SYSTEMD-CREDS(1) systemd-creds SYSTEMD-CREDS(1) BEZEICHNUNG systemd-creds - Dienstezugangsberechtigungen auflisten, anzeigen, ver- und entschlusseln UBERSICHT systemd-creds [OPTIONEN] BEFEHL [ARG] BESCHREIBUNG systemd-creds ist ein Werkzeug zum Auflisten, Anzeigen, Ver- und Entschlusseln von Unit-Zugangsberechtigungen. Zugangsberechtigungen sind binare oder textuelle Objekte beschrankter Grosse, die an Unit-Prozesse ubergeben werden konnen. Sie werden primar zur Ubergabe kryptographischer Schlussel (sowohl offentliche als auch private) oder Zertifikate, Benutzerkonteninformationen oder Identitatsinformationen vom Rechner an Dienste verwandt. Zugangsberechtigungen werden in Unit-Dateien uber die Einstellungen ImportCredential=, LoadCredential=, SetCredential=, LoadCredentialEncrypted= und SetCredentialEncrypted= konfiguriert, siehe systemd.exec(5) fur Details. Fur weitere Informationen siehe die Dokumentation System- und Dienste-Zugangsberechtigungen[1]. BEFEHLE Die folgenden Befehle werden verstanden: list Zeigt eine Liste von Zugangsberechtigungen an, die im aktuellen Ausfuhrungskontext ubergeben wurden. Dieser Befehl zeigt die Dateien in dem durch die Umgebungsvariable $CREDENTIALS_DIRECTORY referenzierten Verzeichnis an und ist dazu gedacht, innerhalb des Dienstekontextes ausgefuhrt zu werden. Zusammen mit jedem Zugangsberechtigungsnamen wird die Grosse und der Sicherheitszustand angezeigt. Letzterer ist entweder >>secure<< (falls die Zugangsberechtigung sich in nicht-auslagerungsfahigem Speicher befindet, d.h. >>ramfs<<), >>weak<< (falls sie sich in anderen Arten von Speicher befindet) oder >>insecure<< (falls sie einen Zugriffsmodus hat, der nicht 0400 ist, d.h. von irgendjemand anders ausser dem Eigentumer lesbar ist). Hinzugefugt in Version 250. cat Zugangsberechtigung Zeigt den Inhalt der angegebenen Zugangsberechtigung, die im aktuellen Ausfuhrungskontext ubergeben wurde. Akzeptiert die Namen einer oder mehrerer Zugangsberechtigungen, deren Inhalte auf die Standardausgabe geschrieben werden. Wird dies mit --json= oder --transcode= kombiniert, dann wird die Ausgabe auf einfache Art vor der Ausgabe umgewandelt. Hinzugefugt in Version 250. setup Erstellt einen Rechnerverschlusselungsschlussel fur Zugangsberechtigungen, falls bisher noch keiner erstellt wurde. Dies stellt sicher, dass die Datei /var/lib/systemd/credential.secret mit einem zufalligen Geheimnis initialisiert wird, falls sie noch nicht existiert. Dieser geheime Schlussel wird zum Ver-/Entschlusseln von Zugangsberechtigungen mit encrypt oder decrypt verwandt und nur der Benutzer root hat Zugriff darauf. Beachten Sie, dass normalerweise keine Notwendigkeit besteht, diesen Befehl explizit aufzurufen, da er implizit aufgerufen wird, wenn encrypt aufgerufen und die Verschlusselung der Zugangsberechtigung mit dem Rechnerschlussel ausgewahlt wird. Hinzugefugt in Version 250. encrypt Eingabe|- Ausgabe|- Ladt die angegebene (unverschlusselte Klartext-)Eingabezugangsberechtigungsdatei, verschlusselt sie und schreibt die (verschlusselte Chiffretext-)Ausgabe in die angegebene Zielzugangsberechtigungsdatei. Die entstehende Datei kann in der Einstellung LoadCredentialEncrypted= in Unit-Dateien referenziert werden oder ihr Inhalt direkt in Einstellungen SetCredentialEncrypted= verwandt