SYSTEMD-ASK-PASSWORD(1) systemd-ask-password SYSTEMD-ASK-PASSWORD(1) BEZEICHNUNG systemd-ask-password - Den Benutzer nach einem Systempasswort fragen UBERSICHT systemd-ask-password [OPTIONEN] [NACHRICHT] BESCHREIBUNG systemd-ask-password kann zur Abfrage eines Systempasswortes oder einer Passphrase vom Benutzer mit einer auf der Befehlszeile angegebenen Frage verwandt werden. Bei der Ausfuhrung auf einem TTY wird es das Passwort auf dem TTY abfragen und es auf der Standardausgabe ausgeben. Bei der Ausfuhrung ohne TTY oder mit --no-tty wird es den systemweiten Abfragemechanismus verwenden, der es aktiven Benutzern erlaubt, mittels mehreren, unten aufgefuhrten Agenten, zu antworten. Der Zweck dieses Werkzeuges ist die Abfrage von systemweiten Passwortern -- das bedeutet Passworter, die nicht einem bestimmten Benutzerkonto zugeordnet sind. Beispiele: Freigabe der Entschlusselung von Festplatten, wenn diese eingesteckt werden oder der Systemstart lauft, Eingabe der Passphrase eines SSL-Zertifikates fur Web- und VPN-Server. Bestehende Agenten sind: o ein Systemstartpasswortagent, der den Benutzer mittels plymouth(8) nach Passwortern fragt o ein Systemstartpasswortagent, der den Benutzer direkt auf der Konsole fragt -- systemd-ask-password-console.service(8) o ein Agent, der Passworteingaben uber wall(1)-Nachrichten anfordert -- systemd-ask-password-wall.service(8) o ein TTY-Agent, der temporar wahrend Aufrufen von systemctl(1) gestartet wird o ein Befehlszeilenagent, der temporar gestartet werden kann, um in der Warteschlange befindliche Passwortanfragen zu bearbeiten -- systemd-tty-ask-password-agent --query Die Beantwortung systemweiter Passwortabfragen ist eine privilegierte Aktion, daher laufen alle oben aufgefuhrten Agenten (ausser dem letzten) als privilegierter Systemdienst. Der letzte benotigt auch erweiterte Privilegien, daher sollte er mittels sudo(8) oder ahnlichem ausgefuhrt werden. Gemass der Systemd-Passwortagentenspezifikation[1] konnen zusatzliche Passwortagenten implementiert werden. Falls ein Passwort auf einem TTY abgefragt wird, kann der Benutzer TAB drucken, um die Sternchen zu verstecken, die normalerweise fur jedes eingetippte Zeichen angezeigt werden. Drucken der Ruckschritttaste als erste Taste erzielt den gleichen Effekt. OPTIONEN Die folgenden Optionen werden verstanden: --icon= Gibt einen Icon-Namen neben der Passwortabfrage an, der in allen Agenten verwandt werden kann, die eine graphische Anzeige unterstutzen. Der Icon-Name sollte der XDG-Icon-Bennennungsspezifikation[2] folgen. --id= Gibt eine Kennung fur diese Passwortabfrage an. Diese Kennung kann frei gewahlt werden und erlaubt die Erkennung von Abfragen durch beteiligte Agenten. Sie sollte das Untersystem, das die Abfrage durchfuhrt, und das angegebene Objekt, fur das die Abfrage erfolgt, enthalten. Beispiel: >>--id=cryptsetup:/dev/sda5<<. Hinzugefugt in Version 227. --keyname= Konfiguriert einen Kernelschlusselbundnamen als Zwischenspeicher fur Passworter. Falls gesetzt, wird das Werkzeug versuchen, alle gesammelten Passworter als Benutzer root in den Kernelschlusselbund unter dem Schlussel mit dem angegebenen Namen zu schieben. Falls mit --accept-cached kombiniert, wird es auch versuchen, solche zwischengespeicherten Passworter aus dem Schlussel in dem Schlusselbund des Kernels abzufragen, statt den Benutzer sofort zu befragen. Durch Verwendung dieser Option kann der Kernelschlusselbund als effektiver Zwischenspeicher verwandt werden, um das wiederholte Abfragen von Benutzern nach Passwortern zu vermeiden, falls es mehrere Objekte gibt, die mit dem gleichen Passwort entsperrt werden konnen. Der zwischengespeicherte Schlussel wird eine gesetzte Zeituberschreitung von 2,5 Minuten haben, nach der er aus dem Kernelzwischenspeicher dauerhaft geloscht wird. Beachten Sie, dass es moglich ist, mehrere Passworter unter dem gleichen Schlusselnamen zwischenzuspeichern. In diesem