SYSTEMD.PCRLOCK(5) systemd.pcrlock SYSTEMD.PCRLOCK(5) BEZEICHNUNG systemd.pcrlock, systemd.pcrlock.d - Vorhersagedateien fur PCR-Messungen UBERSICHT /etc/pcrlock.d/*.pcrlock /etc/pcrlock.d/*.pcrlock.d/*.pcrlock /run/pcrlock.d/*.pcrlock /run/pcrlock.d/*.pcrlock.d/*.pcrlock /var/lib/pcrlock.d/*.pcrlock /var/lib/pcrlock.d/*.pcrlock.d/*.pcrlock /usr/local/pcrlock.d/*.pcrlock /usr/local/pcrlock.d/*.pcrlock.d/*.pcrlock /usr/lib/pcrlock.d/*.pcrlock /usr/lib/pcrlock.d/*.pcrlock.d/*.pcrlock BESCHREIBUNG Dateien *.pcrlock definieren erwartete TPM2-PCR-Messungen von Komponenten, die am Systemstartprozess beteiligt sind. systemd-pcrlock(8) verwendet solche Pcrlock-Dateien, um TPM2-PCR-Messungen zu analysieren und vorherzusagen. Die Pcrlock-Dateien sind JSON-Felder, die einer Teilmenge der Spezifikation Gemeinsames TCG-Ereignisprotokollformat (CEL-JSON)[1] folgen. Insbesondere die Datensatze >>recnum<<, >>content<< und >>content_type<< werden nicht verwandt und - falls vorhanden - ignoriert. Jede Pcrlock-Datei definiert eine Gruppe der erwarteten, geordneten PCR-Messungen einer bestimmten Komponente des Systemstarts. Dateien *.pcrlock konnen in verschiedene Erganzungsverzeichnissen .d/ abgelegt werden (die vollstandige Liste finden Sie oben). Alle in diesen Verzeichnissen erkannten passenden Dateien werden alphabetisch gemass ihres Dateinamens sortiert (wobei das tatsachliche Verzeichnis, in dem sie gefunden wurden, nicht berucksichtigt wird). Es wird erwartet, dass Pcrlock-Dateien, deren Name alphabetisch fruher sortiert werden, Messungen abdecken, die vor denen erfolgen, deren Namen alphabetisch spater kommen. Damit die Positionierung von Pcrlock-Dateien im Systemstartprozess bequem wird, wird erwartet, dass die Namen dem Schema >>NNN-Komponente.pcrlock<< folgen, wobei NNN eine dezimale Zahl mit drei Ziffern ist (Beispiel: 750-enter-initrd.pcrlock). Dies ist eine Konvention und wird nicht erzwungen. Es muss fur verschiedene Komponenten des Systemstartprozesses mehr als eine alternative Pcrlock-Datei unterstutzt werden (d.h. >>Varianten<<), um in der Zugriffsrichtlinie beispielsweise mehrere, parallel installierte Kernel oder mehrere Versionen des Systemstartprogramms abzudecken. Dies kann durch Platzieren *.pcrlock.d/*.pcrlock in den Erganzungsverzeichnissen passieren, d.h. einem gemeinsamen Verzeichnis fur alle bestimmten Komponenten, das eine oder mehrere Pcrlock-Dateien enthalt, die jeweils eine Variante der Komponente abdecken. Beispiel: 650-kernel.pcrlock.d/6.5.5-200.fc38.x86_64.pcrlock und 650-kernel.pcrlock.d/6.5.7-100.fc38.x86_64.pcrlock Verwenden Sie systemd-pcrlock list-components, um alle derzeit installierten Pcrlock-Dateien aufzulisten. Verwenden Sie die verschiedenen Befehle lock-* von systemd-pcrlock(8), um automatisch geeignete Pcrlock-Dateien fur verschiedene Ressourcentypen zu erstellen. GUT BEKANNTE KOMPONENTEN Komponenten des Systemstartprozesses konnen vom Administrator oder Betriebssystemlieferanten frei definiert werden. Allerdings sind die folgenden Komponenten gut bekannt und durch Systemd definiert. Die nachfolgende Liste ist zur Sortierung lokaler Pcrlock-Dateien in Anbetracht dieser Komponenten des Systemstarts nutzlich. 240-secureboot-policy.pcrlock Die Richtlinie des sicheren Systemstarts, wie in PCR 7 aufgezeichnet. Kann mittels systemd-pcrlock lock-secureboot-policy erstellt werden. Hinzugefugt in Version 255. 250-firmware-code-early.pcrlock Firmwarecode-Messungen, wie in PCR 0 und 2 aufgezeichnet, bis zur Trennungsmessung (siehe nachfolgenden 400-secureboot-separator.pcrlock). Kann mittels systemd-pcrlock lock-firmware-code erstellt werden. Hinzugefugt in Version 255. 250-firmware-config-early.pcrlock Firmware-Konfigurationsmessungen, wie in PCR 1 und 3 aufgezeichnet, bis zur Trennungsmessung (siehe nachfolgenden 400-secureboot-separator.pcrlock). Kann mittels systemd-pcrlock lock-firmware-config erstellt werden. Hinzugefugt in Version 255. 350-action-efi-application.pcrlock Die einmalig durch die Firmware erfolgte Messung der EFI >>Anwendung<<. Statisch definiert. Hinzugefugt in Version 255. 