Provided by: manpages-de_4.21.0-2_all 
BEZEICHNUNG
systemd-pcrphase.service, systemd-pcrphase-sysinit.service, systemd-pcrphase-initrd.service,
systemd-pcrmachine.service, systemd-pcrfs-root.service, systemd-pcrfs@.service, systemd-pcrextend -
Systemstartphase in TPM2 PCR 11 einmessen, Maschinenkennung und Dateisystemidentität in PCR 15
ÜBERSICHT
systemd-pcrphase.service
systemd-pcrphase-sysinit.service
systemd-pcrphase-initrd.service
systemd-pcrmachine.service
systemd-pcrfs-root.service
systemd-pcrfs@.service
/usr/lib/systemd/systemd-pcrextend [ZEICHENKETTE]
BESCHREIBUNG
systemd-pcrphase.service, systemd-pcrphase-sysinit.service und systemd-pcrphase-initrd.service sind
Systemdienste, die bestimmte Zeichenketten in TPM2-PCR 11 zu bestimmten Meilensteinen während des
Systemstartprozesses einmessen.
systemd-pcrmachine.service ist ein Systemdienst, der die Maschinenkennung (siehe machine-id(5)) in PCR 15
einmisst.
systemd-pcrfs-root.service und systemd-pcrfs@.service sind Dienste, die
Dateisystem-Identitätsinformationen (z.B. Einhängepunkt, Dateisystemtyp, Kennzeichnung und UUID,
Partitionskennzeichnung und UUID) in PCR 14 einmessen. systemd-pcrfs-root.service macht dies für das
Wurzeldateisystem, systemd-pcrfs@.service ist eine Vorlagen-Unit, die stattdessen das von seiner
Instanzkennzeichner angezeigte Dateisystem einmisst.
Diese Dienste benötigen, dass systemd-stub(7) in einem vereinigten Kernelabbild (UKI) verwandt wird. Sie
führen keine Aktion aus, wenn der Rumpf nicht zum Aufruf des Kernels verwandt wurde. Der Rumpf wird
sicherstellen, dass der aufgerufene Kernel und die zugehörigen Ressourcen des Lieferanten in PCR 11
eingemessen werden, bevor ihm die Steuerung übergeben wird; sobald der Anwendungsraum aufgerufen wird,
werden diese Dienste TMP2 PCR 11 mit bestimmten wörtliche Zeichenketten erweitern und damit Phasen des
Systemstartprozesses andeuten. Während des regulären Systemstartprozesses wird PCR 11 mit den
nachfolgenden Zeichenketten erweitert.
1. »enter-initrd« – früh, wenn die Initrd sich initialisiert, bevor die Systemerweiterungsabbilder für
die Initrd aktiviert werden. Sie agiert als Barriere zwischen dem Zeitpunkt der Kernelinitialisierung
und dem Start der Initrd-Aktionen und der Aktivierung von Systemerweiterungsabbildern, d.h. von Code,
der außerhalb des UKI ausgeliefert wird. (Diese Erweiterung passiert, wenn der Dienst
systemd-pcrphase-initrd.service(8) startet.)
2. »leave-initrd« – wenn die Initrd gerade dabei ist, in das Dateisystem des Rechners überzugehen. Sie
agiert als Barriere zwischen dem Initrd-Code und dem Code des Rechners. (Diese Erweiterung passiert,
wenn der Dienst systemd-pcrphase-initrd.service(8) gestoppt wird.)
3. »sysinit« – wenn die grundlegende Initialisierung abgeschlossen ist (dazu gehört, dass lokale
Dateisysteme eingehängt wurden) und das System anfängt, reguläre Dateisystemdienste zu starten.
(Diese Erweiterung passiert, wenn der Dienst systemd-pcrphase-sysinit.service(8) gestartet wird.)
