Scroll to navigation

SYSTEMD-CRYPTSETUP@.SERVICE(8) systemd-cryptsetup@.service SYSTEMD-CRYPTSETUP@.SERVICE(8)

BEZEICHNUNG

systemd-cryptsetup@.service, systemd-cryptsetup - Logik zur vollständigen Verschlüsselung von Datenträgern

ÜBERSICHT

systemd-cryptsetup@.service

system-systemd\x2dcryptsetup.slice

/lib/systemd/systemd-cryptsetup

BESCHREIBUNG

Systemd-cryptsetup@.service dient zur Einrichtung von verschlüsselten Blockgeräten. Eine Instanz des Dienstes wird für jedes Gerät aufgerufen, welches entschlüsselt werden muss, um darauf zugreifen zu können.

systemd-cryptsetup@.service-Instanzen sind Teil der Scheibe system-systemd\x2dcryptsetup.slice, die erst sehr spät in der Herunterfahrprozedur zerstört wird. Dies ermöglicht es, dass verschlüsselte Geräte verfügbar bleiben, bis die Dateisysteme ausgehängt wurden.

Systemd-cryptsetup@.service erfragt gemäß der Passwordagent-Logik[1] die Festplattenpasswörter, damit die Eingabe des Passworts durch den Benutzer während des Systemstarts und im laufenden Betrieb nach dem korrekten Mechanismus geschieht.

In der frühen Phase des Systemstarts und beim Neuladen der Konfiguration der Systemverwaltung wird die /etc/crypttab von systemd-cryptsetup-generator(8) in Systemd-cryptsetup@.service-Units übersetzt.

Um einen Datenträger zu entsperren, wird ein Passwort oder ein binärer Schlüssel benötigt. systemd-cryptsetup@.service versucht, ein geeignetes Passowrt oder einen binären Schlüssel zu erlangen, indem in dieser Reihenfolge folgender Mechanismus durchlaufen wird:

1.Falls (mittels der dritten Spalte in /etc/crypttab) explizit eine Schlüsseldatei konfiguriert ist, wird ein daraus eingelesener Schlüssel verwandt. Falls (mittels der Option pkcs11-uri=, fido2-device= oder tpm2-device=) ein PKCS#11-Token oder TPM2-Gerät konfiguriert ist, wird der Schlüssel vor der Verwendung entschlüsselt.

2.Falls auf diese Weise keine Schlüsseldatei explizit konfiguriert ist, wird eine Schlüsseldatei automatisch aus /etc/cryptsetup-keys.d/Datenträger.key und /run/cryptsetup-keys.d/Datenträger.key geladen, falls diese vorhanden sind. Auch hier gilt, dass jeder so gefundene Schlüssel vor der Verwendung entschlüsselt wird, falls ein PKCS#11-/FIDO2-/TPM2-Token/Gerät konfiguriert ist.

3.Falls die Option try-empty-password konfiguriert ist, dann wird versucht, den Datenträger mit dem leeren Passwort zu entsperren.

4.Dann wird der Kernel-Schlüsselbund auf ein geeignetes zwischengespeichertes Passwort aus vorherigen Versuchen übeprüft.

5.Schließlich wird der Benutzer nach einem Passwort gefragt, möglicherweise mehrfach, außer die Option headless ist gesetzt.

Falls kein geeigneter Schlüssel mittels eines der oben beschriebenen Mechanismen erlangt werden kann, schlägt die Aktivierung des Datenträgers fehl.

SIEHE AUCH

systemd(1), systemd-cryptsetup-generator(8), crypttab(5), systemd-cryptenroll(1), cryptsetup(8)

ANMERKUNGEN

1.
Passwortagent-Logik
https://systemd.io/PASSWORD_AGENTS/

ÜBERSETZUNG

Die deutsche Übersetzung dieser Handbuchseite wurde von Mario Blättermann <mario.blaettermann@gmail.com> und Helge Kreutzmann <debian@helgefjell.de> erstellt.

Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.

Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer.

systemd 254