Scroll to navigation

SYSTEMD.PCRLOCK(5) systemd.pcrlock SYSTEMD.PCRLOCK(5)

BEZEICHNUNG

systemd.pcrlock, systemd.pcrlock.d - Vorhersagedateien für PCR-Messungen

ÜBERSICHT

/etc/pcrlock.d/*.pcrlock
/etc/pcrlock.d/*.pcrlock.d/*.pcrlock
/run/pcrlock.d/*.pcrlock
/run/pcrlock.d/*.pcrlock.d/*.pcrlock
/var/lib/pcrlock.d/*.pcrlock
/var/lib/pcrlock.d/*.pcrlock.d/*.pcrlock
/usr/local/pcrlock.d/*.pcrlock
/usr/local/pcrlock.d/*.pcrlock.d/*.pcrlock
/usr/lib/pcrlock.d/*.pcrlock
/usr/lib/pcrlock.d/*.pcrlock.d/*.pcrlock

BESCHREIBUNG

Dateien *.pcrlock definieren erwartete TPM2-PCR-Messungen von Komponenten, die am Systemstartprozess beteiligt sind. systemd-pcrlock(8) verwendet solche Pcrlock-Dateien, um TPM2-PCR-Messungen zu analysieren und vorherzusagen. Die Pcrlock-Dateien sind JSON-Felder, die einer Teilmenge der Spezifikation Gemeinsames TCG-Ereignisprotokollformat (CEL-JSON)[1] folgen. Insbesondere die Datensätze »recnum«, »content« und »content_type« werden nicht verwandt und - falls vorhanden - ignoriert. Jede Pcrlock-Datei definiert eine Gruppe der erwarteten, geordneten PCR-Messungen einer bestimmten Komponente des Systemstarts.

Dateien *.pcrlock können in verschiedene Ergänzungsverzeichnissen .d/ abgelegt werden (die vollständige Liste finden Sie oben). Alle in diesen Verzeichnissen erkannten passenden Dateien werden alphabetisch gemäß ihres Dateinamens sortiert (wobei das tatsächliche Verzeichnis, in dem sie gefunden wurden, nicht berücksichtigt wird). Es wird erwartet, dass Pcrlock-Dateien, deren Name alphabetisch früher sortiert werden, Messungen abdecken, die vor denen erfolgen, deren Namen alphabetisch später kommen. Damit die Positionierung von Pcrlock-Dateien im Systemstartprozess bequem wird, wird erwartet, dass die Namen dem Schema »NNN-Komponente.pcrlock« folgen, wobei NNN eine dezimale Zahl mit drei Ziffern ist (Beispiel: 750-enter-initrd.pcrlock). Dies ist eine Konvention und wird nicht erzwungen.

Es muss für verschiedene Komponenten des Systemstartprozesses mehr als eine alternative Pcrlock-Datei unterstützt werden (d.h. »Varianten«), um in der Zugriffsrichtlinie beispielsweise mehrere, parallel installierte Kernel oder mehrere Versionen des Systemstartprogramms abzudecken. Dies kann durch Platzieren *.pcrlock.d/*.pcrlock in den Ergänzungsverzeichnissen passieren, d.h. einem gemeinsamen Verzeichnis für alle bestimmten Komponenten, das eine oder mehrere Pcrlock-Dateien enthält, die jeweils eine Variante der Komponente abdecken. Beispiel: 650-kernel.pcrlock.d/6.5.5-200.fc38.x86_64.pcrlock und 650-kernel.pcrlock.d/6.5.7-100.fc38.x86_64.pcrlock

Verwenden Sie systemd-pcrlock list-components, um alle derzeit installierten Pcrlock-Dateien aufzulisten.

Verwenden Sie die verschiedenen Befehle lock-* von systemd-pcrlock(8), um automatisch geeignete Pcrlock-Dateien für verschiedene Ressourcentypen zu erstellen.

GUT BEKANNTE KOMPONENTEN

Komponenten des Systemstartprozesses können vom Administrator oder Betriebssystemlieferanten frei definiert werden. Allerdings sind die folgenden Komponenten gut bekannt und durch Systemd definiert. Die nachfolgende Liste ist zur Sortierung lokaler Pcrlock-Dateien in Anbetracht dieser Komponenten des Systemstarts nützlich.

240-secureboot-policy.pcrlock

Die Richtlinie des sicheren Systemstarts, wie in PCR 7 aufgezeichnet. Kann mittels systemd-pcrlock lock-secureboot-policy erstellt werden.

Hinzugefügt in Version 255.

250-firmware-code-early.pcrlock

Firmwarecode-Messungen, wie in PCR 0 und 2 aufgezeichnet, bis zur Trennungsmessung (siehe nachfolgenden 400-secureboot-separator.pcrlock). Kann mittels systemd-pcrlock lock-firmware-code erstellt werden.

Hinzugefügt in Version 255.

250-firmware-config-early.pcrlock

Firmware-Konfigurationsmessungen, wie in PCR 1 und 3 aufgezeichnet, bis zur Trennungsmessung (siehe nachfolgenden 400-secureboot-separator.pcrlock). Kann mittels systemd-pcrlock lock-firmware-config erstellt werden.

Hinzugefügt in Version 255.

