Provided by: manpages-de_4.23.1-1_all 
BEZEICHNUNG
systemd-pcrlock, systemd-pcrlock-file-system.service,
systemd-pcrlock-firmware-code.service, systemd-pcrlock-firmware-config.service,
systemd-pcrlock-machine-id.service, systemd-pcrlock-make-policy.service,
systemd-pcrlock-secureboot-authority.service, systemd-pcrlock-secureboot-policy.service -
TPM-PCR-Zustände analysieren und aus dieser Vorhersage eine Zugriffsrichtlinie erstellen
ÜBERSICHT
/usr/lib/systemd/systemd-pcrlock [OPTIONEN…]
BESCHREIBUNG
Hinweis: Dieser Befehl ist derzeit experimentell. Es ist zwar wahrscheinlich, dass er eine
reguläre Komponente von Systemd wird, aber sein Verhalten und seine Schnittstellen können
sich noch ändern.
systemd-pcrlock ist ein Werkzeug, das zur Analyse und Vorhersage von TPM2-PCR-Messungen
verwandt werden kann und TPM2-Zugriffsrichtlinien aus der Vorhersage erstellen kann, die
es in einem TPM2-NV-Index speichert (d.h. in dem nichtflüchtigen TPM2-Speicher). Dies kann
dann zur Zugriffsbeschränkung auf TPM2-Objekte (wie Schlüssel einer
Plattenverschlüsselung) für Systemstarts verwandt werden, bei dem nur bestimmte,
vertrauenswürdige Komponenten verwandt werden.
Für seine Analyse und Vorhersage verwendet systemd-pcrlock Folgendes als Eingabe:
• Das UEFI-Firmware-TPM2-Ereignisprotokoll (d.h.
/sys/kernel/security/tpm0/binary_bios_measurements) des aktuellen Systemstarts.
• Das TPM2-Ereignisprotokoll im Anwendungsraum (d.h. /run/log/systemd/tpm2-measure.log)
des aktuellen Systemstarts.
• Der aktuelle PCR-Zustand des TPM2-Bausteins.
• Systemstartkomponentendefinitionsdateien (*.pcrlock und *.pcrlock.d/*.pcrlock, siehe
systemd.pcrlock(5)), die jeweils erwartete Messungen für eine Komponente des
Systemstartprozess und alternative Varianten für jede definieren. (Varianten können
dazu verwandt werden, mehrere Kernelversionen oder Systemstartprogrammversionen
gleichzeitig freizugeben.)
Sie verwendet diese Eingaben, um ein kombiniertes Ereignisprotokoll zu erstellen und es
gegen die PCR-Zustände zu validieren. Dann versucht sie, Ereignisprotokollereignisse zu
erkennen und vergleicht sie mit den definierten Komponenten. Für jedes PCR, wo dies
umfassend erfolgen kann (d.h. wo alle aufgeführten Datensätze und alle definierten
Komponenten passen), kann dies dann zur Vorhersage zukünftiger PCR-Messungen verwandt
werden. Dabei werden alternative, für jede Komponente definierte Varianten berücksichtigt.
Diese Vorhersage kann dann in eine TPM2-Zugriffsrichtlinie umgewandelt werden (diese
besteht aus TPM2-PolicyPCR- und PolicyOR-Einträgen), die dann in einen NV-Index im TPM2
gespeichert wird. Damit können dann Geheimnisse (wie Schlüssel für die
Festplattenverschlüsselung) für diese Richtlinien gesperrt werden (mittels einer
TPM2-PolicyAuthorizeNV-Richtlinie).
Verwenden Sie Werkzeuge wie systemd-cryptenroll(1) oder systemd-repart(8), um
Plattenverschlüsselungen an solch eine systemd-pcrlock-TPM2-Richtlinie zu binden. Siehe
insbesonderen den Schalter --tpm2-pcrlock= dieser Werkzeuge.
Die Zugriffssteuerungsrichtlinienlogik benötigt ein TPM2-Gerät, das den Befehl
»PolicyAuthorizeNV« implementiert, d.h. das TPM 2.0-Version 1.38 oder neuer implementiert.