werden. Akzeptiert zwei Dateisystempfade. Der Dateinamenanteil des Ausgabepfades wird als Name in die verschlusselte Zugangsberechtigung eingebettet, um sicherzustellen, dass verschlusselte Zugangsberechtigungen nicht umbenannt oder fur andere Zwecke wiederverwendet werden, ohne dass das bemerkt wird. Der einzubettende Zugangsberechtigungsname kann mit der Einstellung --name= ausser Kraft gesetzt werden. Die Eingabe- oder Ausgabepfade konnen als >>-<< angegeben werden, die Zugangsberechtigungsdaten werden dann aus der Standardeingabe gelesen bzw. in die Standardausgabe geschrieben. Falls der Ausgabepfad als >>-<< angegeben wurde, kann der Zugangsberechtigungsname nicht aus dem Dateisystempfad abgeleitet werden und sollte daher explizit mit dem Schalter --name= angegeben werden. Die Zugangsberechtigungsdaten werden symmetrisch mit einem der folgenden Verschlusselungsschlussel verschlusselt und authentifiziert: 1. Einem geheimen Schlussel, der aus dem TPM2-Chip des Systems abgeleitet wurde. Dieser Verschlusselungsschlussel wird nicht auf dem Rechnersystem gespeichert und die Entschlusselung ist daher nur mit Zugriff auf den ursprunglichen TPM2-Chip moglich. Oder mit anderen Worten gesagt, eine auf diese Weise gesicherte Zugangsberechtigung kann nur auf der lokalen Maschine wieder entschlusselt werden. 2. Ein in der Datei /var/lib/systemd/credential.secret gespeicherter geheimer Schlussel, auf den nur der Benutzer root zugreifen kann. Dieser >>Rechner<<-Verschlusselungsschlussel wird im Dateisystem des Rechners gespeichert und daher ist die Entschlusselung mit Zugriff auf das Dateisystem des Rechners und ausreichenden Privilegien moglich. Der Schlussel wird bei Bedarf automatisch erstellt, kann aber auch explizit mit dem oben beschriebenen Befehl setup erstellt werden. 3. Eine Kombination der beiden vorstehenden: ein sowohl vom TPM2-Chip als auch dem Rechnerdateisystem abgeleiteter Schlussel. Das bedeutet, dass die Entschlusselung sowohl Zugriff auf den ursprunglichen TPM2-Chip als auch die Betriebssysteminstallation benotigt. Dies ist der Vorgabemodus fur Aktionen, falls ein TPM2-Chip verfugbar ist und sich /var/lib/systemd/ auf einem dauerhaften Medium befindet. Welcher der drei Schlussel fur Verschlusselung verwandt werden soll, kann mit dem Schalter --with-key= konfiguriert werden. Abhangig vom Einsatzfall fur die verschlusselten Zugangsberechtigungen kann sich der Schlussel unterscheiden. Fur Zugangsberechtigungen, auf die wahrend der Initrd zugegriffen werden soll, ist die Verschlusselung mit dem Rechnerschlussel nicht geeignet, da von der Initrd typischerweise kein Zugriff auf den Rechnerschlussel moglich ist. Daher sollte fur solche Zugangsberechtigungen nur der TPM2-Schlussel verwandt werden. Verschlusselte Zugangsberechtigungen sind immer Base64-kodiert. Verwenden Sie decrypt (siehe unten), um die Verschlusselungsaktion ruckgangig zu machen und die entschlusselte Klartextzugangsberechtigung aus der verschlusselten Chiffretext-Zugangsberechtigung zu erhalten. Die Zugangsberechtigungsdaten werden mittels AES256-GCM verschlusselt, d.h. sowohl Vertraulichkeit als auch Integritat wird geschutzt, mittels eines SHA256-Hashes als Schlussel fur einen oder beide der oben beschriebenen Schlussel. Hinzugefugt in Version 250. decrypt Eingabe|- [Ausgabe|-] Macht