Scroll to navigation

INTEGRITYTAB(5) integritytab INTEGRITYTAB(5)

BEZEICHNUNG

integritytab - Konfiguration für Integritäts-Blockgeräte

ÜBERSICHT

/etc/integritytab

BESCHREIBUNG

Die Datei /etc/integritytab beschreibt integritätsgeschützte Blockgeräte, die während des Systemstarts eingerichtet werden.

Leere Zeilen und Zeilen, die mit dem Zeichen »#« beginnen, werden ignoriert. Jede der verbleibenden Zeilen beschreibt ein Verity-integritätsgeschütztes Blockgerät. Felder werden durch Leeraum getrennt.

Jede Zeile hat die Form

Datenträgername Blockgerät


    [Schlüsseldatei|-] [Optionen|-]

Die ersten zwei Felder sind verpflichtend, die verbleibenden zwei optional und werden nur benötigt, falls der Benutzer nicht standardmäßige Optionen während der Integritätsformatierung angegeben hat.

Das erste Feld enthält den Namen des entstandenen Integritätsdatenträgers; sein Blockgerät wird unter /dev/mapper/ eingerichtet.

Das zweite Feld enthält einen Pfad zu dem zugrundeliegenden Blockgerät oder eine Festlegung eines Blockgeräts mittels »UUID=« gefolgt von der UUID, »PARTUUID=« gefolgt von einer Partitions-UUID, »LABEL=« gefolgt von einer Partitionsbezeichnung.

Das dritte Feld, falls vorhanden, enthält einen absoluten Dateinamenpfad zu einer Schlüsseldatei oder ein »-«, um keine festzulegen. Wenn der Dateiname vorhanden ist, dann ist die Vorgabe des »Integritätsalgorithmus« »hmac-sha256«, wobei die Schlüssellänge von der Anzahl der Byte in der Schlüsseldatei abgeleitet wird. Derzeit ist der einzige unterstützte Integritätsalgorithmus beim Einsatz einer Schlüsseldatei hmac-sha256. Die maximale Größe der Schlüsseldatei ist 4096 byte.

Das vierte Feld, falls vorhanden, ist eine Kommata-getrennte Liste von Optionen oder ein »-«, um keine festzulegen. Die folgenden Optionen werden erkannt:

allow-discards

Erlaubt die Verwendung von »discard«- (TRIM-)Aufforderungen für das Gerät. Diese Option ist seit Linux-Kernelversion 5.7 verfügbar.

Hinzugefügt in Version 250.

mode=(journal|bitmap|direct)

Aktiviert den journaled-, bitmapped- oder direkten (Durchreiche-)Modus. Die Vorgabe ist der Journaled-Modus, wenn diese Option nicht angegeben ist. Sie stellt Sicherheit bei Abstürzen bereit, kann aber langsam sein, da alle Daten zweimal geschrieben werden müssen. Der Bitmap-Modus ist effizienter, da er nur einen einzelnen Schreibvorgang benötigt. Allerdings ist er auch weniger zuverlässig, da Datenbeschädigungen während des Absturzes nicht erkannt werden könnte. Der direkte Modus deaktiviert das Journal und die Bitmap. Entspricht dem in der dm-integrity-Dokumentation[1] dokumentierten Modus »direct writes«. Beachten Sie, dass es möglich ist, dass die Integritätsmarkierung und die Daten nicht übereinstimmen, falls Journal nicht verwandt wird. Falls diese Optionen verwandt werden, haben die nachfolgenden Optionen journal-* keine Auswirkungen, falls sie übergeben werden.

Hinzugefügt in Version 254.

journal-watermark=[0…100]%

Journal-Füllstand in Prozent. Wenn der Journal-Prozentanteil diesen Füllstand überschreitet, wird das Rausschreiben des Journals gestartet. Durch Setzen eines Wertes »0%« wird der Vorgabewert verwandt.

Hinzugefügt in Version 250.

journal-commit-time=[0…N]

Commit-Zeit in Millisekunden. Wenn diese Zeit abläuft (und keine explizite Rausschreib-Aktion initiiert wurde), wird das Journal geschrieben. Durch Setzen eines Wertes von 0 wird der Vorgabewert verwandt.

Hinzugefügt in Version 250.

data-device=/dev/disk/by-…

Legt ein separates Blockgerät fest, das die bestehenden Daten enthält. Das zweite Feld in der integritytab für Blockgeräte wird dann berechnete Integritätsmarkierungen und das Journal für Datengeräte enthalten, aber nicht die Endbenutzerdaten.

