VERITYTAB(5) veritytab VERITYTAB(5) BEZEICHNUNG veritytab - Konfiguration fur Verity-Blockgerate UBERSICHT /etc/veritytab BESCHREIBUNG Die Datei /etc/veritytab beschreibt Verity-geschutzte Blockgerate, die wahrend der Systemstartphase eingerichtet werden. Leere Zeilen und Zeilen, die mit >>#<< beginnen, werden ignoriert. Jede der verbleibenden Zeilen beschreibt eines der Verity-geschutzten Blockgerate. Felder werden durch Leerraum getrennt. Jede Zeile hat die Form Laufwerksname Datengerat Hash-Gerat Wurzel-Hash Optionen Die ersten vier Felder sind verpflichtend, das verbleibende ist optional. Das erste Feld enthalt den Namen des sich ergebenden Verity-Datentragers; sein Block-Gerat wird unterhalb von /dev/mapper/ eingerichtet. Das zweite Feld enthalt einen Pfad zu dem zugrundeliegenden Blockdatengerat oder eine Festlegung eines Blockgerates mittels >>UUID=<< gefolgt von der UUID. Das dritte Feld enthalt einen Pfad zu dem zugrundeliegenden Block-Hash-Gerat oder eine Festlegung eines Blockgerates mittels >>UUID=<< gefolgt von der UUID. Das vierte Feld ist der >>Wurzel-Hash<< in hexadezimaler Schreibweise. Das funfte Feld, falls vorhanden, ist eine Kommata-getrennte Liste von Optionen. Die folgenden Felder werden erkannt: superblock=LOGISCH Verwendung von dm-verity mit oder ohne daurhaften Superblock auf Platte. Hinzugefugt in Version 254. format=ZAHL Angabe des Hash-Versionstyps. Formattyp 0 ist die ursprungliche Chrome-OS-Version. Formattyp 1 ist die moderne Version. Hinzugefugt in Version 254. data-block-size=BYTE Verwandte Blockgrosse fur das Datengerat. (Beachten Sie, dass der Kernel maximal die Seitengrosse hier unterstutzt; Vielfaches von 512 byte.) Hinzugefugt in Version 254. hash-block-size=BYTE Verwandte Blockgrosse fur das Hash-Gerat. (Beachten Sie, dass der Kernel maximal die Seitengrosse hier unterstutzt; Vielfaches von 512 byte.) Hinzugefugt in Version 254. data-blocks=BLOCKE Anzahl an Blocken beim Datengerat, die fur die Verifikation verwandt werden. Falls nicht angegeben, wird das gesamte Gerat benutzt. Hinzugefugt in Version 254. hash-offset=BYTE Versatz des Hash-Bereichs/-Superblocks of >>Hash-Gerat<<. (Vielfaches von 512 byte.) Hinzugefugt in Version 254. salt=HEX Zufallsstartwert, der fur die Formatierung oder die Verifikation verwandt wird. Format ist eine hexadezimale Zeichenkette; 256 byte lang; >>-<< ist der besondere Wert fur leer. Hinzugefugt in Version 254. uuid=UUID Die bereitgestellte UUID fur den Format-Befehl verwenden, anstelle eine neue zu erstellen. Die UUID muss im Standard-UUID-Format bereitgestellt werden, z.B. 12345678-1234-1234-1234-123456789abc. Hinzugefugt in Version 254. ignore-corruption, restart-on-corruption, panic-on-corruption Definiert, was zu tun ist, wenn ein Daten-Verity-Problem (Datenkorruption) festgestellt wurde. Ohne diese Optionen lasst der Kernel die E/A-Aktion mit einem E/A-Fehler fehlschlagen. Mit der Option >>--ignore-corruption<< wird die Korruption nur protokolliert. Mit >>--restart-on-corruption<< oder >>--panic-on-corruption<< wird der Kernel sofort neu gestartet (Panik). (Sie mussen dafur sorgen, dass Neustart-Schleifen vermieden werden.) Hinzugefugt in Version 248. ignore-zero-blocks Weist den Kernel an, keine Blocke zu verifizieren, von denen erwartet wird, dass sie nur Nullen enthalten, und dass er stattdessen direkt Nullen zuruckliefern soll. WARNUNG: Verwenden Sie diese Option nur in sehr bestimmten Fallen. Diese Option ist seit Kernelversion 4.5 verfugbar. Hinzugefugt in Version 248. check-at-most-once Weist den Kernel an, Blocke nur beim erstmaligen Einlesen vom Datengerat statt jedes Mal zu uberprufen: WARNUNG: Dies reduziert die Datensicherheit, da nur Offline-Verfalschungen des Inhaltes des Datengerats erkannt werden, aber keine Online-Verfalschung. Diese Option ist seit Kernelversion 4.17 verfugbar. Hinzugefugt in Version 248. hash=HASH Hash-Algorithmus fur dm-verity. Dies sollte der Name des Algorithmus wie >>sha1<< sein. Fur die Vorgabe siehe veritysetup --help. Hinzugefugt in Version 254. fec-device=PFAD Verwendet Vorwartsfehlerkorrektur (FEC), um sich von Beschadigungen zu erholen, falls die Hash-Uberprufung fehlschlagt. Verwendet Kodierungsdaten von dem angegeben Gerat. Das fcc-Gerateargument kann ein Blockgerat oder ein Dateiabbild sein. Zum Format: Falls der FEC-Geratepfad nicht existiert, wird er als Datei erstellt. Hinweis: Blockgrossen fur Daten und Hash-Gerate mussen ubereinstimmen. Falls das Verity-Datengerat verschlusselt ist, sollte dies