BEFEHLE
Die folgenden Befehle werden verstanden:
log
Dies liest das kombinierte TPM2-Ereignisprotokoll, validiert es, vergleicht es mit den
aktuellen PCR-Werten und gibt beides in tabellarischer Form aus. Kombinieren Sie es
mit --json=, um Ausgabe im JSON-Format zu erzeugen.
Hinzugefügt in Version 255.
cel
Dies liest das kombinierte TPM2-Ereignisprotokoll und schreibt es in die
Standardausgabe im Format Kanonisches TCG-Ereignisprotokollformat (CEL-JSON)[1].
Hinzugefügt in Version 255.
list-components
Zeigt eine Liste an Komponentendefinitionen und ihrer Varianten, d.h. die in
/var/lib/pcrlock.d/, /usr/lib/pcrlock.d/ und anderen unterstützten Verzeichnissen
erkannten Dateien *.pcrlock. Siehe systemd.pcrlock(5) zu Details dieser Dateien und
der vollständigen Liste der durchsuchten Verzeichnisse.
Hinzugefügt in Version 255.
predict
Sagt den PCR-Zustand für zukünftige Systemstarts voraus. Dies wird wie oben
beschrieben das TPM2-Ereignisprotokoll analysieren, Komponenten erkennen und dann alle
möglichen daraus entstehenden PCR-Werte für alle Kombinationen der
Komponentenvarianten erstellen. Beachten Sie, dass für PCRs, deren Werte nicht auf
Datensätze des Ereignisprotokolls passen, für die unbekannte Messungen erkannt werden
oder für die Komponenten definiert sind, die nicht im Ereignisprotokoll vorhanden
sind, keine Vorhersage erfolgt. Dies ist eine Sicherheitsmaßnahme, um sicherzustellen,
dass jede erstellte Zugriffsrichtlinie korrekt beim aktuellen und zukünftigen
Systemstarts erfüllt werden kann.
Hinzugefügt in Version 255.
make-policy
Dies sagt den PCR-Zustand für zukünftige Systemstarts vorher, ähnlich wie der obige
Befehl predict. Es verwendet diese Daten dann, um eine TPM2-Zugriffsrichtlinie zu
erstellen, die dann in einem TPM2-NV-Index gespeichert wird. Die Vorhersage und
Informationen über den verwandten TPM2 und dessen NV-Index werden nach
/var/lib/systemd/pcrlock.json geschrieben.
Der NV-Index wird beim ersten Aufruf reserviert und bei nachfolgenden Aufrufen
aktualisiert.
Der NV-Index kann durch Angabe einer Zugriffs-PIN geändert (und daher die darin
gepspeicherte Richtlinie aktualisiert) werden. Diese PIN wird normalerweise
automatisch generiert und in verschlüsselter Form in der vorgenannten
JSON-Richtliniendatei gespeichert (wobei eine Zugriffsrichtlinie sie an den NV-Index
selbst bindet). Diese PIN kann durch den Benutzer über den Schalter --recovery-pin=
gewählt werden. Falls angegeben, kann sie als alternativer Zugriffspfad zur
Aktualisierung der Richtlinie verwandt werden.
Falls die neue Vorhersage mit der alten übereinstimmt, beendet sich der Befehl schnell
und führt keine weitere Aktion aus. (Außer --force wurde angegeben, siehe unten.)
Starting with v256, a copy of the /var/lib/systemd/pcrlock.json policy file is encoded
in a credential (see systemd-creds(1) for details) and written to the EFI System
Partition or XBOOTLDR partition, in the /loader/credentials/ subdirectory. There it is
picked up at boot by systemd-stub(7) and passed to the invoked initrd, where it can
be used to unlock the root file system (which typically contains /var/, which is where
the primary copy of the policy is located, which hence cannot be used to unlock the
root file system). The credential file is named after the boot entry token of the
installation (see bootctl(1)), which is configurable via the --entry-token= switch,
see below.
Hinzugefügt in Version 255.
remove-policy
Entfernt eine vorher erstellte Richtlinie. Löscht die Datei
/var/lib/systemd/pcrlock.json und gibt den NV-Index frei.
