oracular (7) systemd.image-policy.7.gz

Provided by: manpages-de_4.23.1-1_all bug

BEZEICHNUNG
       systemd.image-policy - Plattenabbilder-Analyserichtlinie


BESCHREIBUNG
       In Systemd kann immer, wenn ein Plattenabbild (DDI) aktiviert wird, das die Spezifikation für auffindbare
       Partitionen[1] implementiert, eine Richtlinie festgelegt werden, die festlegt, welche Partitionen
       eingehängt werden und welche Art von kryptographischer Schutz benötigt wird. Eine solche
       Plattenabbild-Analyserichtlinie ist eine Zeichenkette, die durch Doppelpunkt (»:«) getrennte Regeln pro
       Partitionstyp enthält. Die einzelnen Regeln bestehen aus einer Partitionskennzeichnung, einem
       Gleichheitszeichen (»=«) und einem oder mehreren Schaltern, die pro Partition gesetzt werden können.
       Falls pro Partition mehrere Schalter festgelegt werden, werden diese durch ein Pluszeichen (»+«)
       getrennt.

       Die derzeit definierten Partitionskennzeichnungen sind: root, usr, home, srv, esp, xbootldr, swap,
       root-verity, root-verity-sig, usr-verity, usr-verity-sig, tmp, var. Diese Kennzeichnungen passen auf die
       entsprechenden Partitionstypen in der Spezifikation der auffindbaren Partitionen, sind aber unabhängig
       bezüglich der CPU-Architektur. Falls die Partitionskennzeichnung leer gelassen wird, definiert sie die
       Richtlinie default für Partitionen, die in der Spezifikation der auffindbaren Partitionen definiert sind
       und für die keine Richtlinienschalter explizit in der Richtlinienzeichenkette aufgeführt sind.

       Die folgenden Partitionsrichtlinienschalter sind definiert, die die Existenz/Abwesenheit, die Verwendung
       und das Schutzniveau von Partitionen bestimmen:

       •   unprotected für Partitionen, die existieren und verwandt werden, aber ohne kryptographisches
           Schutzniveau vorkommen müssen; ihnen fehlt sowohl die Verity-Authentifizierung als auch die
           LUKS-Verschlüsselung.

       •   verity für Partitionen, die existieren und verwandt werden müssen, mit Verity-Authentifizierung.
           (Beachten Sie: Falls ein DDI-Abbild eine Datenpartition zusammen mit einer Verity-Partition und einer
           zugehörigen Signatur-Partition enthält und nur der Schalter verity (und nicht signed) gesetzt ist,
           dann wird das Abbild mit Verity eingerichtet, aber die Signaturdaten werden nicht verwandt. Oder in
           anderen Worten: Jedes DDI mit einer Reihe von Partitionen, die für signature und implizit für verity
           geeignet sind, und tatsächlich auch für unprotected).

       •   signed für Partitionen, die existieren und verwandt werden müssen, mit Verity-Authentifizierung, die
           von einer PKCS#7-Signatur des Verity-Wurzel-Hashes begleitet wird.

       •   encrypted für Partitionen, die existieren und verwandt werden müssen und die mit LUKS verschlüsselt
           sind.

       •   unused für Partitionen, die existieren müssen, aber nicht verwandt werden dürfen.

       •   absent für Partitionen, die im Abbild nicht existieren dürfen.

       Durch Setzen einer Kombination der obigen Schalter können Alternativen erklärt werden. Die Kombination
       »unused+absent« bedeutet beispielsweise: Die Partition darf existieren (dann darf sie aber nicht benutzt
       werden) oder kann abwesend sein. Die Kombination »unprotected+verity+signed+encrypted+unused+absent« kann
       über die besondere Abkürzung »open« festgelegt werden und zeigt an, dass die Partition existieren oder
       abwesend sein darf, aber falls sie existiert, wird sie unabhängig von dem Schutzniveau verwandt.

       Und die besondere Regel: Falls keine der obigen Schalter für eine aufgelistete Partitionskennzeichnung
       gesetzt ist, ist die Standardrichtlinie open impliziert, d.h. wird keine dieser oben dargestellten
       Schalter gesetzt werden effektiv alle oben aufgeführten Schalter gesetzt.

       Die folgenden Partitionsrichtlinienschalter sind definiert, die den Zustand konkreter
       GPT-Partitionsschalter bestimmen:

       •   read-only-off, read-only-on um zu verlangen, dass bei den Partitionen der
           Partitions-Schreibschutzschalter aus oder an ist.

       •   growfs-off, growfs-on um zu verlangen, dass bei den Partitionen der Partitions-Wachstumsschalter aus
           oder an ist.

       Wenn für eine Partition sowohl read-only-off als auch read-only-on gesetzt sind, dann wird der Zustand
       des Schreibschutzschalters für die Partition nicht durch die Richtlinie bestimmt. Wird keiner der
       Schalter gesetzt ist dies äquivalent zum Setzen von beiden, d.h. Setzen keiner dieser Schalter bedeutet
       effektiv das Setzen beider. Eine ähnliche Logik gilt für growfs-off/growfs-on.

