Scroll to navigation

VERITYTAB(5) veritytab VERITYTAB(5)

الاسم

veritytab - تهيئة أجهزة الكتل المحمية بـ verity

موجز

/etc/veritytab

الوصف

يصف ملف /etc/veritytab أجهزة الكتل المحمية بـ verity التي تُنشأ أثناء إقلاع النظام.

تُتجاهل الأسطر الفارغة والأسطر التي تبدأ بالحرف "#". يصف كل سطر من الأسطر المتبقية جهاز كتلة واحد محمي بـ verity. تُفصل الحقول بمسافات بيضاء.

كل سطر يأتي في الشكل

volume-name data-device hash-device roothash [options]

الحقول الأربعة الأولى إلزامية، والحقل المتبقي اختياري.

يحتوي الحقل الأول على اسم حجم verity الناتج؛ يُنشأ جهاز الكتل الخاص به تحت /dev/mapper/.

يحتوي الحقل الثاني على مسار إلى جهاز بيانات الكتل الأساسي، أو مواصفات جهاز كتل عبر UUID= متبوعًا بـ UUID.

يحتوي الحقل الثالث على مسار إلى جهاز تجزئة الكتل الأساسي، أو مواصفات جهاز كتل عبر UUID= متبوعًا بـ UUID.

الحقل الرابع هو تجزئة-الجذر بصيغة سداسية عشرية. إذا حُدد هذا الحقل كشرطة، تُحاول قراءة تجزئة الجذر من خاصية udev "ID_DISSECT_PART_ROOTHASH=" (مشفرة بصيغة سداسية عشرية) لجهاز البيانات.

الحقل الخامس، إن وُجد، هو قائمة خيارات مفصولة بفواصل. تُعرف الخيارات التالية:

superblock=BOOL

استخدم dm-verity مع أو بدون كتلة فائقة دائمة على القرص.

أُضيف في الإصدار 254.

format=رقم

يحدد نوع إصدار التجزئة. نوع التنسيق "0" هو إصدار Chrome OS الأصلي. نوع التنسيق "1" هو الإصدار الحديث.

أُضيف في الإصدار 254.

data-block-size=بايت

حجم الكتلة المستخدم لجهاز البيانات. (لاحظ أن النواة تدعم فقط حجم الصفحة كحد أقصى هنا؛ مضاعفات 512 بايت.)

أُضيف في الإصدار 254.

hash-block-size=بايت

حجم الكتلة المستخدم لجهاز التجزئة. (لاحظ أن النواة تدعم فقط حجم الصفحة كحد أقصى هنا؛ مضاعفات 512 بايت.)

أُضيف في الإصدار 254.

data-blocks=كتل

عدد الكتل من جهاز البيانات المستخدمة في التحقق. إذا لم يُحدد، يُستخدم الجهاز بأكمله.

أُضيف في الإصدار 254.

hash-offset=بايت

إزاحة منطقة التجزئة/الكتلة الفائقة على "جهاز التجزئة". (مضاعفات 512 بايت.)

أُضيف في الإصدار 254.

salt=سداسي عشري

الملح المستخدم للتنسيق أو التحقق. التنسيق هو سلسلة سداسية عشرية؛ طول أقصى 256 بايت؛ "-" هي القيمة الخاصة للفارغ.

أُضيف في الإصدار 254.

uuid=UUID

استخدم UUID المقدم بدلاً من توليد واحد جديد. يجب تقديم UUID بتنسيق UUID القياسي، مثلاً "12345678-1234-1234-1234-123456789abc".

أُضيف في الإصدار 254.

ignore-corruption، restart-on-corruption، panic-on-corruption

يُحدد ما يجب فعله إذا اكتُشفت مشكلة تحقق من البيانات (فساد البيانات). بدون هذه الخيارات، يُفشل النواة عملية الإدخال/الإخراج مع خطأ I/O. مع خيار --ignore-corruption، يُسجل الفساد فقط. مع --restart-on-corruption أو --panic-on-corruption، يُعاد تشغيل النواة (ذعر) فوراً. (يجب توفير طريقة لتجنب حلقات إعادة التشغيل.)

