table of contents
SYSTEMD.PCRLOCK(5) | systemd.pcrlock | SYSTEMD.PCRLOCK(5) |
BEZEICHNUNG¶
systemd.pcrlock, systemd.pcrlock.d - Vorhersagedateien für PCR-Messungen
ÜBERSICHT¶
BESCHREIBUNG¶
Dateien *.pcrlock definieren erwartete TPM2-PCR-Messungen von Komponenten, die am Systemstartprozess beteiligt sind. systemd-pcrlock(8) verwendet solche Pcrlock-Dateien, um TPM2-PCR-Messungen zu analysieren und vorherzusagen. Die Pcrlock-Dateien sind JSON-Felder, die einer Teilmenge der Spezifikation Kanonisches TCG-Ereignisprotokollformat (CEL-JSON)[1] folgen. Insbesondere die Datensätze »recnum«, »content« und »content_type« werden nicht verwandt und - falls vorhanden - ignoriert. Jede Pcrlock-Datei definiert eine Gruppe der erwarteten, geordneten PCR-Messungen einer bestimmten Komponente des Systemstarts.
Dateien *.pcrlock können in verschiedene Ergänzungsverzeichnissen .d/ abgelegt werden (die vollständige Liste finden Sie oben). Alle in diesen Verzeichnissen erkannten passenden Dateien werden alphabetisch gemäß ihres Dateinamens sortiert (wobei das tatsächliche Verzeichnis, in dem sie gefunden wurden, nicht berücksichtigt wird). Es wird erwartet, dass Pcrlock-Dateien, deren Name alphabetisch früher sortiert werden, Messungen abdecken, die vor denen erfolgen, deren Namen alphabetisch später kommen. Damit die Positionierung von Pcrlock-Dateien im Systemstartprozess bequem wird, wird erwartet, dass die Namen dem Schema »NNN-Komponente.pcrlock« folgen, wobei NNN eine dezimale Zahl mit drei Ziffern ist (Beispiel: 750-enter-initrd.pcrlock). Dies ist eine Konvention und wird nicht erzwungen.
Es muss für verschiedene Komponenten des Systemstartprozesses mehr als eine alternative Pcrlock-Datei unterstützt werden (d.h. »Varianten«), um in der Zugriffsrichtlinie beispielsweise mehrere, parallel installierte Kernel oder mehrere Versionen des Systemstartprogramms abzudecken. Dies kann durch Platzieren *.pcrlock.d/*.pcrlock in den Ergänzungsverzeichnissen passieren, d.h. einem gemeinsamen Verzeichnis für alle bestimmten Komponenten, das eine oder mehrere Pcrlock-Dateien enthält, die jeweils eine Variante der Komponente abdecken. Beispiel: 650-kernel.pcrlock.d/6.5.5-200.fc38.x86_64.pcrlock und 650-kernel.pcrlock.d/6.5.7-100.fc38.x86_64.pcrlock
Verwenden Sie systemd-pcrlock list-components, um alle derzeit installierten Pcrlock-Dateien aufzulisten.
Verwenden Sie die verschiedenen Befehle lock-* von systemd-pcrlock(8), um automatisch geeignete Pcrlock-Dateien für verschiedene Ressourcentypen zu erstellen.
GUT BEKANNTE KOMPONENTEN¶
Komponenten des Systemstartprozesses können vom Administrator oder Betriebssystemlieferanten frei definiert werden. Allerdings sind die folgenden Komponenten gut bekannt und durch Systemd definiert. Die nachfolgende Liste ist zur Sortierung lokaler Pcrlock-Dateien in Anbetracht dieser Komponenten des Systemstarts nützlich.
240-secureboot-policy.pcrlock
Hinzugefügt in Version 255.
250-firmware-code-early.pcrlock
Hinzugefügt in Version 255.
250-firmware-config-early.pcrlock
Hinzugefügt in Version 255.
350-action-efi-application.pcrlock
Hinzugefügt in Version 255.
400-secureboot-separator.pcrlock
Hinzugefügt in Version 255.
500-separator.pcrlock
Hinzugefügt in Version 255.
550-firmware-code-late.pcrlock
Hinzugefügt in Version 255.
550-firmware-config-late.pcrlock
Hinzugefügt in Version 255.
600-gpt.pcrlock
Hinzugefügt in Version 255.
620-secureboot-authority.pcrlock
Hinzugefügt in Version 255.
700-action-efi-exit-boot-services.pcrlock
Hinzugefügt in Version 255.
710-kernel-cmdline.pcrlock
Hinzugefügt in Version 255.
720-kernel-initrd.pcrlock
Hinzugefügt in Version 255.
750-enter-initrd.pcrlock
Hinzugefügt in Version 255.
800-leave-initrd.pcrlock
Hinzugefügt in Version 255.
820-machine-id.pcrlock
Hinzugefügt in Version 255.
830-root-file-system.pcrlock
Hinzugefügt in Version 255.
850-sysinit.pcrlock
Hinzugefügt in Version 255.
900-ready.pcrlock
Hinzugefügt in Version 255.
950-shutdown.pcrlock
Hinzugefügt in Version 255.
990-final.pcrlock
Hinzugefügt in Version 255.
SIEHE AUCH¶
systemd(1), systemd-pcrlock(1)
ANMERKUNGEN¶
- 1.
- Kanonisches TCG-Ereignisprotokollformat (CEL-JSON)
ÜBERSETZUNG¶
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer.
systemd 256~rc3 |