- unstable 4.31.0-1
| SYSTEMD-PCRPHASE.SERVICE(8) | systemd-pcrphase.service | SYSTEMD-PCRPHASE.SERVICE(8) |
الاسم¶
systemd-pcrphase.service، systemd-pcrphase-sysinit.service، systemd-pcrphase-initrd.service، systemd-pcrmachine.service، systemd-pcrosseparator.service، systemd-pcrproduct.service، systemd-pcrlogin@.service، systemd-pcrfs-root.service، systemd-pcrfs@.service، systemd-pcrnvdone.service، systemd-pcrextend - قياس مراحل الإقلاع، معرف الآلة، UUID المنتج، سجلات المستخدمين وهوية نظام الملفات في PCRs و NvPCRs الخاصة بـ TPM
موجز¶
systemd-pcrphase.service
systemd-pcrphase-sysinit.service
systemd-pcrphase-initrd.service
systemd-pcrmachine.service
systemd-pcrosseparator.service
systemd-pcrproduct.service
systemd-pcrlogin@.service
systemd-pcrfs-root.service
systemd-pcrfs@.service
systemd-pcrnvdone.service
/usr/lib/systemd/systemd-pcrextend [STRING]
الوصف¶
خدمات systemd-pcrphase.service و systemd-pcrphase-sysinit.service و systemd-pcrphase-initrd.service هي خدمات نظام تقوم بقياس سلاسل نصية محددة في PCR 11 الخاص بـ TPM2 أثناء الإقلاع في مراحل مختلفة من عملية الإقلاع.
خدمة systemd-pcrmachine.service هي خدمة نظام تقوم بقياس معرف الجهاز (انظر machine-id(5)) في PCR 15.
systemd-pcrosseparator.service هي خدمة نظام تقيس كلمة "os-separator" في PCRs 0-7، 9، 12-14. يعمل هذا كقياس فاصل إضافي يفصل قياسات ما قبل الإقلاع (أي البرامج الثابتة + محمل الإقلاع) عن قياسات نظام التشغيل، ويُغلق بشكل خاص PCRs البرامج الثابتة.
خدمة systemd-pcrproduct.service هي خدمة نظام تقوم بقياس معرّف المنتج الفريد (UUID) للبرامج الثابتة (كما هو مقدم من أحد SMBIOS أو Devicetree أو ...) في NvPCR يُسمى "hardware".
systemd-pcrlogin@.service هي خدمة قالب تقيس سجل المستخدم (المختزل، JSON القانوني) للمستخدم المشار إليه بواسطة معرف مثيله (UID) في NvPCR يُسمى "login". تُبدأ بواسطة systemd-logind.service(8) عند أول تسجيل دخول للمستخدم في الإقلاع الحالي، مثل user-runtime-dir@.service(5). على عكس الأخيرة، لا تُوقف عن قصد مرة أخرى: إنها خدمة Type=oneshot مع RemainAfterExit=yes في system.slice، لذلك يُقاس كل مستخدم مرة واحدة بالضبط لكل إقلاع بغض النظر عن عدد مرات تسجيل الدخول والخروج (تشكل امتدادات NvPCR سلسلة تجزئة، لذا فإن قياس نفس السجل مرتين سيجعل قيمة NvPCR غير متوقعة). وبالتالي، يوفر NvPCR "login" الناتج (مع سجل الأحداث /run/log/systemd/tpm2-measure.log) سجلًا مدعومًا بـ TPM وقابلًا للإضافة فقط لهويات المستخدمين التي نُشطت أثناء الإقلاع الحالي.
خدمة systemd-pcrnvdone.service هي خدمة نظام تقوم بقياس حدث فاصل في PCR 9 بمجرد اكتمال تهيئة جميع NvPCRs.
خدمات systemd-pcrfs-root.service و systemd-pcrfs@.service هي خدمات تقوم بقياس معلومات هوية نظام الملفات (أي نقطة التثبيت، ونوع نظام الملفات، والتسمية والمعرّف الفريد (UUID)، وتسمية القسم والمعرّف الفريد) في PCR 15. تقوم systemd-pcrfs-root.service بذلك لنظام الملفات الجذر، بينما systemd-pcrfs@.service هي وحدة قالب تقوم بقياس نظام الملفات المشار إليه بواسطة معرف المثيل الخاص بها بدلاً من ذلك.
تتطلب هذه الخدمات استخدام systemd-stub(7) في صورة نواة موحدة (UKI). لا تنفذ أي عملية عندما لا يُستخدم الكعب لاستدعاء النواة. سيقوم الكعب بقياس النواة المستدعاة والموارد المرتبطة بالبائع في PCR 11 قبل تسليم التحكم إليها؛ بمجرد استدعاء مساحة المستخدم، ستقوم هذه الخدمات بعد ذلك بتمديد PCR 11 الخاص بـ TPM2 بسلاسل نصية حرفية تشير إلى مراحل عملية الإقلاع. أثناء عملية إقلاع عادية، يتم تمديد PCR 11 بالسلاسل التالية:
خلال دورة حياة نظام عادية، يتم تمديد PCR 11 بالسلاسل "enter-initrd" و "leave-initrd" و "sysinit" و "ready" و "shutdown" و "final".