Hinzugefügt in Version 255.
lock-firmware-code, unlock-firmware-code
Erstellt/Entfernt Dateien .pcrlock basierend auf dem TPM2-Ereignisprotokoll des
aktuellen Systemstarts, die alle Datensätze für PCRs 0 (»Plattform-Code«) und 2
(»externer-Code«) abdecken.
Diese Aktion ermöglicht das Sperren des Systemstarts auf die aktuelle Version der
Firmware des Systems und seiner Erweiterungskarten. Diese Aktion sollte nur verwandt
werden, falls der Systemlieferant vorab keine geeigneten pcrlock-Daten bereitstellt.
Beachten Sie, dass dies nur auf die aktuelle Version der Firmware passt. Falls eine
Aktualisierung der Firmware erfolgt, sind diese Daten veraltet und jede daraus
erstellte Zugriffsrichtlinie wird nicht mehr bestehen. Es wird daher empfohlen,
unlock-firmware-code aufzurufen, bevor eine Firmware-Aktualisierung erfolgt, gefolgt
von make-policy, um die Richtlinie zu aktualisieren.
systemd-pcrlock lock-firmware-code wird, falls aktiviert, automatisch beim Systemstart
mittels der Unit systemd-pcrlock-firmware-code.service aufgerufen. Das stellt sicher,
dass eine durch systemd-pcrlock verwaltete Zugriffsrichtlinie automatisch auf die neue
Firmware-Version gesperrt wird, wann immer die Richtlinie temporär gelockert wurde, um
wie oben beschrieben Firware-Aktualisierungen abzudecken.
Die Dateien werden nur aus dem Ereignisprotokoll erstellt, falls das Ereignisprotokoll
auf den aktuellen TPM2-PCR-Zustand passt.
Dies schreibt/entfernt die Dateien
/var/lib/pcrlock.d/250-firmware-code-early.pcrlock.d/generated.pcrlock und
/var/lib/pcrlock.d/550-firmware-code-late.pcrlock.d/generated.pcrlock.
Hinzugefügt in Version 255.
lock-firmware-config, unlock-firmware-config
Dies ist zu lock-firmware-code/unlock-firmware-code ähnlich, sperrt aber die
Firmwarekonfiguration ab, d.h. PCR 1 (»platform-config«) und 3 (»external-config«).
Diese Funktionalität sollte vorsichtig verwandt werden, da in den meisten Fällen eine
kleine Firmwarekonfigurationsänderung nicht die Zugriffsregeln auf TPM2-Objekte
ungültig machen sollte. Beachten Sie auch, dass manche Systeme instabile und
unvorhersehbare Informationen in diese PCRs messen (z.B. aktuelle CPU-Spannungen,
-Temperaturen als Teil der SMBIOS-Daten), wodurch diese Art von Absperrung für solche
Systeme nicht zuverlässig verwandt werden kann. Verwenden Sie diese Funktionalität
nur, falls das System und die Hardware gut bekannt sind und nicht diesen
Beschränkungen unterliegen, beispielsweise in virtualisierten Umgebungen.
Verwendet unlock-firmware-config vor Änderungen der Firmwarekonfiguration. Falls die
Unit systemd-pcrlock-firmware-config.service aktiviert ist, wird sie automatisch eine
Pcrlock-Datei aus den neuen Messungen erstellen.
Dies schreibt/entfernt die Dateien
/var/lib/pcrlock.d/250-firmware-config-early.pcrlock.d/generated.pcrlock und
/var/lib/pcrlock.d/550-firmware-config-late.pcrlock.d/generated.pcrlock.
Hinzugefügt in Version 255.
lock-secureboot-policy, unlock-secureboot-policy
Erstellt/Entfernt eine .pcrlock-Datei auf der Basis der aktuell durchgesetzten
Richtlinie zum sicheren Systemstart. Dies schaut auf die EFI-Variablen SecureBoot, PK,
KEK, db, dbx, dbt und dbr und sagt ihre Messungen in PCR 7 (»secure-boot-policy«) für
den nächsten Systemstart vorher.