den Effekt der Aktion encrypt ruckgangig; ladt die angegebene (verschlusselte Chriffre-)-Eingabedatei, entschlusselt und authentifiziert sie und schreibt die (entschlusselte Klartext-)Ausgabe in die angegebene Ziel-Zugangsberechtigungsdatei. Akzeptiert einen oder zwei Dateisystempfade. Der Dateinamenanteil des Eingabepfads wird mit dem in der verschlusselten Datei eingebetteten Zugangsberechtigungsnamen verglichen. Falls diese nicht ubereinstimmen, schlagt die Entschlusselung fehl. Dies erfolgt, um sicherzustellen, dass verschlusselte Zugangsberechtigungsdaten nicht fur andere Zwecke umgewidmet werden, ohne dass dies erkannt wird. Der mit dem eingebetteten Zugangsberechtigungsnamen zu vergleichende Zugangsberechtigungsname kann mit dem Schalter --name= ausser Kraft gesetzt werden. Falls der Eingabepfad als >>-<< angegeben wurde, wird die verschlusselte Zugangsberechtigung von der Standardeingabe gelesen. Falls nur ein Pfad angegeben ist oder der Ausgabepfad als >>-<< angegeben wurde, wird die entschlusselte Zugangsberechtigung auf die Standardausgabe geschrieben. In diesem Modus kann der eingebettete Name in der Zugangsberechtigung nicht aus dem Pfad abgeleitet werden und sollte explizit mit --name= angegeben werden. Entschlusseln von Zugangsberechtigungen benotigt Zugriff auf den ursprunglichen TPM2-Chipsatz und/oder den Zugangsberechtigungs-Rechnerschlussel, siehe oben. Informationen daruber, welche Schlussel benotigt werden, sind in den verschlusselten Zugangsberechtigungsdaten eingebettet und die Entschlusselung ist daher vollstandig automatisiert. Hinzugefugt in Version 250. has-tpm2 Berichtet, ob das System mit einem TPM2-Chips ausgestattet ist, der fur den Schutz von Zugangsberechtigungen verwendbar ist. Falls ein TPM2-Chip erkannt wurde, der unterstutzt und von der Firmware, den Betriebssystem-Kernel und durch den Anwendungsraum (d.h. Systemd) verwandt wird, wird hier >>yes<< ausgegeben und mit dem Exit-Status Null beendet. Falls kein solches Gerat erkannt/unterstutzt/verwandt wird, wird >>no<< ausgegeben. Andernfalls wird >>partial<< ausgegeben. In beiden der letzteren Falle wird mit einem Exit-Status ungleich Null beendet. Es werden auch vier Zeilen ausgeben, die getrennt angeben, ob Firmware, Treiber, das System und der Kernel den TPM2 erkannten/unterstutzen/verwenden. Kombinieren Sie mit --quiet, um die Ausgabe zu unterdrucken. Hinzugefugt in Version 251. -h, --help Zeigt einen kurzen Hilfetext an und beendet das Programm. --version Zeigt eine kurze Versionszeichenkette an und beendet das Programm. OPTIONEN --system Agiert auf den Zugangsberechtigungen fur das System als Ganzes anstatt denen, die im aktuellen Ausfuhrungskontext ubergeben wurden, wenn dies zusammen mit den Befehlen list und cat angegeben wird. Dies ist in Container-Umgebungen nutzlich, bei denen Zugangsberechtigungen von dem Container-Verwalter ubergeben werden konnen. Hinzugefugt in Version 250. --transcode= Wandelt die Ausgabe fur die Anzeige um, wenn dies zusammen mit den Befehlen cat oder decrypt angegeben wird. Akzeptiert entweder >>base64<<, >>unbase64<<, >>hex<< oder >>unhex<< als Argument, um die Zugangsdaten mit Base64 oder einer Reihe von hexadezimalen Werten zu (de)kodieren. Beachten Sie, dass dies beim Befehl encrypt keine Auswirkung hat, da die