das FEC-Gerat auch sein. Hinzugefugt in Version 254. fec-offset=BYTE Dies ist der Versatz in Byte, vom Anfang des FEC-Gerates bis zum Anfang der kodierten Daten. (Ausgerichtet auf 512 byte) Hinzugefugt in Version 254. fec-roots=ZAHL Anzahl an Generatoren-Wurzeln Dies ist identisch mit der Anzahl an Paritatsbits in den kodierten Daten. In der RS(M, N)-Kodierung ist die Anzahl der Wurzeln M-N. M ist 255 und M-N liegt zwischen (einschliesslich) 2 und 24. Hinzugefugt in Version 254. root-hash-signature=PFAD|base64:HEX Eine base64-Zeichenkette, die die Wurzel-Hash-Signatur kodiert und der >>base64:<< oder ein Pfad zu einer Wurzel-Hash-Signaturdatei zur Uberpfuung des Wurzel-Hashes (im Kernel) vorangestellt ist. Diese Funktionalitat benotigt einen Linux-Kernel der Version 5.4 oder neuer. Hinzugefugt in Version 248. _netdev Markiert dieses Veritysetup-Gerat als netzwerkabhangig. Es wird gestartet, sobald das Netzwerk verfugbar ist, ahnlich wie systemd.mount(5)-Units, die mit _netdev markiert sind. Die Dienste-Unit zur Einrichtung dieses Gerates wird zwischen remote-fs-pre.target und remote-veritysetup.target einsortiert, statt zwischen veritysetup-pre.target und veritysetup.target. Tipp: Falls dieses Gerat fur einen in fstab(5) festgelegten Einhangepunkt verwandt wird, sollte die Option _netdev auch fur den Einhangepunkt verwandt werden. Andernfalls konnte eine Abhangigkeitsschleife erstellt werden, bei der der Einhangepunkt durch local-fs.target hereingezogen, wahrend der Dienst zur Konfiguration des Netzwerkes normalerweise nach dem Einhangen des lokalen Dateisystems gestartet wird. Hinzugefugt in Version 248. noauto Dieses Gerat wird nicht zu veritysetup.target hinzugefugt. Dies bedeutet, dass es beim Systemstart nicht automatisch aktiviert wird, ausser etwas anderes zieht es herein. Falls namlich das Gerat fur einen Einhangepunkt verwandt wird, wird es wahrend des Systemstarts automatisch hereingezogen, ausser der Einhangepunkt selbst ist auch mit noauto deaktiviert. Hinzugefugt in Version 248. nofail Dieses Gerat wird keine harte Abhangigkeit von veritysetup.target sein. Es wird weiterhin hereingezogen und gestartet, aber das System wird nicht darauf warten, dass das Gerat auftaucht und aktiviert wird und der Systemstart wird nicht fehlschlagen, falls dies nicht erfolgreich passieren kann. Beachten Sie, dass andere Units, die von dem aktivierten Gerat abhangen, weiterhin fehlschlagen konnen. Falls namlich das Gerat fur einen Einhangepunkt verwandt wird, muss der Einhangepunkt selbst auch uber die Option nofail verfugen oder der Systemstart wird fehlschlagen, falls das Gerat nicht erfolgreich aktiviert wurde. Hinzugefugt in Version 248. x-initrd.attach Richtet dieses Verity-geschutzte Blockgerat in der Initrd ein, ahnlich wie mit x-initrd.mount markierte systemd.mount(5)-Units. Obwohl es nicht notwendig ist, den Einhangeeintrag fur das Wurzeldateisystem mit x-initrd.mount zu markieren, wird x-initrd.attach weiterhin mit den Verity-geschutzten Blockgeraten empfohlen, die das Wurzeldateisystem enthalten, da Systemd andernfalls versuchen wird, das Gerat wahrend des normalen Herunterfahrens abzutrennen, wahrend es noch benutzt wird. Mit dieser Option wird dieses Gerat weiterhin abgetrennt, aber spater, nachdem das Wurzeldateisystem ausgehangt ist. Alle anderen Verity-geschutzten Blockgerate, die in der Initrd eingehangte Dateisysteme enthalten, sollten diese Option verwenden. Hinzugefugt in Version 248. In der fruhen Systemstartphase und wenn die Systemverwalterkonfiguration neu geladen wird, wird diese Datei durch systemd-veritysetup-generator(8) in native Systemd-Units ubersetzt. BEISPIELE Beispiel 1. /etc/veritytab-Beispiel Richtet zwei Verity-geschutzte Blockgerate ein. Eines mittels Gerateblocken, ein anderes mittels Dateien. usr PARTUUID=783e45ae-7aa3-484a-beef-a80ff9c19cbb PARTUUID=21dc1dfe-4c33-8b48-98a9-918a22eb3e37 36e3f740ad502e2c25e2a23d9c7c17bf0fdad2300b7580842d4b7ec1fb0fa263 auto data /etc/data /etc/hash a5ee4b42f70ae1f46a08a7c92c2e0a20672ad2f514792730f5d49d7606ab8fdf auto SIEHE AUCH systemd(1), systemd-veritysetup@.service(8), systemd-veritysetup-generator(8), fstab(5), veritysetup(8), UBERSETZUNG Die deutsche Ubersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. Diese Ubersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezuglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG ubernommen. Wenn Sie Fehler in der Ubersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Ubersetzer . systemd 255 VERITYTAB(5)