SYSTEMD.IMAGE-POLICY(7) systemd.image-policy SYSTEMD.IMAGE-POLICY(7) BEZEICHNUNG systemd.image-policy - Plattenabbilder-Analyserichtlinie BESCHREIBUNG In Systemd kann immer, wenn ein Plattenabbild (DDI) aktiviert wird, das die Spezifikation fur auffindbare Partitionen[1] implementiert, eine Richtlinie festgelegt werden, die festlegt, welche Partitionen eingehangt werden und welche Art von kryptographischer Schutz benotigt wird. Eine solche Plattenabbild-Analyserichtlinie ist eine Zeichenkette, die durch Doppelpunkt (>>:<<) getrennte Regeln pro Partitionstyp enthalt. Die einzelnen Regeln bestehen aus einer Partitionskennzeichnung, einem Gleichheitszeichen (>>=<<) und einem oder mehreren Schaltern, die pro Partition gesetzt werden konnen. Falls pro Partition mehrere Schalter festgelegt werden, werden diese durch ein Pluszeichen (>>+<<) getrennt. Die derzeit definierten Partitionskennzeichnungen sind: root, usr, home, srv, esp, xbootldr, swap, root-verity, root-verity-sig, usr-verity, usr-verity-sig, tmp, var. Diese Kennzeichnungen passen auf die entsprechenden Partitionstypen in der Spezifikation der auffindbaren Partitionen, sind aber unabhangig bezuglich der CPU-Architektur. Falls die Partitionskennzeichnung leer gelassen wird, definiert sie die Richtlinie default fur Partitionen, die in der Spezifikation der auffindbaren Partitionen definiert sind und fur die keine Richtlinienschalter explizit in der Richtlinienzeichenkette aufgefuhrt sind. Die folgenden Partitionsrichtlinienschalter sind definiert, die die Existenz/Abwesenheit, die Verwendung und das Schutzniveau von Partitionen bestimmen: o unprotected fur Partitionen, die existieren und verwandt werden, aber ohne kryptographisches Schutzniveau vorkommen mussen; ihnen fehlt sowohl die Verity-Authentifizierung als auch die LUKS-Verschlusselung. o verity fur Partitionen, die existieren und verwandt werden mussen, mit Verity-Authentifizierung. (Beachten Sie: Falls ein DDI-Abbild eine Datenpartition zusammen mit einer Verity-Partition und einer zugehorigen Signatur-Partition enthalt und nur der Schalter verity (und nicht signed) gesetzt ist, dann wird das Abbild mit Verity eingerichtet, aber die Signaturdaten werden nicht verwandt. Oder in anderen Worten: Jedes DDI mit einer Reihe von Partitionen, die fur signature und implizit fur verity geeignet sind, und tatsachlich auch fur unprotected). o signed fur Partitionen, die existieren und verwandt werden mussen, mit Verity-Authentifizierung, die von einer PKCS#7-Signatur des Verity-Wurzel-Hashes begleitet wird. o encrypted fur Partitionen, die existieren und verwandt werden mussen und die mit LUKS verschlusselt sind. o unused fur Partitionen, die existieren mussen, aber nicht verwandt werden durfen. o absent fur Partitionen, die im Abbild nicht existieren durfen. Durch Setzen einer Kombination der obigen Schalter konnen Alternativen erklart werden. Die Kombination >>unused+absent<< bedeutet beispielsweise: Die Partition darf existieren (dann darf sie aber nicht benutzt werden) oder kann abwesend sein. Die Kombination >>unprotected+verity+signed+encrypted+unused+absent<< kann uber die besondere Abkurzung >>open<< festgelegt werden und zeigt an, dass die Partition existieren oder abwesend sein darf, aber falls sie existiert, wird sie unabhangig von dem Schutzniveau verwandt. Und die besondere Regel: Falls keine der obigen Schalter fur eine aufgelistete Partitionskennzeichnung gesetzt ist, ist die Standardrichtlinie open impliziert, d.h. wird keine dieser oben dargestellten Schalter gesetzt werden effektiv alle oben aufgefuhrten Schalter gesetzt. Die folgenden Partitionsrichtlinienschalter sind definiert, die den Zustand konkreter GPT-Partitionsschalter bestimmen: o read-only-off, read-only-on um zu verlangen, dass bei den Partitionen der Partitions-Schreibschutzschalter aus oder an ist. o growfs-off, growfs-on um zu verlangen, dass bei den Partitionen der Partitions-Wachstumsschalter aus oder an ist. Wenn fur eine Partition sowohl read-only-off als auch read-only-on gesetzt sind, dann wird der Zustand des Schreibschutzschalters fur die Partition nicht durch die Richtlinie bestimmt. Wird keiner der Schalter gesetzt ist dies aquivalent zum Setzen von beiden, d.h. Setzen keiner dieser Schalter bedeutet effektiv das Setzen beider. Eine ahnliche Logik