يمكن الإشارة إلى مراحل محددة من عملية الإقلاع عبر سلسلة السلاسل المقاسة، مفصولة بنقطتين رأسيتين ("مسار المرحلة"). على سبيل المثال، مسار المرحلة لوقت تشغيل النظام العادي هو "enter-initrd:leave-initrd:sysinit:ready"، بينما مسار initrd هو فقط "enter-initrd". مسار المرحلة لمرحلة الإقلاع قبل initrd هو سلسلة فارغة؛ ولأنه من الصعب تمرير ذلك، يمكن استخدام نقطتين رأسيتين (":") بدلاً من ذلك. لاحظ أن السلاسل الست المذكورة أعلاه هي مجرد سلاسل افتراضية وقد تقيس الأنظمة الفردية سلاسل أخرى في أوقات أخرى، وبالتالي تنفذ مراحل إقلاع مختلفة وأكثر تفصيلاً لربط السياسة بها.
من خلال ربط سياسة كائنات TPM2 بمسار مرحلة محدد، يمكن تقييد الوصول إليها لمراحل محددة من عملية الإقلاع، على سبيل المثال جعل الوصول إلى مفتاح تشفير نظام الملفات الجذر مستحيلاً بعد انتقال النظام من initrd إلى نظام الملفات الجذر المضيف.
استخدم systemd-measure(1) لحساب قيم PCR 11 المتوقعة مسبقًا لمراحل إقلاع محددة (عبر المفتاح --phase=).
يتم سحب systemd-pcrfs-root.service و systemd-pcrfs@.service آليًا إلى المعاملة الأولية بواسطة systemd-gpt-auto-generator(8) لأنظمة الملفات الجذر و /var/. سيقوم systemd-fstab-generator(8) بذلك لجميع نقاط التثبيت مع خيار التثبيت x-systemd.pcrfs في /etc/fstab.
الخيارات¶
يمكن أيضًا استدعاء الملف التنفيذي /usr/lib/systemd/systemd-pcrextend من سطر الأوامر، حيث يتوقع الكلمة المراد تمديدها في PCR أو NvPCR، بالإضافة إلى المفاتيح التالية:
--bank=
أُضيف في الإصدار 252.
--pcr=
أُضيف في الإصدار 255.
--nvpcr=
أُضيف في الإصدار 259.
--tpm2-device=مسار
أُضيف في الإصدار 252.
--graceful
أُضيف في الإصدار 253.
--early
أُضيف في الإصدار 259.
--machine-id
أُضيف في الإصدار 253.
--product-id
أُضيف في الإصدار 259.
--login=
أُضيف في الإصدار 261.
--file-system=
أُضيف في الإصدار 253.
--event-type=
أُضيف في الإصدار 259.
-h، --help
--version
الملفات¶
/run/log/systemd/tpm2-measure.log
يُكتسب قفل ملف BSD LOCK_EX (flock(2)) على ملف السجل أثناء إجراء القياس وتحديث الملف. وبالتالي، يجب على التطبيقات التي تنوي الحصول على اقتباس متسق من TPM مع لقطة سجل الأحداث المرتبطة أن تكتسب قفل LOCK_SH أثناء القيام بذلك.
أُضيف في الإصدار 252.
/usr/lib/nvpcr/*.nvpcr
أُضيف في الإصدار 259.
انظر أيضًا¶
systemd(1)، systemd-stub(7)، systemd-measure(1)، systemd-gpt-auto-generator(8)، systemd-fstab-generator(8)، قياسات PCR لـ TPM2 التي يقوم بها systemd[3]
ملاحظات¶
- 1.
- JSON-SEQ
- 2.
- تنسيق سجل أحداث TCG القانوني (CEL-JSON)
- 3.
- قياسات TPM2 PCR التي أجراها systemd
ترجمة¶
تُرجمت هذه الصفحة من الدليل بواسطة زايد السعيدي <zayed.alsaidi@gmail.com>
هذه الترجمة هي وثيقة مجانية؛ راجع رخصة جنو العامة الإصدار 3 أو ما بعده للاطلاع على شروط حقوق النشر. لا توجد أي ضمانات.
إذا وجدت أي أخطاء في ترجمة صفحة الدليل هذه، يرجى إرسال بريد إلكتروني إلى قائمة بريد المترجمين: kde-l10n-ar@kde.org.
| systemd 261~rc3 |