Fall werden sie als NUL-getrennte Liste von Passwortern gespeichert. Verwenden Sie keyctl(1), um auf den zwischengespeicherten Schlussel mittels des Kernelschlusselbunds direkt zuzugreifen. Beispiel: >>--keyname=cryptsetup<< Hinzugefugt in Version 227. --credential= Konfiguriert ein Anmeldedatum, aus dem das Passwort gelesen werden soll, falls es existiert. Dies kann in Zusammenhang mit den Einstellungen ImportCredential=, LoadCredential= und SetCredential= in Unit-Dateien verwandt werden. Siehe systemd.exec(5) fur Details. Falls nicht angegeben ist die Vorgabe >>password<<. Diese Option hat keine Auswirkung, falls kein Anmeldedatumsverzeichnis an das Programm ubergeben wird (d.h. $CREDENTIALS_DIRECTORY nicht gesetzt ist) oder falls kein Anmeldedatum mit dem angegebenen Namen existiert. Hinzugefugt in Version 249. --timeout= Gibt die Abfragezeituberschreitung in Sekunden an. Standardmassig 90 s. Eine Zeituberschreitung von 0 wartet unendlich. --echo=yes|no|masked Steuert, ob die Eingabe des Benutzers ausgeben wird. Akzeptiert einen logischen Wert oder die besondere Zeichenkette >>masked<<, die auch die Vorgabe ist. Falls aktiviert, werden die eingegebenen Zeichen 1:1 wieder ausgegeben, was fur die Abfrage von Benutzernamen und anderen, ungeschutzten Daten nutzlich ist. Falls deaktiviert, werden die eingegebenen Zeichen in keiner Weise wieder ausgegeben, der Benutzer bekommt fur seine Eingabe keine Ruckmeldung. Falls auf >>masked<< gesetzt, wird ein Sternchen (>>*<<) fur jedes eingegebene Zeichen ausgegeben. In diesem Modus wird die Ausgabe ausgeschaltet, falls der Benutzer die Tabulatortaste (>><<) betatigt. (Alternativ wird die Ausgabe auch ausgeschaltet, falls der Benutzer die Ruckschritttaste (>><<) druckt, bevor andere Daten eingegeben wurden). Hinzugefugt in Version 249. --echo, -e gleichbedeutend mit --echo=yes, siehe oben. Hinzugefugt in Version 217. --emoji=yes|no|auto Steuert, ob der Anfrage eine Sperre und ein Schlussel-Emoji () vorangestellt werden soll, falls die TTY-Einstellungen dieses erlauben. Die Vorgabe ist >>auto<<, was standardmassig >>yes<< ist, ausser --echo=yes wurde ubergeben. Hinzugefugt in Version 249. --no-tty Niemals auf aktuellen TTY nach Passwortern fragen, selbst falls eines verfugbar ist. Immer das Agentensystem verwenden. --accept-cached Falls ubergeben, zwischengespeicherte Passworter akzeptieren, d.h. vorher eingegebene Passworter. --multiple Bei der Verwendung zusammen mit --accept-cached werden mehrere Passworter akzeptiert. Dies gibt ein Passwort pro Zeile aus. --no-output Passworter nicht auf der Standardausgabe ausgeben. Dies ist nutzlich, wenn Sie mit --keyname= ein Passwort im Kernelschlusselbund speichern mochten, dies aber nicht auf dem Bildschirm oder in den Protokollen auftauchen soll. Hinzugefugt in Version 230. -n Standardmassig wird ein Zeilenumbruchzeichen beim Schreiben eines erlangten Passworts auf die Standardausgabe angehangt. Dies kann mit dem Schalter -n ausgeschaltet werden, ahnlich wie der Schalter des gleichen Namens beim Befehl echo(1). Hinzugefugt in Version 249. -h, --help Zeigt einen kurzen Hilfetext an und beendet das Programm. EXIT-STATUS Bei Erfolg wird 0 zuruckgegeben, anderenfalls ein Fehlercode ungleich Null. SIEHE AUCH systemd(1), systemd-ask-password-console.service(8), systemd-tty-ask-password-agent(1), keyctl(1), plymouth(8), wall(1) ANMERKUNGEN 1. Systemd-Passwortagentenspezifikation https://systemd.io/PASSWORD_AGENTS/ 2. XDG Icon-Benennungsspezifikation https://standards.freedesktop.org/icon-naming-spec/icon-naming-spec-latest.html UBERSETZUNG Die deutsche Ubersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. Diese Ubersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezuglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG ubernommen. Wenn Sie Fehler in der Ubersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Ubersetzer . systemd 255 SYSTEMD-ASK-PASSWORD(1)