4. »ready« – während des späten Hochfahrens, nachdem ferne Dateisystem bereits aktiviert wurden (d.h.
nach remote-fs.target), aber bevor Benutzer das Anmelden erlaubt wird (d.h. vor
systemd-user-sessions.service). Sie agiert als Barriere zwischen dem Zeitpunkt, zu dem nicht
privilegierten Benutzer das Anmelden verwehrt wird und zu dem Zeitpunkt, wo das möglich ist. (Diese
Erweiterung passiert, wenn der Dienst systemd-pcrphase.service gestartet wird.)
5. »shutdown« – beim Beginn des System-Herunterfahrens. Sie agiert als Barriere zwischen dem Zeitpunkt,
zu dem das System voll aktiv ist und zu dem, wo es mit dem Herunterfahren beginnt. (Diese Erweiterung
passiert, wenn der Dienst systemd-pcrphase.service gestoppt ist.)
6. »final« – beim Ende des System-Herunterfahrens. Sie agiert als Barriere zwischen dem Zeitpunkt, zu
dem der Diensteverwalter noch läuft und zu dem Zeitpunkt, zu dem es in die abschließende
Systemherunterfahrphase übergeht, bei dem der Diensteverwalter nicht mehr verfügbar ist. (Diese
Erweiterung passiert, wenn der Dienst systemd-pcrphase-sysinit.service(8) gestoppt ist.)
Während der regulären/normalen Nutzung(sdauer) eines Systems wird PCR 11 mit den Zeichenketten
»enter-initrd«, »leave-initrd«, »sysinit«, »ready«, »shutdown« und »final« erweitert.
Bestimmte Phasen des Systemstartprozesses können über eine Reihe von eingemessenen Zeichenketten
(getrennt durch Doppelpunkte) referenziert werden (den »Phasenpfad«). Der Phasenpfad für die reguläre
System-Laufzeitumgebung ist beispielsweise »enter-initrd:leave-initrd:sysinit:ready«, während die für die
Initrd nur »enter-initrd« ist. Der Phasenpfad für die Systemstartphase vor der Initrd ist die leere
Zeichenkette; da das schwer weiterzugeben ist, kann ein einzelner Doppelpunkt (»:«) stattdessen verwandt
werden. Beachten Sie, dass die vorgenannten sechs Zeichenketten nur die Vorgabezeichenketten sind und
individuelle Systeme andere Zeichenketten zu anderen Zeitpunkten einmessen könnten, und daher andere und
granularere Systemstartphasen implementieren könnten, um Richtlinien daran zu binden.
Durch Binden von Richtlinien von TPM2-Objekten an bestimmte Phasenpfade wird es möglich, sie auf
bestimmte Phasen des Systemstartprozesses zu beschränken. Damit wird es beispielsweise unmöglich, auf den
Verschlüsselungsschlüssel des Wurzeldateisystems zuzugreifen, nachdem das System von der Initrd auf das
Dateisystem des Systems gewechselt hat.
Verwenden Sie systemd-measure(1) (mit dem Schalter --phase=), um die erwarteten PCR-11-Werte für
bestimmte Systemstartphasen vorzuberechnen.
systemd-pcrfs-root.service und systemd-pcrfs@.service werden automatisch durch
systemd-gpt-auto-generator(8) für die Wurzel- und /var/-Dateisysteme in die anfängliche Transaktion
hereingezogen. systemd-fstab-generator(8) macht dies für alle Einhängepunkte, bei denen die
Einhängeoption x-systemd.pcrfs in /etc/fstab gesetzt ist.
OPTIONEN
Das Programm /usr/lib/systemd/system-pcrextend kann auch von der Befehlszeile aufgerufen werden. Dort
erwartet es das Wort, das in PCR 11 erweitert werden soll, sowie die folgenden Schalter:
--bank=
Akzeptiert die PCR-Bänke, in die das angegeben Wort hinein erweitert werden soll. Falls nicht
angegeben, wird das Werkzeug automatisch alle aktivierten PCR-Bänke ermitteln und das Wort in alle
von ihnen einmessen.