gilt fur growfs-off/growfs-on. Falls Partitionen nicht innerhalb einer Abbild-Richtlinien-Zeichenkette aufgefuhrt sind, dann werden die Standard-Richtlinienschalter angewandt (konfigurierbar uber eine leere Partitionskennzeichnung, siehe oben). Falls keine Standard-Richtlinien-Schalter in der Richtlinienzeichenkette konfiguriert sind, wird sie als >>absent+unused<< impliziert, ausser fur die Verity-Partition und ihre Signatur-Partitionen, wo die Richtlinie automatisch vom minimalen Schutzniveau der Daten-Partition, die sie schutzt und dies in deren Richtlinie kodiert ist, abgeleitet wird. BESONDERE RICHTLINIEN Die besondere Abbild-Richtlinienzeichenkette >>*<< ist kurz fur >>alles verwenden<<, d.h. sie ist aquivalent zu: =verity+signed+encrypted+unprotected+unused+absent Die besondere Abbild-Richtlinienzeichenkette >>-<< ist kurz fur >>nichts verwenden<<, d.h. sie ist aquivalent zu: =unused+absent Die besondere Abbild-Richtlinienzeichenkette >>~<< ist kurz fur >>alles muss abwesend sein<<, d.h. sie ist aquivalent zu: =absent USE Die meisten Systemd-Komponenten, die den Betrieb mit Plattenabbildern unterstutzen, unterstutzen auch die Befehlszeilenoption --image-policy=, um die zu verwendende Abbildrichtlinie festzulegen. Dabei ist die Vorgabe eine recht offene Richtlinie (typischerweise die oben beschriebene Richtlinie >>*<<) unter der Annahme, dass das Vertrauen in Plattenabbilder etabliert wird, bevor die Abbilder an das entsprechende Programm ubergeben werden. Fur das Hauptbetriebssystemabbild selbst ist systemd-gpt-auto-generator(8) fur die Verarbeitung der GPT-Partitionstabelle verantwortlich. Es verwendet dabei die enthaltenen, auffindbaren Partitionen. Es akzeptiert eine Abbildrichtlinie uber die Kernelbefehlszeilenoption systemd.image-policy=. Beachten Sie, dass Plattenabbildrichtlinien nicht vorgeben, wie die Komponenten die Plattenabbilder einhangen und verwenden - sie geben nur vor, welche Teile vermieden werden sollen und welches Schutzniveau und -Arrangement benotigt wird, wahrend sie sie einhangen. Beispielsweise kummert sich systemd-sysext(8) nur um die Baume /usr/ und /opt/ innerhalb eines Plattenabbildes und ignoriert in allen Fallen samtliche /home/-Partitionen (und ahnliche), die im Abbild enthalten sein konnten, unabhangig davon, ob die konfigurierte Abbildrichtlinie den Zugriff darauf erlauben wurde oder nicht. In gleicher Weise wird systemd-nspawn(1) keinerlei erkannte Auslagerungsgerate verwenden, unabhangig davon, ob die Richtlinie es erlauben wurde oder nicht. Verwenden Sie den Befehl image-policy des Werkzeugs systemd-analyze(8), um Abbildrichtlinienzeichenketten zu untersuchen und zu bestimmen, was eine bestimmte Richtlinienzeichenkette fur eine bestimmte Partition bedeutet. BEISPIELE Die folgende Abbildrichtlinienzeichenkette bestimmt, dass nur eine schreibgeschutzte Verity-aktivierte usr/-Partition existieren darf, sowie verschlusselte Wurzel- und Auslagerungspartitionen. Alle anderen Partitionen mussen ignoriert werden: usr=verity+read-only-on:root=encrypted:swap=encrypted Die folgende Abbildrichtlinienzeichenkette bestimmt, dass ein verschlusseltes, schreibbares Wurzeldateisystem und optional /srv/-Dateisystem, dass bei Existenz verschlusselt sein muss, existieren durfen und keine Auslagerungspartition existieren darf: root=encrypted+read-only-off:srv=encrypted+absent:swap=absent Die folgende Abbildrichtlinienzeichenkette bestimmt, dass eine einzelne, moglicherweise verschlusselte Wurzelpartion existiert und Auslagerungspartitionen ignoriert werden und alle anderen Paritionen verwandt werden, falls sie (moglicherweise verschlusselt) verfugbar sind. root=unprotected+encrypted:swap=absent+unused:=unprotected+encrypted+absent SIEHE AUCH systemd(1), systemd-dissect(1), systemd-gpt-auto-generator(8), systemd-sysext(8), systemd-analyze(8) ANMERKUNGEN 1. Spezifikation fur auffindbare Partitionen https://uapi-group.org/specifications/specs/discoverable_partitions_specification UBERSETZUNG Die deutsche Ubersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. Diese Ubersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezuglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG ubernommen. Wenn Sie Fehler in der Ubersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Ubersetzer . systemd 255 SYSTEMD.IMAGE-POLICY(7)