verschlusselten Zugangsberechtigungen bedingungslos in Base64 kodiert sind. Hinzugefugt in Version 250. --newline= Steuert, ob ein abschliessendes Zeilenumbruchszeichen am Ende hinzugefugt wird, falls dies nicht bereits sowieso der Fall ist, wenn dies zusammen mit den Befehlen cat oder decrypt angegeben wird. Akzeptiert entweder >>auto<<, >>yes<< oder >>no<<. Der Vorgabemodus >>auto<< wird der Ausgabe nur ein einzelnes Zeilenumbruchzeichen anhangen, wenn die Zugangsberechtigungsdaten auf ein TTY geschrieben werden. Hinzugefugt in Version 250. --pretty, -p Steuert, ob die verschlusselten Zugangsberechtigungen als Einstellung SetCredentialEncrypted= angezeigt werden sollen, die dann direkt in eine Unit-Datei kopiert werden kann, wenn dies zusammen mit dem Befehl encrypt angegeben wird. Hat nur Auswirkungen, wenn es zusammen mit --name= und >>-<< als die Augabedatei verwandt wird. Hinzugefugt in Version 250. --name=Name Steuert den Namen der Zugangsberechtigung, der in die verschlusselten Zugangsberechtigungsdaten eingebettet werden soll, wenn dies zusammen mit dem Befehl encrypt angegeben wird. Falls nicht angegeben, wird der Name automatisch aus der Dateinamenkomponente des angegebenen Ausgabepfades ausgewahlt. Falls als leere Zeichenkette angegeben, wird kein Zugangsberechtigungsname in der verschlusselten Zugangsberechtigung eingebettet und bei der Entschlusselung der Zugangsberechtigung erfolgt keine Uberprufung des Zugangsberechtigungsnamens. Steuert den Zugangsberechtigungsnamen, der zum Validieren des in der verschlusselten Zugangsberechtigung eingebetteten Zugangsberechtigungsnamens verwandt werden soll, wenn dies zusammen mit dem Befehl decrypt angegeben wird. Falls nicht angegeben, wird der Name automatisch aus der Dateinamenkomponente des angegebenen Eingabepfades ausgewahlt. Falls kein Zugangsberechtigungsname in der verschlusselten Zugangsberechtigungsdatei eingebettet ist (d.h. beim Verschlusseln wurde --name= mit einer leeren Zeichenkette verwandt), hat der angegebene Name keine Wirkung, da keine Validierung des Zugangsberechtigungsnamens erfolgt. Einbetten des Zugangsberechtigungsnamens in der verschlusselten Zugangsberechtigung erfolgt, um gegen die Wiederverwendung von Zugangsberechtigungen fur andere als die ursprunglich geplanten Zwecke zu schutzen, wobei angenommen wird, dass der Name der Zugangsberechtigung sorgfaltig gewahlt wird, um seinen geplanten Zweck zu kodieren. Hinzugefugt in Version 250. --timestamp=Zeitstempel Steuert den in die verschlusselte Zugangsberechtigung einzubettenden Zeitstempel, wenn dies zusammen mit dem Befehl encrypt angegeben wird. Standardmassig die aktuelle Zeit. Akzeptiert einen Zeitstempel in dem in systemd.time(7) beschriebenen Format. Steuert den Zeitstempel, der zum Validieren des >>not-after<<-Zeitstempels verwandt werden soll, der mit --not-after= wahrend der Verschlusselung konfiguriert wurde, wenn dies zusammen mit dem Befehl decrypt angegeben wird. Falls nicht angegeben, ist die Vorgabe die aktuelle Systemzeit. Hinzugefugt in Version 250. --not-after=Zeitstempel Steuert die Zeit, ab der die Zugangsberechtigung nicht mehr verwandt werden soll, wenn dies zusammen mit dem Befehl encrypt angegeben wird. Dies bettet den angegebenen Zeitstempel in die verschlusselten Zugangsberechtigungen ein. Wahrend