Hinzugefügt in Version 250.

integrity-algorithm=[crc32c|crc32|xxhash64|sha1|sha256|hmac-sha256]

Der zur Integritätsüberprüfung verwandte Algorithmus. Die Vorgabe ist crc32c. Muss auf die während des Formatierens verwandte Option passen.

Hinzugefügt in Version 250.

_netdev

Markiert dieses Veritysetup-Gerät, dass es Netzwerk benötigt. Es wird gestartet, nachdem das Netzwerk verfügbar ist, ähnlich systemd.mount(5)-Units, die mit _netdev markiert sind. Die Dienste-Unit zum Einrichten des Geräts wird zwischen remote-fs-pre.target und remote-integritysetup.target anstatt zwischen integritysetup-pre.target und integritysetup.target gestartet.

Tipp: Falls dieses Gerät für einen in fstab(5) festgelegten Einhängepunkt verwandt wird, sollte die Option _netdev auch für den Einhängepunkt verwandt werden. Andernfalls könnte eine Abhängigkeitsschleife erstellt werden, bei der der Einhängepunkt durch local-fs.target hereingezogen, während der Dienst zur Konfiguration des Netzwerkes normalerweise nach dem Einhängen des lokalen Dateisystems gestartet wird.

Hinzugefügt in Version 258.

noauto

Dieses Gerät wird nicht zu integritysetup.target hinzugefügt. Dies bedeutet, dass es beim Systemstart nicht automatisch aktiviert wird, außer irgendetwas anderes zieht es herein. Insbesondere wird das Gerät automatisch für den Systemstart aktiviert, falls es als Einhängepunkt verwandt wird, außer der Einhängepunkt selbst ist mit noauto deaktiviert.

Hinzugefügt in Version 258.

nofail

Dieses Gerät wird keine harte Abhängigkeit für integritysetup.target sein. Es wird weiterhin hereingezogen und gestartet, aber das System wird nicht darauf warten, dass das Gerät auftaucht und aktiviert wird, und der Systemstart wird nicht fehlschlagen, falls dies nicht erfolgreich ist. Beachten Sie, dass andere Units, die von dem aktivierten Gerät abhängig sind, weiterhin fehlschlagen können. Insbesondere muss der Einhängepunkt selbst auch die Option nofail tragen, falls das Gerät für einen Einhängepunkt verwandt wird, oder der Systemstart wird fehlschlagen, falls das Gerät nicht erfolgreich aktiviert wurde.

Hinzugefügt in Version 258.

In der frühen Systemstartphase und wenn die Konfiguration des Systemverwalters neu geladen wird, wird diese Datei durch systemd-integritysetup-generator(8) in native Systemd-Units übersetzt.

BEISPIELE

Beispiel 1. /etc/integritytab

Richtet zwei integritätsgeschützte Blockgeräte ein.

home PARTUUID=4973d0b8-1b15-c449-96ec-94bab7f6a7b8 - journal-commit-time=10,allow-discards,journal-watermark=55%
data PARTUUID=5d4b1808-be76-774d-88af-03c4c3a41761 - allow-discards

Beispiel 2. /etc/integritytab

Richtet ein integritätsgeschütztes Blockgerät mit den Vorgabeeinstellungen ein.

home PARTUUID=4973d0b8-1b15-c449-96ec-94bab7f6a7b8

Beispiel 3. /etc/integritytab

Richtet ein integritätsgeschütztes Gerät mit einem bestehenden Datenblockgerät ein, das Benutzerdaten enthält.

home PARTUUID=4973d0b8-1b15-c449-96ec-94bab7f6a7b8 - data-device=/dev/disk/by-uuid/9276d9c0-d4e3-4297-b4ff-3307cd0d092f

Beispiel 4. /etc/integritytab

Richtet ein integritätsgeschütztes Gerät mit einer HMAC-Schlüsseldatei mit den Vorgabeeinstellungen ein.

home PARTUUID=4973d0b8-1b15-c449-96ec-94bab7f6a7b8 /etc/hmac.key

SIEHE AUCH

systemd(1), systemd-integritysetup@.service(8), systemd-integritysetup-generator(8), integritysetup(8)

ANMERKUNGEN

1.
die dm-integrity-Dokumentation
https://docs.kernel.org/admin-guide/device-mapper/dm-integrity.html

ÜBERSETZUNG

Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.

Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.

Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer: debian-l10n-german@lists.debian.org.

systemd 258~rc3