أُضيف في الإصدار 248.

ignore-zero-blocks

يُوجه النواة لعدم التحقق من الكتل المتوقع أن تحتوي على أصفار وإرجاع أصفار مباشرة بدلاً من ذلك.


تحذير
استخدم هذا الخيار فقط في حالات محددة جداً. هذا الخيار متاح منذ إصدار نواة لينكس 4.5.

أُضيف في الإصدار 248.

check-at-most-once

يُوجه النواة للتحقق من الكتل فقط في المرة الأولى التي تُقرأ فيها من جهاز البيانات، وليس في كل مرة.


تحذير
يوفر مستوى أمان مخفضاً لأنه يُكتشف فقط العبث غير المتصل بمحتوى جهاز البيانات، وليس العبث المتصل. هذا الخيار متاح منذ إصدار نواة لينكس 4.17.

أُضيف في الإصدار 248.

hash=تجزئة

خوارزمية التجزئة لـ dm-verity. يجب أن يكون اسم الخوارزمية، مثل "sha1". للمبدئي، انظر veritysetup --help.

أُضيف في الإصدار 254.

fec-device=مسار

استخدم تصحيح الأخطاء الأمامي (FEC) للاسترداد من الفساد إذا فشل التحقق من التجزئة. استخدم بيانات الترميز من الجهاز المحدد. وسيطة جهاز fec يمكن أن تكون جهاز كتلة أو صورة ملف. إذا لم يكن مسار جهاز fec موجوداً، سيُنشأ كملف. ملاحظة: يجب أن تتطابق أحجام الكتل لأجهزة البيانات والتجزئة. أيضًا، إذا كان جهاز بيانات verity معمىً، يجب أن يكون جهاز fec معمىً أيضًا.

أُضيف في الإصدار 254.

fec-offset=بايت

هذه هي الإزاحة، بالبايت، من بداية جهاز FEC إلى بداية بيانات الترميز. (محاذاة على 512 بايت.)

أُضيف في الإصدار 254.

fec-roots=عدد

عدد جذور المولد. هذا يساوي عدد بايتات التكافؤ في بيانات الترميز. في ترميز RS(M, N)، عدد الجذور هو M-N. M هو 255 و M-N يتراوح بين 2 و 24 (شاملاً).

أُضيف في الإصدار 254.

root-hash-signature=PATH|base64:BASE64|auto

سلسلة Base64 ترميز توقيع تجزئة الجذر مسبوقة بـ "base64:"، أو مسار مطلق لملف توقيع تجزئة الجذر المستخدم للتحقق من تجزئة الجذر (في النواة). إذا تم تحديد السلسلة الخاصة "auto"، يُحاول قراءة توقيع تجزئة الجذر من خاصية udev "ID_DISSECT_PART_ROOTHASH_SIG=" (بتنسيق Base64) لجهاز البيانات. تتطلب هذه الميزة إصدار نواة لينكس 5.4 أو أحدث.

أُضيف في الإصدار 248.

_netdev

يُعلّم جهاز veritysetup هذا بأنه يتطلب الشبكة. يُبدأ بعد توفر الشبكة، بشكل مشابه لوحدات systemd.mount(5) الموسومة بـ _netdev. وحدة الخدمة لإعداد هذا الجهاز تُرتّب بين remote-fs-pre.target و remote-veritysetup.target، بدلاً من veritysetup-pre.target و veritysetup.target.

تلميح: إذا كان هذا الجهاز يُستخدم لنقطة وصل محددة في fstab(5)، فيجب أيضًا استخدام الخيار _netdev لنقطة الوصل. وإلا، فقد يتم إنشاء حلقة تبعية حيث يتم سحب نقطة الوصل بواسطة local-fs.target، بينما تبدأ الخدمة المخصصة لتهيئة الشبكة عادةً فقط بعد وصل نظام الملفات المحلي.

أُضيف في الإصدار 248.

noauto

لن يُضاف هذا الجهاز إلى veritysetup.target. هذا يعني أنه لن يُفعّل آلياً عند الإقلاع، إلا إذا جذبه شيء آخر. بشكل خاص، إذا استُخدم الجهاز لنقطة وصل، فسيُفعّل آلياً أثناء الإقلاع، إلا إذا عُطّلت نقطة الوصل نفسها أيضًا بـ noauto.