Hinzugefügt in Version 252.
--pcr=
Akzeptiert den Index des zu erweiternden PCR. Falls --machine-id oder --file-system= angegeben sind,
ist die Vorgabe 15, andernfalls ist die Vorgabe 11.
Hinzugefügt in Version 255.
--tpm2-device=PFAD
Steuert das zu verwendende TPM2-Gerät. Erwartet einen Geräteknotenpfad, der sich auf einen TPM2-Chip
bezieht (z.B. /dev/tpmrm0). Alternativ kann der besondere Wert »auto« angegeben werden, um den
Geräteknoten eines geeigneten TPM2-Gerätes (von dem es genau einen geben darf) automatisch zu
bestimmen. Der besondere Wert »list« kann verwandt werden, um alle geeigneten, derzeit ermittelten
TPM2-Geräte aufzuzählen.
Hinzugefügt in Version 252.
--graceful
Falls keine Unterstützung für TPM2-Firmware, -Kernel-Subsystem, -Kerneltreiber oder -Geräte gefunden
wird, wird mit Exit-Status 0 beendet (d.h. Erfolg angezeigt). Falls dies nicht angegeben ist, dann
wird jeder Versuch, ohne ein TPM2-Gerät zu messen, zu einem Fehlschlag des Aufrufs führen.
Hinzugefügt in Version 253.
--machine-id
Statt das auf der Befehlszeile angegebene Wort in PCR 11 einzumessen, wird die Maschinenkennung des
Rechners in PCR 15 eingemessen.
Hinzugefügt in Version 253.
--file-system=
Statt das auf der Befehlszeile angegebene Wort in PCR 11 einzumessen, wird die
Maschinenidentitätsinformation des angegebenen Dateisystems in PCR 15 eingemessen. Dieser Parameter
muss der Pfad zum aufgebauten Einhängepunkt des zu messenden Dateisystems sein.
Hinzugefügt in Version 253.
-h, --help
Zeigt einen kurzen Hilfetext an und beendet das Programm.
--version
Zeigt eine kurze Versionszeichenkette an und beendet das Programm.
DATEIEN
/run/log/systemd/tpm2-measure.log
Messungen werden in ein Ereignisprotokoll protokolliert, das in /run/log/systemd/tpm2-measure.log
verwaltet wird. Es enthält eine JSON-SEQ[1]-Serie von Objekten, die der allgemeinen Struktur der
Gemeinsamen TCG-Ereignisprotokollformat- (CEL-JSON-)[2]-Ereignisobjekte folgt. Es fehlen ihm aber die
Felder »recnum«.
Eine LOCK_EX-BSD-Dateisperre (flock(2)) auf der Protokolldatei wird während der Durchführung der
Messung und der Aktualisierung der Datei erlangt. Daher sollten Anwendungen, die planen, eine
konsistente Angabe aus dem TPM mit dem zugehörigen Schnappschuss des Ereignisprotokolls zu erlangen,
eine LOCK_SH-Sperre erlangen, während sie dies tun.
Hinzugefügt in Version 252.
SIEHE AUCH
systemd(1), systemd-stub(7), systemd-measure(1), systemd-gpt-auto-generator(8),
systemd-fstab-generator(8), TPM2 PCR Measurements Made by systemd[3]
ANMERKUNGEN
1. JSON-SEQ
https://www.rfc-editor.org/rfc/rfc7464.html
2. Gemeinsames TCG-Ereignisprotokollformat (CEL-JSON)
https://trustedcomputinggroup.org/resource/canonical-event-log-format/
3. TPM2 PCR Measurements Made by systemd
https://systemd.io/TPM2_PCR_MEASUREMENTS
ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer
bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die
Mailingliste der Übersetzer.
systemd 255 SYSTEMD-PCRPHASE.SERVICE(8)