400-secureboot-separator.pcrlock Die einmalig durch die Firmware auf PCR 7 des EFI >>Trenners<< erfolgte Messung, um anzuzeigen, wo die Firmware den Ubergang in das Systemstartprogramm/unter die Steuerung des Betriebssystems steuert. Statisch definiert. Hinzugefugt in Version 255. 500-separator.pcrlock Die einmalig durch die Firmware auf PCRs 0-6 des EFI >>Trenner<< erfolgten Messungen, um anzuzeigen, wo die Firmware den Ubergang in das Systemstartprogramm/unter die Steuerung des Betriebssystems steuert. Statisch definiert. Hinzugefugt in Version 255. 550-firmware-code-late.pcrlock Firmware-Code-Messungen, wie in PCR 0 und 2 aufgezeichnet, nach der Trennungsmessung (siehe vorstehenden 400-secureboot-separator.pcrlock). Kann mittels systemd-pcrlock lock-firmware-code erstellt werden. Hinzugefugt in Version 255. 550-firmware-config-late.pcrlock Firmware-Konfigurationsmessungen, wie in PCR 1 und 3 aufgezeichnet, nach der Trennungsmessung (siehe vorstehenden 400-secureboot-separator.pcrlock). Kann mittels systemd-pcrlock lock-firmware-config erstellt werden. Hinzugefugt in Version 255. 600-gpt.pcrlock Die GPT-Partitionstabelle des Startmediums, wie durch die Firmware in PCR 5 aufgezeichnet. Kann mittels systemd-pcrlock lock-gpt erstellt werden. Hinzugefugt in Version 255. 620-secureboot-authority.pcrlock Die Autoritat des sicheren Systemstarts, wie in PCR 7 aufgezeichnet. Kann mittels systemd-pcrlock lock-secureboot-authority erstellt werden. Hinzugefugt in Version 255. 700-action-efi-exit-boot-services.pcrlock Die EFI-Aktion, die erstellt wird, wenn ExitBootServices() erstellt wird, d.h. die UEFI-Umgebung wird verlassen und das Betriebssystem ubernimmt. Deckt die PCR-5-Messung ab. Statisch definiert. Hinzugefugt in Version 255. 710-kernel-cmdline.pcrlock Die Kernel-Befehlszeile, wie vom Linux-Kernel in PCR 9 eingemessen. Kann mittels systemd-pcrlock lock-kernel-cmdline erstellt werden. Hinzugefugt in Version 255. 720-kernel-initrd.pcrlock Die Kernel-Initrd, wie vom Linux-Kernel in PCR 9 eingemessen. Kann mittels systemd-pcrlock lock-kernel-initrd erstellt werden. Hinzugefugt in Version 255. 750-enter-initrd.pcrlock Die von systemd-pcrphase-initrd.service(8) durchgefuhrte Messung in PCR 11, wenn sich die Initrd initialisiert. Statisch definiert. Hinzugefugt in Version 255. 800-leave-initrd.pcrlock Die von systemd-pcrphase-initrd.service(8) durchgefuhrte Messung in PCR 11, wenn sich die Initrd beendet. Statisch definiert. Hinzugefugt in Version 255. 820-machine-id.pcrlock Die von systemd-pcrmachine.service(8) beim Systemstart durchgefuhrte Messung in PCR 15, deckt den Inhalt von /etc/machine-id ab. Kann mittels systemd-pcrlock lock-machine-id erstellt werden. Hinzugefugt in Version 255. 830-root-file-system.pcrlock Die von systemd-pcrfs-root.service(8) beim Systemstart durchgefuhrte Messung in PCR 15, deckt die Identitat des Wurzeldateisystems ab. Kann mittels systemd-pcrlock lock-file-system erstellt werden. Hinzugefugt in Version 255. 850-sysinit.pcrlock Die Messung von systemd-pcrphase-sysinit.service(8) in PCR 11 erfolgt, wenn der Haupt-Anwendungsraum die grundlegende Initialisierung durchgefuhrt hat und jetzt damit beginnt, regulare Systemdienste zu starten. Statisch definiert. Hinzugefugt in Version 255. 900-ready.pcrlock Die Messung von systemd-pcrphase.service(8) in PCR 11 erfolgt, wenn das System komplett hochgefahren ist. Statisch definiert. Hinzugefugt in Version 255. 950-shutdown.pcrlock Die Messung von systemd-pcrphase.service(8) in PCR 11 erfolgt, wenn das System mit dem Herunterfahren beginnt. Statisch definiert. Hinzugefugt in Version 255. 990-final.pcrlock Die Messung von systemd-pcrphase-sysinit.service(8) in PCR 11 erfolgt, wenn das System kurz vor dem Abschliessen des Herunterfahrens ist. Statisch definiert. Hinzugefugt in Version 255. SIEHE AUCH systemd(1), systemd-pcrlock(1) ANMERKUNGEN 1. Gemeinsames TCG-Ereignisprotokollformat (CEL-JSON) https://trustedcomputinggroup.org/resource/canonical-event-log-format/ UBERSETZUNG Die deutsche Ubersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. Diese Ubersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezuglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG ubernommen. Wenn Sie Fehler in der Ubersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Ubersetzer . systemd 255 SYSTEMD.PCRLOCK(5)