SYSTEMD-CRYPTSETUP(8) systemd-cryptsetup SYSTEMD-CRYPTSETUP(8) BEZEICHNUNG systemd-cryptsetup, systemd-cryptsetup@.service - Logik fur vollstandige Plattenverschlusselung UBERSICHT systemd-cryptsetup [OPTIONEN] attach DATENTRAGER QUELLGERAT [SCHLUSSELDATEI] [KONFIG] systemd-cryptsetup [OPTIONEN] detach DATENTRAGER systemd-cryptsetup@.service system-systemd\x2dcryptsetup.slice BESCHREIBUNG systemd-cryptsetup wird zum Einrichten (mit attach) und Herunterbringen (mit detach) des Zugriffs auf ein verschlusseltes Blockgerat verwandt. Es ist hauptsachlich zum Einsatz mit systemd-cryptsetup@.service(8) wahrend der fruhen Systemstartphase gedacht, kann aber auch handisch aufgerufen werden. Die positionsabhangigen Argumente DATENTRAGER, QUELLGERAT, SCHLUSSELDATEI und CRYPTTAB-OPTIONEN haben die gleiche Bedeutung wie die Felder in crypttab(5). systemd-cryptsetup@.service(8) ist ein Dienst, der fur den Zugriff auf verschlusselte Blockgerate verantwortlich ist Er wird fur jedes Gerat, das der Entschlusselung bedarf, instanziiert. systemd-cryptsetup@.service(8)-Instanzen sind Teil der Scheibe system-systemd\x2dcryptsetup.slice, die erst sehr spat im Herunterfahrprozess zerstort wird. Dies ermoglicht es verschlusselten Geraten, im Betrieb zu bleiben, bis die Dateisysteme ausgehangt wurden. Systemd-cryptsetup@.service erfragt gemass der Passwordagent-Logik[1] die Festplattenpassworter, damit die Eingabe des Passworts durch den Benutzer wahrend des Systemstarts und im laufenden Betrieb nach dem korrekten Mechanismus geschieht. In der fruhen Phase des Systemstarts und beim Neuladen der Konfiguration der Systemverwaltung wird die /etc/crypttab von systemd-cryptsetup-generator(8) in Systemd-cryptsetup@.service-Units ubersetzt. Um einen Datentrager zu entsperren, wird ein Passwort oder ein binarer Schlussel benotigt. systemd-cryptsetup@.service versucht, ein geeignetes Passwort oder einen binaren Schlussel zu erlangen, indem in dieser Reihenfolge folgender Mechanismus durchlaufen wird: 1. Falls (mittels der dritten Spalte in /etc/crypttab) explizit eine Schlusseldatei konfiguriert ist, wird ein daraus eingelesener Schlussel verwandt. Falls (mittels der Option pkcs11-uri=, fido2-device= oder tpm2-device=) ein PKCS#11-Token oder TPM2-Gerat konfiguriert ist, wird der Schlussel vor der Verwendung entschlusselt. 2. Falls auf diese Weise keine Schlusseldatei explizit konfiguriert ist, wird eine Schlusseldatei automatisch aus /etc/cryptsetup-keys.d/Datentrager.key und /run/cryptsetup-keys.d/Datentrager.key geladen, falls diese vorhanden sind. Auch hier gilt, dass jeder so gefundene Schlussel vor der Verwendung entschlusselt wird, falls ein PKCS#11-/FIDO2-/TPM2-Token/Gerat konfiguriert ist. 3. Falls die Option try-empty-password angegeben ist, wird das Entsperren des Datentragers mit einem leeren Passwort versucht. 4. Dann wird der Kernel-Schlusselbund auf ein geeignetes zwischengespeichertes Passwort aus vorherigen Versuchen ubepruft. 5. Schliesslich wird der Benutzer nach einem Passwort gefragt, moglicherweise mehrfach, ausser die Option headless ist gesetzt. Falls kein geeigneter Schlussel mittels eines der oben beschriebenen Mechanismen erlangt werden kann, schlagt die Aktivierung des Datentragers fehl. SIEHE AUCH systemd(1), systemd-cryptsetup-generator(8), crypttab(5), systemd-cryptenroll(1), cryptsetup(8), Von Systemd durchgefuhrte TPM2-PCR-Messungen[2] ANMERKUNGEN 1. Passwortagent-Logik https://systemd.io/PASSWORD_AGENTS/ 2. Von Systemd durchgefuhrte TPM2-PCR-Messungen https://systemd.io/TPM2_PCR_MEASUREMENTS UBERSETZUNG Die deutsche Ubersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. Diese Ubersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezuglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG ubernommen. Wenn Sie Fehler in der Ubersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Ubersetzer . systemd 255 SYSTEMD-CRYPTSETUP(8)