Verwendet unlock-firmware-config vor der Anwendung von Aktualisierungen der Richtlinie
für den sicheren Systemstart. Falls die Unit systemd-pcrlock-secureboot-policy.service
aktiviert ist, wird sie automatisch eine Pcrlock-Datei aus der erkannten Richtlinie
erstellen.
Dies schreibt/entfernt die Datei
/var/lib/pcrlock.d/230-secureboot-policy.pcrlock.d/generated.pcrlock.
Hinzugefügt in Version 255.
lock-secureboot-authority, unlock-secureboot-authority
Erstellt/Entfernt eine .pcrlock-Datei auf der Basis der Autoritäten des sicheren
Systemstarts, die zur Validierung des Systemstartpfades verwandt wurden. Autoritäten
des sicheren Systemstarts sind die bestimmten SecureBoot-Datenbankeinträge, die zur
Validierung der beim Systemstart ausgeführten UEFI-PE-Programme verwandt wurden. Dies
schaut auf das Ereignisprotokoll des aktuellen Systemstarts und verwendet die
relevanten Messungen auf PCR 7 (»secure-boot-policy«).
Dies schreibt/entfernt die Datei
/var/lib/pcrlock.d/620-secureboot-authority.pcrlock.d/generated.pcrlock.
Hinzugefügt in Version 255.
lock-gpt [GERÄT], unlock-gpt
Erstellt/Entfernt eine .pcrlock-Datei auf der Basis der GPT-Partitionstabelle der
angegebenen Platte. Falls keine Platte angegeben ist, wird automatisch das Blockgerät
bestimmt, das dem Wurzeldateisystem zugrundeliegt. Dies sperrt den Zustand der
Plattenpartitionierung des gestarteten Mediums, den die Firmware in PCR 5
(»boot-loader-config«) einmisst.
Dies schreibt/entfernt die Datei
/var/lib/pcrlock.d/600-gpt.pcrlock.d/generated.pcrlock.
Hinzugefügt in Version 255.
lock-pe [PROGRAMM], unlock-pe
Erstellt/Entfernt eine .pcrlock-Datei auf der Basis des angegebenen PE-Programms. Dies
ist zur Vorhersage der Messungen der Firmware in PCR 4 (»boot-loader-code«) nützlich,
falls das angegebene Programm Teil des UEFI-Systemstartprozesses ist. Verwenden Sie
diese Option für Systemstartprogramme und ähnliches. Verwenden Sie lock-uki (siehe
unten) für PE-Programme, die vereinigte Kernelabbilder (UKIs) sind.
Erwartet als Argument einen Pfad zu einem PE-Programm. Falls nicht angegeben, wird das
Programm stattdessen von Stdin gelesen.
Die zu schreibende Pcrlock-Datei muss mit dem Schalter --pcrlock= angegeben werden.
Hinzugefügt in Version 255.
lock-uki [UKI], unlock-uki
Erstellt/Entfernt eine .pcrlock-Datei auf der Basis des angegebenen UKI-PE-Programms.
Dies ist zur Vorhersage der Messungen der Firmware in PCR 4 (»boot-loader-code«) und
von systemd-stub(7) in PCR 11 (»kernel-boot«) nützlich, falls das angegebene UKI
gestartet wurde. Dies ist eine Obermenge von lock-pe.
Erwartet als Argument einen Pfad zu einem UKI-PE-Programm. Falls nicht angegeben, wird
das Programm stattdessen von Stdin gelesen.
Die zu schreibende Pcrlock-Datei muss mit dem Schalter --pcrlock= angegeben werden.
Hinzugefügt in Version 255.
lock-machine-id, unlock-machine-id
Erstellt/Entfernt eine .pcrlock-Datei auf der Basis von /etc/machine-id. Dies ist zur
Vorhersage der Messungen durch systemd-pcrmachine.service(8) in PCR 15
(»system-identity«) nützlich.
Dies schreibt/entfernt die Datei /var/lib/pcrlock.d/820-machine-id.pcrlock.
Hinzugefügt in Version 255.
lock-file-system [PFAD], unlock-file-system [PFAD]
Erstellt/Entfernt eine .pcrlock-Datei auf der Basis der Dateisystemidentität. Dies ist
zur Vorhersage der Messungen durch systemd-pcrfs@.service(8) in PCR 15
(»system-identity«) für die Wurzel- und /var/-Dateisysteme nützlich.
