table of contents
- bookworm 4.18.1-1
- bookworm-backports 4.24.0-2~bpo12+1
- testing 4.24.0-2
- unstable 4.25.0-1
SYSTEMD-CRYPTSETUP(8) | systemd-cryptsetup | SYSTEMD-CRYPTSETUP(8) |
BEZEICHNUNG¶
systemd-cryptsetup, systemd-cryptsetup@.service - Logik für vollständige Plattenverschlüsselung
ÜBERSICHT¶
systemd-cryptsetup [OPTIONEN…] attach DATENTRÄGER QUELLGERÄT [SCHLÜSSELDATEI] [CRYPTTAB-OPTIONEN]
systemd-cryptsetup [OPTIONEN…] detach DATENTRÄGER
systemd-cryptsetup@.service
system-systemd\x2dcryptsetup.slice
BESCHREIBUNG¶
systemd-cryptsetup wird zum Einrichten (mit attach) und Herunterbringen (mit detach) des Zugriffs auf ein verschlüsseltes Blockgerät verwandt. Es ist hauptsächlich zum Einsatz mit systemd-cryptsetup@.service(8) während der frühen Systemstartphase gedacht, kann aber auch händisch aufgerufen werden. Die positionsabhängigen Argumente DATENTRÄGER, QUELLGERÄT, SCHLÜSSELDATEI und CRYPTTAB-OPTIONEN haben die gleiche Bedeutung wie die Felder in crypttab(5).
systemd-cryptsetup@.service(8) ist ein Dienst, der für den Zugriff auf verschlüsselte Blockgeräte verantwortlich ist Er wird für jedes Gerät, das der Entschlüsselung bedarf, instanziiert.
systemd-cryptsetup@.service(8)-Instanzen sind Teil der Scheibe system-systemd\x2dcryptsetup.slice, die erst sehr spät im Herunterfahrprozess zerstört wird. Dies ermöglicht es verschlüsselten Geräten, im Betrieb zu bleiben, bis die Dateisysteme ausgehängt wurden.
Systemd-cryptsetup@.service erfragt gemäß der Passwordagent-Logik[1] die Festplattenpasswörter, damit die Eingabe des Passworts durch den Benutzer während des Systemstarts und im laufenden Betrieb nach dem korrekten Mechanismus geschieht.
In der frühen Phase des Systemstarts und beim Neuladen der Konfiguration der Systemverwaltung wird die /etc/crypttab von systemd-cryptsetup-generator(8) in Systemd-cryptsetup@.service-Units übersetzt.
Um einen Datenträger zu entsperren, wird ein Passwort oder ein binärer Schlüssel benötigt. systemd-cryptsetup@.service versucht, ein geeignetes Passwort oder einen binären Schlüssel zu erlangen, indem in dieser Reihenfolge folgender Mechanismus durchlaufen wird:
Falls kein geeigneter Schlüssel mittels eines der oben beschriebenen Mechanismen erlangt werden kann, schlägt die Aktivierung des Datenträgers fehl.
ZUGANGSBERECHTIGUNGEN¶
systemd-cryptsetup unterstützt die durch ImportCredential=/LoadCredential=/SetCredential= implementierte Dienstezugangsberechtigungslogik (siehe systemd.exec(5) für Details). Die folgenden Zugangsberechtigungen werden von »systemd-crypsetup@root.service« (generiert durch systemd-gpt-auto-generator) verwandt, wenn sie hereingegeben werden:
cryptsetup.passphrase
Hinzugefügt in Version 256.
cryptsetup.tpm2-pin
Hinzugefügt in Version 256.
cryptsetup.fido2-pin
Hinzugefügt in Version 256.
cryptsetup.pkcs11-pin
Hinzugefügt in Version 256.
cryptsetup.luks2-pin
Hinzugefügt in Version 256.
SIEHE AUCH¶
systemd(1), systemd-cryptsetup-generator(8), crypttab(5), systemd-cryptenroll(1), cryptsetup(8), Von Systemd durchgeführte TPM2-PCR-Messungen[2]
ANMERKUNGEN¶
- 1.
- Passwortagent-Logik
- 2.
- Von Systemd durchgeführte TPM2-PCR-Messungen
ÜBERSETZUNG¶
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer.
systemd 257~rc3 |