systemd-veritysetup-generator - Unit-Generator für
Verity-geschützte Blockgeräte
ÜBERSICHT
/usr/lib/systemd/system-generators/systemd-veritysetup-generator
Systemd-veritysetup-generator ist ein Generator, der
Kernel-Befehlszeilenoptionen, die während der frühen
Systemstartphase oder wenn die Konfiguration des Systemverwaltungsprogramms
neu geladen wird, Verity-geschützte Blockgeräte in native
Systemd-Units konfiguriert. Dies wird
systemd-veritysetup@.service(8)-Units wie notwendig erstellen.
Derzeit können nur zwei Verity-Geräte mit diesem
Generator eingerichtet werden, die das Wurzel- und /usr-Dateisystem des
Betriebssystems hinterlegen.
Systemd-veritysetup-generator implementiert
systemd.generator(7).
Systemd-veritysetup-generator versteht die folgenden
Kernel-Befehlszeilenparameter:
systemd.verity=, rd.systemd.verity=
Erwartet ein logisches Argument.
Standardmäßig »yes«. Falls »no«,
wird der Generator komplett deaktiviert. rd.systemd.verity= wird nur
von der initialen RAM-Platte (Initrd) berücksichtigt, während
systemd.verity= sowohl vom Hauptsystem als auch der Initrd
berücksichtigt wird.
roothash=
Akzeptiert einen Wurzel-Hash-Wert für das
Wurzeldateisystem. Erwartet einen in hexadezimalen Zeichen formatierten
Hash-Wert der geeigneten Länge (d.h. wahrscheinlich 256 Bit/64 Zeichen
oder länger). Falls nicht mittels systemd.verity_root_data= und
systemd.verity_root_hash= angegeben, werden der zu verwendende Hash und
das Datengerät automatisch aus dem festgelegten Hash-Wert abgeleitet.
Insbesondere wird das Daten-Partitionsgerät unter der
GPT-Partitions-UUID, die von den ersten 128 Bit des Wurzel-Hashes abgeleitet
wird, nachgeschaut, das Hash-Partitionsgerät wird unter der
GPT-Partitions-UUID, die von den letzten 128 Bit des Wurzel-Hashes abgeleitet
wird, nachgeschaut. Daher reicht es normalerweise, den Wurzel-Hash anzugeben,
um von einem Verity-geschützten Wurzeldateisystem zu starten, da
Gerätepfade daraus automatisch bestimmt werden — so lange wie
die Partitionstabelle korrekt eingerichtet ist.
systemd.verity_root_data=,
systemd.verity_root_hash=
Diese zwei Einstellungen akzeptieren
Blockgerätepfade als Argumente und können dazu verwandt werden,
explizit die Daten- und die Hash-Partition zu konfigurieren, die zur
Einrichtung des Verity-Schutzes für das Wurzeldateisystem verwandt
werden sollen. Falls nicht angegeben, werden diese Pfade automatisch aus dem
Argument roothash= abgeleitet (siehe oben).
systemd.verity_root_options=
Akzeptiert eine Kommata-getrennte Liste von
dm-verity-Optionen. Erwartet die folgenden Optionen:
ignore-corruption,
restart-on-corruption,
ignore-zero-blocks,
check-at-most-once,
panic-on-corruption und
root-hash-signature. Siehe
veritysetup(8) für weitere
Details.
usrhash=, systemd.verity_usr_data=,
systemd.verity_usr_hash=, systemd.verity_usr_options=
Äquivalent zu ihrem Gegenstück für
das Wurzeldateisystem wie oben beschrieben, aber stattdessen auf das
/usr/-Dateisystem angewandt.
ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von
Helge Kreutzmann <debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die
GNU General
Public License Version 3 oder neuer bezüglich der
Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite
finden, schicken Sie bitte eine E-Mail an die
Mailingliste
der Übersetzer.