       Falls Partitionen nicht innerhalb einer Abbild-Richtlinien-Zeichenkette aufgeführt sind, dann werden die
       Standard-Richtlinienschalter angewandt (konfigurierbar über eine leere Partitionskennzeichnung, siehe
       oben). Falls keine Standard-Richtlinien-Schalter in der Richtlinienzeichenkette konfiguriert sind, wird
       sie als »absent+unused« impliziert, außer für die Verity-Partition und ihre Signatur-Partitionen, wo die
       Richtlinie automatisch vom minimalen Schutzniveau der Daten-Partition, die sie schützt und dies in deren
       Richtlinie kodiert ist, abgeleitet wird.


BESONDERE RICHTLINIEN
       Die besondere Abbild-Richtlinienzeichenkette »*« ist kurz für »alles verwenden«, d.h. sie ist äquivalent
       zu:

           =verity+signed+encrypted+unprotected+unused+absent

       Die besondere Abbild-Richtlinienzeichenkette »-« ist kurz für »nichts verwenden«, d.h. sie ist äquivalent
       zu:

           =unused+absent

       Die besondere Abbild-Richtlinienzeichenkette »~« ist kurz für »alles muss abwesend sein«, d.h. sie ist
       äquivalent zu:

           =absent


USE
       Die meisten Systemd-Komponenten, die den Betrieb mit Plattenabbildern unterstützen, unterstützen auch die
       Befehlszeilenoption --image-policy=, um die zu verwendende Abbildrichtlinie festzulegen. Dabei ist die
       Vorgabe eine recht offene Richtlinie (typischerweise die oben beschriebene Richtlinie »*«) unter der
       Annahme, dass das Vertrauen in Plattenabbilder etabliert wird, bevor die Abbilder an das entsprechende
       Programm übergeben werden.

       Für das Hauptbetriebssystemabbild selbst ist systemd-gpt-auto-generator(8) für die Verarbeitung der
       GPT-Partitionstabelle verantwortlich. Es verwendet dabei die enthaltenen, auffindbaren Partitionen. Es
       akzeptiert eine Abbildrichtlinie über die Kernelbefehlszeilenoption systemd.image-policy=.

       Beachten Sie, dass Plattenabbildrichtlinien nicht vorgeben, wie die Komponenten die Plattenabbilder
       einhängen und verwenden – sie geben nur vor, welche Teile vermieden werden sollen und welches
       Schutzniveau und -Arrangement benötigt wird, während sie sie einhängen. Beispielsweise kümmert sich
       systemd-sysext(8) nur um die Bäume /usr/ und /opt/ innerhalb eines Plattenabbildes und ignoriert in allen
       Fällen sämtliche /home/-Partitionen (und ähnliche), die im Abbild enthalten sein könnten, unabhängig
       davon, ob die konfigurierte Abbildrichtlinie den Zugriff darauf erlauben würde oder nicht. In gleicher
       Weise wird systemd-nspawn(1) keinerlei erkannte Auslagerungsgeräte verwenden, unabhängig davon, ob die
       Richtlinie es erlauben würde oder nicht.

       Verwenden Sie den Befehl image-policy des Werkzeugs systemd-analyze(8), um Abbildrichtlinienzeichenketten
       zu untersuchen und zu bestimmen, was eine bestimmte Richtlinienzeichenkette für eine bestimmte Partition
       bedeutet.


BEISPIELE
       Die folgende Abbildrichtlinienzeichenkette bestimmt, dass nur eine schreibgeschützte Verity-aktivierte
       usr/-Partition existieren darf, sowie verschlüsselte Wurzel- und Auslagerungspartitionen. Alle anderen
       Partitionen müssen ignoriert werden:

           usr=verity+read-only-on:root=encrypted:swap=encrypted

       Die folgende Abbildrichtlinienzeichenkette bestimmt, dass ein verschlüsseltes, schreibbares
       Wurzeldateisystem und optional /srv/-Dateisystem, dass bei Existenz verschlüsselt sein muss, existieren
       dürfen und keine Auslagerungspartition existieren darf:

           root=encrypted+read-only-off:srv=encrypted+absent:swap=absent

       Die folgende Abbildrichtlinienzeichenkette bestimmt, dass eine einzelne, möglicherweise verschlüsselte
       Wurzelpartion existiert und Auslagerungspartitionen ignoriert werden und alle anderen Paritionen verwandt
       werden, falls sie (möglicherweise verschlüsselt) verfügbar sind.

           root=unprotected+encrypted:swap=absent+unused:=unprotected+encrypted+absent


SIEHE AUCH
       systemd(1), systemd-dissect(1), systemd-gpt-auto-generator(8), systemd-sysext(8), systemd-analyze(8)


ANMERKUNGEN
        1. Spezifikation für auffindbare Partitionen
           https://uapi-group.org/specifications/specs/discoverable_partitions_specification


ÜBERSETZUNG
       Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.

       Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3
       ⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE
       HAFTUNG übernommen.

       Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die
       Mailingliste der Übersetzer ⟨debian-l10n-german@lists.debian.org⟩.