350-action-efi-application.pcrlock

Die einmalig durch die Firmware erfolgte Messung der EFI »Anwendung«. Statisch definiert.

Hinzugefügt in Version 255.

400-secureboot-separator.pcrlock

Die einmalig durch die Firmware auf PCR 7 des EFI »Trenners« erfolgte Messung, um anzuzeigen, wo die Firmware den Übergang in das Systemstartprogramm/unter die Steuerung des Betriebssystems steuert. Statisch definiert.

Hinzugefügt in Version 255.

500-separator.pcrlock

Die einmalig durch die Firmware auf PCRs 0-6 des EFI »Trenner« erfolgten Messungen, um anzuzeigen, wo die Firmware den Übergang in das Systemstartprogramm/unter die Steuerung des Betriebssystems steuert. Statisch definiert.

Hinzugefügt in Version 255.

550-firmware-code-late.pcrlock

Firmware-Code-Messungen, wie in PCR 0 und 2 aufgezeichnet, nach der Trennungsmessung (siehe vorstehenden 400-secureboot-separator.pcrlock). Kann mittels systemd-pcrlock lock-firmware-code erstellt werden.

Hinzugefügt in Version 255.

550-firmware-config-late.pcrlock

Firmware-Konfigurationsmessungen, wie in PCR 1 und 3 aufgezeichnet, nach der Trennungsmessung (siehe vorstehenden 400-secureboot-separator.pcrlock). Kann mittels systemd-pcrlock lock-firmware-config erstellt werden.

Hinzugefügt in Version 255.

600-gpt.pcrlock

Die GPT-Partitionstabelle des Startmediums, wie durch die Firmware in PCR 5 aufgezeichnet. Kann mittels systemd-pcrlock lock-gpt erstellt werden.

Hinzugefügt in Version 255.

620-secureboot-authority.pcrlock

Die Autorität des sicheren Systemstarts, wie in PCR 7 aufgezeichnet. Kann mittels systemd-pcrlock lock-secureboot-authority erstellt werden.

Hinzugefügt in Version 255.

700-action-efi-exit-boot-services.pcrlock

Die EFI-Aktion, die erstellt wird, wenn ExitBootServices() erstellt wird, d.h. die UEFI-Umgebung wird verlassen und das Betriebssystem übernimmt. Deckt die PCR-5-Messung ab. Statisch definiert.

Hinzugefügt in Version 255.

710-kernel-cmdline.pcrlock

Die Kernel-Befehlszeile, wie vom Linux-Kernel in PCR 9 eingemessen. Kann mittels systemd-pcrlock lock-kernel-cmdline erstellt werden.

Hinzugefügt in Version 255.

720-kernel-initrd.pcrlock

Die Kernel-Initrd, wie vom Linux-Kernel in PCR 9 eingemessen. Kann mittels systemd-pcrlock lock-kernel-initrd erstellt werden.

Hinzugefügt in Version 255.

750-enter-initrd.pcrlock

Die von systemd-pcrphase-initrd.service(8) durchgeführte Messung in PCR 11, wenn sich die Initrd initialisiert. Statisch definiert.

Hinzugefügt in Version 255.

800-leave-initrd.pcrlock

Die von systemd-pcrphase-initrd.service(8) durchgeführte Messung in PCR 11, wenn sich die Initrd beendet. Statisch definiert.

Hinzugefügt in Version 255.

820-machine-id.pcrlock

Die von systemd-pcrmachine.service(8) beim Systemstart durchgeführte Messung in PCR 15, deckt den Inhalt von /etc/machine-id ab. Kann mittels systemd-pcrlock lock-machine-id erstellt werden.

Hinzugefügt in Version 255.

830-root-file-system.pcrlock

Die von systemd-pcrfs-root.service(8) beim Systemstart durchgeführte Messung in PCR 15, deckt die Identität des Wurzeldateisystems ab. Kann mittels systemd-pcrlock lock-file-system erstellt werden.

Hinzugefügt in Version 255.

850-sysinit.pcrlock

Die Messung von systemd-pcrphase-sysinit.service(8) in PCR 11 erfolgt, wenn der Haupt-Anwendungsraum die grundlegende Initialisierung durchgeführt hat und jetzt damit beginnt, reguläre Systemdienste zu starten. Statisch definiert.

Hinzugefügt in Version 255.

900-ready.pcrlock

Die Messung von systemd-pcrphase.service(8) in PCR 11 erfolgt, wenn das System komplett hochgefahren ist. Statisch definiert.

Hinzugefügt in Version 255.

950-shutdown.pcrlock

Die Messung von systemd-pcrphase.service(8) in PCR 11 erfolgt, wenn das System mit dem Herunterfahren beginnt. Statisch definiert.

Hinzugefügt in Version 255.

990-final.pcrlock

Die Messung von systemd-pcrphase-sysinit.service(8) in PCR 11 erfolgt, wenn das System kurz vor dem Abschließen des Herunterfahrens ist. Statisch definiert.

Hinzugefügt in Version 255.

SIEHE AUCH

systemd(1), systemd-pcrlock(1)

ANMERKUNGEN

1.
Gemeinsames TCG-Ereignisprotokollformat (CEL-JSON)
https://trustedcomputinggroup.org/resource/canonical-event-log-format/

ÜBERSETZUNG

Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.

Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.

Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer.

systemd 255