der Entschlusselung wird der Zeitstempel gegen die aktuelle Systemzeit gepruft und falls der Zeitstempel in der Vergangenheit liegt, wird die Entschlusselung fehlschlagen. Standardmassig wird kein solcher Zeitstempel gesetzt. Akzeptiert einen Zeitstempel in dem in systemd.time(7) beschriebenen Format. Hinzugefugt in Version 250. --with-key=, -H, -T Steuert den zu verwendenden Verschlusselungs-/Signaturschlussel, wenn dies zusammen mit dem Befehl encrypt angegeben wird. Akzeptiert entweder >>host<<, >>tpm2<<, >>host+tpm2<<, >>tpm2-absent<<, >>auto<< oder >>auto-initrd<<. Siehe oben fur Details uber die drei Schlusseltypen. Falls auf >>auto<< gesetzt (die Vorgabe), wird der TPM2-Schlussel verwandt, falls ein TPM2-Gerat gefunden und die Ausfuhrung nicht in einem Container ist. Der Rechnerschlussel wird verwandt, falls /var/lib/systemd/ auf einem dauerhaften Medium ist. Dies bedeutet, dass auf typischen Systemen die Verschlusselung standardmassig sowohl an den TPM2-Chip als auch die Betriebssysteminstallation gebunden ist und beide verfugbar sein mussen, um die Zugangsberechtigung wieder zu entschlusseln. Falls >>auto<< ausgewahlt ist und weder ein TPM2 verfugbar ist (oder die Ausfuhrung in einem Container stattfindet) noch /var/lib/systemd/ auf dauerhaftem Medium vorhanden ist, wird die Verschlusselung fehlschlagen. Falls auf >>tpm2-absent<< gesetzt wird ein Schlussel der festen Lange Null verwandt (und daher wird in diesem Modus keine Vertraulichkeit oder Authentizitat bereitgestellt!). Diese Logik ist fur Systeme nutzlich, die keinen TPM2-Chip haben, aber auf den Zugangsberechtigungen erzeugt werden sollen. Beachten Sie, dass die Entschlusselung solcher Zugangsberechtigungen auf Systemen, die einen TPM2-Chip haben und bei denen UEFI-SecureBoot aktiviert ist, abgelehnt wird (dies erfolgt, da solche verrigelten Systeme nicht in das Laden einer auf dieser Weise erzeugten Zugangsberechtigung, der die Authentifizierungsinformation fehlt, verfuhrt werden konnen). Falls auf >>auto-initrd<< gesetzt, wird ein TPM2-Schlussel verwandt, falls er gefunden wird. Andernfalls wird ein Schlussel der festen Lange Null verwandt, aquivalent zum Modus >>tpm2-absent<<. Diese Option ist insbesondere nutzlich, um Zugangsberechtigungsdateien zu erstellen, die gegen einen TPM2-Chip verschlusselt/authentifiziert sind, wenn dieser verfugbar ist, aber dennoch auf Systemen funktioniert, denen die Unterstutzung fur einen solchen fehlt. Der Schalter -H ist eine Abkurzung fur --with-key=host. Entsprechend ist -T eine Abkurzung fur --with-key=tpm2. Bei der Verschlusselung von Zugangsberechtigungen, die in der Initrd verwandt werden sollen, bei der /var/lib/systemd/ typischerweise nicht verfugbar ist, sollte sichergestellt werden, dass der Modus --with-key=auto-initrd verwandt wird, um die Anbindung an das Rechnergeheimnis auszuschalten. Dieser Schalter hat beim Befehl decrypt keine Auswirkung, da Informationen uber den fur die Entschlusselung zu verwendenden Schlussel bereits in der verschlusselten Zugangsberechtigung enthalten sind. Hinzugefugt in Version 250. --tpm2-device=PFAD Steuert das zu verwendende TPM2-Gerat. Erwartet einen Gerateknotenpfad, der sich auf einen TPM2-Chip bezieht (z.B. /dev/tpmrm0). Alternativ kann der besondere Wert >>auto<< angegeben werden, um den