BEZEICHNUNG¶

systemd.pcrlock, systemd.pcrlock.d - Vorhersagedateien für PCR-Messungen

ÜBERSICHT¶

BESCHREIBUNG¶

Dateien *.pcrlock definieren erwartete TPM2-PCR-Messungen von Komponenten, die am Systemstartprozess beteiligt sind. systemd-pcrlock(8) verwendet solche Pcrlock-Dateien, um TPM2-PCR-Messungen zu analysieren und vorherzusagen. Die Pcrlock-Dateien sind JSON-Felder, die einer Teilmenge der Spezifikation Kanonisches TCG-Ereignisprotokollformat (CEL-JSON)[1] folgen. Insbesondere die Datensätze »recnum«, »content« und »content_type« werden nicht verwandt und - falls vorhanden - ignoriert. Jede Pcrlock-Datei definiert eine Gruppe der erwarteten, geordneten PCR-Messungen einer bestimmten Komponente des Systemstarts.

Dateien *.pcrlock können in verschiedene Ergänzungsverzeichnissen .d/ abgelegt werden (die vollständige Liste finden Sie oben). Alle in diesen Verzeichnissen erkannten passenden Dateien werden alphabetisch gemäß ihres Dateinamens sortiert (wobei das tatsächliche Verzeichnis, in dem sie gefunden wurden, nicht berücksichtigt wird). Es wird erwartet, dass Pcrlock-Dateien, deren Name alphabetisch früher sortiert werden, Messungen abdecken, die vor denen erfolgen, deren Namen alphabetisch später kommen. Damit die Positionierung von Pcrlock-Dateien im Systemstartprozess bequem wird, wird erwartet, dass die Namen dem Schema »NNN-Komponente.pcrlock« folgen, wobei NNN eine dezimale Zahl mit drei Ziffern ist (Beispiel: 750-enter-initrd.pcrlock). Dies ist eine Konvention und wird nicht erzwungen.

Es muss für verschiedene Komponenten des Systemstartprozesses mehr als eine alternative Pcrlock-Datei unterstützt werden (d.h. »Varianten«), um in der Zugriffsrichtlinie beispielsweise mehrere, parallel installierte Kernel oder mehrere Versionen des Systemstartprogramms abzudecken. Dies kann durch Platzieren *.pcrlock.d/*.pcrlock in den Ergänzungsverzeichnissen passieren, d.h. einem gemeinsamen Verzeichnis für alle bestimmten Komponenten, das eine oder mehrere Pcrlock-Dateien enthält, die jeweils eine Variante der Komponente abdecken. Beispiel: 650-kernel.pcrlock.d/6.5.5-200.fc38.x86_64.pcrlock und 650-kernel.pcrlock.d/6.5.7-100.fc38.x86_64.pcrlock

Verwenden Sie systemd-pcrlock list-components, um alle derzeit installierten Pcrlock-Dateien aufzulisten.

Verwenden Sie die verschiedenen Befehle lock-* von systemd-pcrlock(8), um automatisch geeignete Pcrlock-Dateien für verschiedene Ressourcentypen zu erstellen.

GUT BEKANNTE KOMPONENTEN¶

Komponenten des Systemstartprozesses können vom Administrator oder Betriebssystemlieferanten frei definiert werden. Allerdings sind die folgenden Komponenten gut bekannt und durch Systemd definiert. Die nachfolgende Liste ist zur Sortierung lokaler Pcrlock-Dateien in Anbetracht dieser Komponenten des Systemstarts nützlich.

240-secureboot-policy.pcrlock

250-firmware-code-early.pcrlock

250-firmware-config-early.pcrlock

350-action-efi-application.pcrlock

400-secureboot-separator.pcrlock

500-separator.pcrlock

550-firmware-code-late.pcrlock

550-firmware-config-late.pcrlock

600-gpt.pcrlock

620-secureboot-authority.pcrlock

700-action-efi-exit-boot-services.pcrlock

710-kernel-cmdline.pcrlock

720-kernel-initrd.pcrlock

750-enter-initrd.pcrlock

800-leave-initrd.pcrlock

820-machine-id.pcrlock

830-root-file-system.pcrlock

850-sysinit.pcrlock

900-ready.pcrlock

950-shutdown.pcrlock

990-final.pcrlock

SIEHE AUCH¶

systemd(1), systemd-pcrlock(1)

ANMERKUNGEN¶

1.

Kanonisches TCG-Ereignisprotokollformat (CEL-JSON)

ÜBERSETZUNG¶

Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.

Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.

Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer.