات

الخيارات التالية مفهومة:

--raw-description

عند عرض سجل أحداث TPM2، لا تحاول فك تشفير السجلات لتوفير سلسلة وصف سهلة لسجل الأحداث. بدلاً من ذلك، اعرض بيانات الحمولة الثنائية بشكل مُفلت.

أُضيف في الإصدار 255.

--pcr=

يحدد رقم PCR المراد استخدامه. يمكن تحديده أكثر من مرة لاختيار عدة PCRs.

يُستخدم هذا بواسطة lock-raw وlock-pe لاختيار PCR المراد القفل ضده.

إذا استُخدم مع predict وmake-policy، فسيؤدي هذا إلى تجاوز أي PCRs سيتم تضمينها في التنبؤ والسياسة. إذا لم يُحدد، فالمبدئي هو PCRs 0-5, 7, 11, 13-15. لاحظ أن هذه الأوامر لن تتضمن أي PCRs في التنبؤ/السياسة (حتى لو حُددت صراحة) إذا كانت هناك قياسات في سجل الأحداث لا تتطابق مع قيمة PCR الحالية، أو كانت هناك قياسات غير معروفة في سجل الأحداث، أو عرّفت المكونات قياسات غير مرئية في سجل الأحداث.

أُضيف في الإصدار 255.

--nv-index=

يحدد فهرس NV لتخزين السياسة فيه. يُلتزم به بواسطة make-policy. إذا لم يُحدد، سيختار الأمر آليًا فهرس NV مجاني.

أُضيف في الإصدار 255.

--components=

يأخذ مسارًا لقراءة ملفات *.pcrlock و*.pcrlock.d/*.pcrlock منه. يمكن استخدامه أكثر من مرة لتحديد عدة أدلة من هذا القبيل. إذا لم يُحدد، فالمبدئي هو /etc/pcrlock.d/, /run/pcrlock.d/, /var/lib/pcrlock.d/, /usr/local/lib/pcrlock.d/, /usr/lib/pcrlock.d/.

أُضيف في الإصدار 255.

--location=

يأخذ إما سلسلة نصية أو زوجًا من السلاسل النصية مفصولاً بنقطتين. يُهيئ حتى أي نقطة في القائمة المرتبة للمكونات المحددة لتحليل/التنبؤ بـ PCRs. عادةً، يُستدعى أداة systemd-pcrlock من نظام تم إقلاعه بالكامل بعد الإقلاع وقبل الإيقاف. هذا يعني أن المكونات المختلفة المحددة للإيقاف لم تُقاس بعد، ولا ينبغي البحث عنها. يسمح هذا الخيار بتقييد المكونات التي تؤخذ في الاعتبار للتحليل (مع أخذ المكونات قبل نقطة معينة فقط في الاعتبار، وتجاهل المكونات بعدها). تُرتب السلسلة النصية المتوقعة مقابل أسماء ملفات المكونات المحددة. يتم تجاهل أي مكونات ذات اسم لاحق معجميًا. ينطبق هذا المنطق على الأفعال log وpredict وmake-policy. إذا حُدد زوج من السلاسل النصية مفصولاً بنقطتين، فإنهما يختاران مراحل الإقلاع التي سيتم تضمينها في التنبؤ/السياسة. تحدد السلسلة الأولى أين سيُجرى التنبؤ الأول، وتحدد السلسلة الثانية أين سيُجرى التنبؤ الأخير. ثم تُدمج كل هذه التنبؤات في مجموعة واحدة.

إذا استُخدم مع list-components، فسيتم تمييز نطاق الموقع المحدد في قائمة المكونات.

المبدئي هو "760-:940-"، مما يعني أن السياسات المُنشأة مبدئيًا ستغطي بشكل أساسي وقت تشغيل مساحة مستخدم نظام التشغيل بالكامل، من initrd (حيث أن "760-" يتبع عن كثب 750-enter-initrd.pcrlock) حتى (ويشمل) وقت التشغيل الرئيسي للنظام (حيث أن "940-" يتبعه عن كثب 950-shutdown.pcrlock). انظر systemd.pcrlock(5) للحصول على قائمة كاملة بالمكونات المعروفة، والتي توضح أين يُوضع هذا النطاق مبدئيًا.