Gerateknoten eines geeigneten TPM2-Gerates automatisch zu bestimmen (von denen es genau einen geben darf). Der besondere Wert >>list<< kann zum Aufzahlen aller derzeit ermittelten geeigneten TPM2-Gerate verwandt werden. Hinzugefugt in Version 250. --tpm2-pcrs= [PCR] Konfiguriert die TPM2-PCRs (Plattformkonfigurationsregister), in die der Verschlusselungsschlussel gebunden werden soll. Akzeptiert eine durch >>+<< getrennte Liste von numerischen PCR-Indices im Bereich 023. Falls nicht benutzt, ist die Vorgabe nur PCR 7. Falls eine leere Liste angegeben ist, wird der Verschlusselungsschlussel an uberhaupt kein PCR gebunden. Fur Details uber die verfugbaren PCRs siehe die Dokumentation des Schalters mit dem gleichen Namen in systemd-cryptenroll(1). Hinzugefugt in Version 250. --tpm2-public-key= [PFAD], --tpm2-public-key-pcrs= [PCR] Konfiguriert zur Verwendung mit dem Befehl encrypt eine TPM2-signierte PCR-Richtlinie, an die die Verschlusselung gebunden werden soll. Die Option --tpm2-public-key= akzeptiert einen Pfad zu einem PEM-kodierten offentlichen RSA-Schlussel, an den die Verschlusselung gebunden werden soll. Falls dies nicht explizit angegeben ist, aber die Datei tpm2-pcr-public-key.pem in einer der (in dieser Reihenfolge durchsuchten) Verzeichnisse /etc/systemd/, /run/systemd/, /usr/lib/systemd/ existiert, wird sie automatisch verwandt. Die Option --tpm2-public-key-pcrs= akzeptiert eine Liste von TPM2-PCR-Indices, an die angebunden werden soll (gleiche Syntax wie die oben beschriebene --tpm2-pcrs=). Falls nicht angegeben ist die Vorgabe 11 (d.h. dies bindet die Richtlinie an ein vereinigtes Kernelabbild, fur das eine PCR-Signatur bereitgestellt werden kann). Beachten Sie den Unterschied zwischen --tpm2-pcrs= und --tpm2-public-key-pcrs=: Ersterer bindet die Entschlusselung an die aktuellen, angegebenen PCR-Werte; Letzteres bindet die Entschlusselung an eine Gruppe von PCR-Werten, fur die eine Signatur durch den angegebenen offentlichen Schlussel bereitgestellt werden kann. Leztere ist daher in Szenarien nutzlicher, bei denen Software-Aktualisierungen moglich sein sollen, ohne Zugriff auf alle vorher verschlusselten Geheimnisse zu verlieren. Hinzugefugt in Version 252. --tpm2-signature= [PFAD] Akzeptiert einen Pfad zu einer TPM2-PCR-Signaturdatei, wie sie vom Werkzeug systemd-measure(1) erstellt wurde und die es dem Befehl decrypt erlaubt, die Zugangsberechtigungen zu entschlusseln, die an bestimmte signierte PCR-Werte gebunden sind. Falls dies nicht explizit angegeben ist und die Entschlusselung einer Zugangsberechtigung mit einer signierten PCR-Richtlinie versucht wird, wird nach einer geeigneten Signaturdatei tpm2-pcr-signature.json in /etc/systemd/, /run/systemd/, /usr/lib/systemd/ (in dieser Reihenfolge) gesucht und diese verwandt. Hinzugefugt in Version 252. --quiet, -q Wird dies zusammen mit has-tpm2 verwandt, dann wird die Ausgabe unterdruckt und nur ein Exit-Status zuruckgeliefert, der anzeigt, ob TPM2-Unterstutzung vorhanden ist. Hinzugefugt in Version 251. --no-pager Leitet die Ausgabe nicht an ein Textanzeigeprogramm weiter. --no-legend Gibt die Legende nicht aus, d.h. die Spaltenkopfe und die Fusszeile mit Hinweisen. --json=MODUS Zeigt die Ausgabe als JSON formatiert. Erwartet entweder >>short<< (fur die kurzest mogliche Ausgabe ohne