أُضيف في الإصدار 248.

nofail

لن يكون هذا الجهاز تبعية صلبة لـ veritysetup.target. سيظل يُجذب ويُبدأ، لكن النظام لن ينتظر ظهور الجهاز وتفعيله، ولن يفشل الإقلاع إذا لم ينجح ذلك. لاحظ أن الوحدات الأخرى التي تعتمد على الجهاز المُفعّل قد تفشل. بشكل خاص، إذا استُخدم الجهاز لنقطة وصل، فيجب أن تحتوي نقطة الوصل نفسها أيضًا على خيار nofail، وإلا سيفشل الإقلاع إذا لم يُفعّل الجهاز بنجاح.

أُضيف في الإصدار 248.

x-initrd.attach

أعدّ جهاز الكتل المحمي بـ verity هذا في initrd، بشكل مشابه لوحدات systemd.mount(5) الموسومة بـ x-initrd.mount.

على الرغم من أنه ليس من الضروري وسم إدخال الوصل لنظام الملفات الجذر بـ x-initrd.mount، إلا أن x-initrd.attach لا يزال موصى به مع جهاز الكتل المحمي بـ verity الذي يحتوي على نظام الملفات الجذر، وإلا سيحاول systemd فصل الجهاز أثناء إيقاف التشغيل العادي للنظام بينما لا يزال قيد الاستخدام. مع هذا الخيار، سيظل الجهاز يُفصل لكن لاحقًا بعد فك وصل نظام الملفات الجذر.

جميع أجهزة الكتل المحمية بـ verity الأخرى التي تحتوي على أنظمة ملفات موصولة في initrd يجب أن تستخدم هذا الخيار.

أُضيف في الإصدار 248.

tpm2-measure-nvpcr=

يأخذ وسيطة منطقية، أو اسم NvPCR كوسيطة. قد يُستخدم لتمكين القياس الآلي لاسم الحجم وتجزئة جذر Verity، بالإضافة إلى الأرقام التسلسلية ومصدري الشهادات المستخدمة لتوليد التوقيعات المقدمة (إن وجدت) سيتم قياسها. تمرير false يُعطل الآلية. تمرير true يُفعّل القياس في NvPCR "verity". إذا تم تحديد أي سلسلة أخرى، فهذا يختار NvPCR للقياس فيه بالاسم.

أُضيف في الإصدار 260.

في الإقلاع المبكر وعند إعادة تحميل تهيئة مدير النظام، يُترجم هذا الملف إلى وحدات systemd أصلية بواسطة systemd-veritysetup-generator(8).

أمثلة

مثال 1. /etc/veritytab مثال

أعدّ جهازي كتل محميين بـ verity. واحد باستخدام كتل الجهاز، وآخر باستخدام الملفات.

usr  PARTUUID=783e45ae-7aa3-484a-beef-a80ff9c19cbb PARTUUID=21dc1dfe-4c33-8b48-98a9-918a22eb3e37 36e3f740ad502e2c25e2a23d9c7c17bf0fdad2300b7580842d4b7ec1fb0fa263 auto
data /etc/data /etc/hash a5ee4b42f70ae1f46a08a7c92c2e0a20672ad2f514792730f5d49d7606ab8fdf auto

انظر أيضًا

systemd(1), systemd-veritysetup@.service(8), systemd-veritysetup-generator(8), fstab(5), veritysetup(8)

ترجمة

تُرجمت هذه الصفحة من الدليل بواسطة زايد السعيدي <zayed.alsaidi@gmail.com>

هذه الترجمة هي وثيقة مجانية؛ راجع رخصة جنو العامة الإصدار 3 أو ما بعده للاطلاع على شروط حقوق النشر. لا توجد أي ضمانات.

إذا وجدت أي أخطاء في ترجمة صفحة الدليل هذه، يرجى إرسال بريد إلكتروني إلى قائمة بريد المترجمين: kde-l10n-ar@kde.org.

systemd 261~rc3