أُضيف في الإصدار 255.

--recovery-pin=

يأخذ واحدًا من "hide" أو "show" أو "query". المبدئي هو "hide". يُلتزم به بواسطة make-policy. إذا كان "query"، فسيستعلم المستخدم عن PIN لفتح فهرس NV الخاص بـ TPM2. إذا لم تُنشأ سياسة من قبل، يُستخدم PIN هذا لحماية فهرس NV المُخصص حديثًا. إذا أُنشئت سياسة من قبل، يُستخدم PIN لفتح وصول الكتابة إلى فهرس NV. إذا استُخدم إما "hide" أو "show"، فسيتم إنشاء PIN آليًا، و— فقط في حالة "show" — يُعرض على الشاشة. بغض النظر عما إذا كان المستخدم قد قدمه أو أُنشئ آليًا، يُخزن بشكل مشفر في ملف بيانات تعريف السياسة. قد يُستخدم PIN الاسترداد لاستعادة وصول الكتابة إلى فهرس NV في حال أصبحت سياسة الوصول قديمة.

أُضيف في الإصدار 255.

--pcrlock=

يأخذ مسار نظام ملفات كوسيطة. إذا حُدد، يُهيئ أين يُكتب بيانات pcrlock المُنشأة. يُلتزم به بواسطة أوامر lock-* المختلفة. إذا لم يُحدد، يُستخدم مسار مبدئي بشكل عام، كما هو موثق أعلاه.

أُضيف في الإصدار 255.

--policy=

يأخذ مسار نظام ملفات كوسيطة. إذا حُدد، يُهيئ أين تُكتب بيانات تعريف سياسة pcrlock. إذا لم يُحدد، فالمبدئي هو /var/lib/systemd/pcrlock.json.

أُضيف في الإصدار 255.

--force

إذا حُدد مع make-policy، فستُكتب السياسة المتوقعة إلى فهرس NV حتى لو اكتُشف أنها نفس السياسة المخزنة سابقًا.

أُضيف في الإصدار 255.

--entry-token=

يضبط رمز إدخال الإقلاع لاستخدامه لاسم ملف اعتماد سياسة pcrlock في قسم نظام EFI أو قسم XBOOTLDR. انظر خيار bootctl(1) نفسه بخصوص القيم المتوقعة. هذا المفتاح له تأثير على أمر make-policy فقط.

أُضيف في الإصدار 256.

--quiet

إذا حُدد، يُثبط الإخراج عند استدعائه لـ is-supported.

أُضيف في الإصدار 258.

--json=وضع

يظهر المخرجات منسقة بصيغة JSON. يتوقع أحد الخيارات: "short" (لأقصر مخرج ممكن دون أي مسافات زائدة أو فواصل أسطر)، أو "pretty" (لنسخة جميلة من المخرج نفسه، مع إزاحة وفواصل أسطر) أو "off" (لإيقاف مخرجات JSON، وهو الخيار المبدئي).

--no-pager

لا تمرر المخرجات إلى برنامج عرض (pager).

-h، --help

اطبع نص مساعدة قصير واخرج.

--version

اطبع سلسلة إصدار قصيرة واخرج.

حالة الخروج

عند النجاح، يُعاد الرقم 0، وإلا فيُعاد رمز فشل غير صفري.

انظر أيضًا

systemd(1), systemd.pcrlock(5), systemd-cryptenroll(1), systemd-cryptsetup@.service(8), systemd-repart(8), systemd-pcrmachine.service(8), systemd-creds(1), systemd-stub(7), bootctl(1)

ملاحظات

1.
تنسيق سجل أحداث TCG القانوني (CEL-JSON)

ترجمة

تُرجمت هذه الصفحة من الدليل بواسطة زايد السعيدي <zayed.alsaidi@gmail.com>

هذه الترجمة هي وثيقة مجانية؛ راجع رخصة جنو العامة الإصدار 3 أو ما بعده للاطلاع على شروط حقوق النشر. لا توجد أي ضمانات.

إذا وجدت أي أخطاء في ترجمة صفحة الدليل هذه، يرجى إرسال بريد إلكتروني إلى قائمة بريد المترجمين: kde-l10n-ar@kde.org.

systemd 261~rc3