unnotigen Leerraum oder Zeilenumbruche), >>pretty<< (fur eine schonere Version der gleichen Ausgabe, mit Einzugen und Zeilenumbruchen) oder >>off<< (um die standardmassig aktivierte JSON-Ausgabe auszuschalten). EXIT-STATUS Bei Erfolg wird 0 zuruckgeliefert. Liefert 0 beim Befehl has-tpm2 zuruck, falls ein TPM2-Gerat erkannt wurde, unterstutzt ist und von der Firmware, dem Treiber und dem Anwendungsraum (d.h. Systemd) verwandt wird. Liefert andernfalls die ODER-Kombination der Werte 1 (falls die Firmware-Unterstutzung fehlt), 2 (falls die Treiber-Unterstutzung fehlt) und 4 (falls die Unterstutzung des Anwendungsraums fehlt). Falls uberhaupt keine TPM2-Unterstutzung verfugbar ist, wird daher der Wert 7 zuruckgeliefert. BEISPIELE Beispiel 1. Verschlusselt ein Passwort zur Verwendung als Zugangsberechtigung Die folgende Befehlszeile verschlusselt das angegebene Passwort >>hunter2<< und schreibt das Ergebnis in eine Datei password.cred. # echo -n hunter2 | systemd-creds encrypt - password.cred Dies entschlusselt die Datei password.cred wieder und legt damit das eigentliche Passwort offen: # systemd-creds decrypt password.cred hunter2 Beispiel 2. Verschlusselt ein Passwort und nimmt es in eine Unit-Datei auf Die folgende Befehlszeile bittet den Benutzer um ein Passwort und erstellt daraus eine SetCredentialEncrypted=-Zeile fur eine Zugangsberechtigung namens >>mysql-password<<, geeignet fur die Aufnahme in eine Unit-Datei. # systemd-ask-password -n | systemd-creds encrypt --name=mysql-password -p - - Password: **** SetCredentialEncrypted=mysql-password: \ k6iUCUh0RJCQyvL8k8q1UyAAAAABAAAADAAAABAAAAASfFsBoPLIm/dlDoGAAAAAAAAAA \ NAAAAAgAAAAAH4AILIOZ3w6rTzYsBy9G7liaCAd4i+Kpvs8mAgArzwuKxd0ABDjgSeO5k \ mKQc58zM94ZffyRmuNeX1lVHE+9e2YD87KfRFNoDLS7F3YmCb347gCiSk2an9egZ7Y0Xs \ 700Kr6heqQswQEemNEc62k9RJnEl2q7SbcEYguegnPQUATgAIAAsAAAASACA/B90W7E+6 \ yAR9NgiIJvxr9bpElztwzB5lUJAxtMBHIgAQACCaSV9DradOZz4EvO/LSaRyRSq2Hj0ym \ gVJk/dVzE8Uxj8H3RbsT7rIBH02CIgm/Gv1ukSXO3DMHmVQkDG0wEciyageTfrVEer8z5 \ 9cUQfM5ynSaV2UjeUWEHuz4fwDsXGLB9eELXLztzUU9nsAyLvs3ZRR+eEK/A== Die erstellte Zeile kann 1:1 in eine Unit-Datei eingefugt werden und wird sicherstellen, dass das erlangte Passwort in der Zugangsberechtigungsdatei $CREDENTIALS_DIRECTORY/mysql-password fur den gestarteten Dienst zur Verfugung gestellt wird. Unter Verwendung der Unit-Datei-Erganzungslogik kann dies zur sicheren Ubergabe einer Passwort-Zugangsberechtigung an eine Unit verwandt werden. Eine ahnliche, umfassende Gruppe an Befehlen zum Einfugen eines Passworts in einen Dienst xyz.service: # mkdir -p /etc/systemd/system/xyz.service.d # systemd-ask-password -n | ( echo "[Service]" && systemd-creds encrypt --name=MySQL-Passwort -p - - ) >/etc/systemd/system/xyz.service.d/50-password.conf # systemctl daemon-reload # systemctl restart xyz.service SIEHE AUCH systemd(1), systemd.exec(5), systemd-measure(1) ANMERKUNGEN 1. System- und Dienste-Zugangsberechtigungen https://systemd.io/CREDENTIALS UBERSETZUNG Die deutsche Ubersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. Diese Ubersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezuglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG ubernommen. Wenn Sie Fehler in der Ubersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Ubersetzer . systemd 255 SYSTEMD-CREDS(1)