Dies schreibt/entfernt die Dateien /var/lib/pcrlock.d/830-root-file-system.pcrlock und
/var/lib/pcrlock.d/840-file-system-Pfad.pcrlock.
Hinzugefügt in Version 255.
lock-kernel-cmdline [DATEI], unlock-kernel-cmdline
Erstellt/Entfernt eine .pcrlock-Datei auf der Basis von /proc/cmdline (oder falls
angegeben der angegebenen Datei). Dies ist zur Vorhersage der Messungen, die der
Linux-Kernel in PCR 9 (»kernel-initrd«) durchführt, nützlich.
Dies schreibt/entfernt die Datei
/var/lib/pcrlock.d/710-kernel-cmdline.pcrlock/generated.pcrlock.
Hinzugefügt in Version 255.
lock-kernel-initrd DATEI, unlock-kernel-initrd
Erstellt/Entfernt eine .pcrlock-Datei auf der Basis eines Kernel-Initrd-CPIO-Archivs.
Dies ist zur Vorhersage der Messungen, die der Linux-Kernel in PCR 9 (»kernel-initrd«)
durchführt, nützlich. Verwenden Sie dies nicht für systemd-stub(7)-UKIs, da die Initrd
dynamisch aus verschiedenen Quellen kombiniert wird und daher nicht - wie dieser
Befehl - eine einzelne Eingabe akzeptiert.
Dies schreibt/entfernt die Datei
/var/lib/pcrlock.d/720-kernel-initrd.pcrlock/generated.pcrlock.
Hinzugefügt in Version 255.
lock-raw [DATEI], unlock-raw
Erstellt/Entfernt eine .pcrlock-Datei auf der Basis roher binärer Daten. Die Daten
werden entweder aus der angegebenen Datei oder von Stdin (falls keine Datei angegeben
ist) gelesen. Dies benötigt die Angabe von --pcrs=. Die erstellte .pcrlock-Datei wird
in die mittels --pcrlock= angegebene Datei oder in Stdout (falls keine Datei angegeben
ist) geschrieben.
Hinzugefügt in Version 255.
OPTIONEN
Die folgenden Optionen werden verstanden:
--raw-description
Bei der Anzeige des TPM2-Ereignisprotokolls wird nicht versucht, die Datensätze zu
dekodieren, um eine freundliche Ereignisprotokoll-Beschreibungszeichenkette zu
erhalten. Stattdessen werden die binären Nutzlastdaten in maskierter Darstellung
angezeigt.
Hinzugefügt in Version 255.
--pcr=
Gibt die zu verwendende PCR-Nummer an. Kann mehr als einmal angegeben werden, um
mehrere PCRs auszwählen.
Dies wird von lock-raw und lock-pe verwandt, um den PCR auszuwählen, gegen den
gesperrt werden soll.
Falls dies mit predict und make-policy verwandt wird, wird dies die in der Vorhersage
und Richtlinie einzuschließenden PCRs außer Kraft setzen. Falls nicht angegeben ist
die Vorgabe PCRs 0-5, 7, 11-15. Beachten Sie, dass diese Befehle keine PCRs in die
Vorhersage/Richtlinie einschließen werden (selbst wenn sie explizit festgelegt
wurden), falls es Messungen im Ereignisprotokoll gibt, die nicht auf den aktuellen
PCR-Wert passen oder es nicht erkannte Messungen in dem Ereignisprotokoll gibt, oder
Komponenten Messungen definieren, die im Ereignisprotokoll nicht gefunden werden
können.
Hinzugefügt in Version 255.
--nv-index=
Legt den NV-Index fest, in dem die Richtlinie gespeichert werden soll. Wird von
make-policy berücksichtigt. Falls nicht angegeben, wird der Befehl automatisch einen
freien NV-Index auswählen.
Hinzugefügt in Version 255.
--components=
Akzeptiert einen Pfad, aus dem Dateien *.pcrlock und *.pcrlock.d/*.pcrlock gelesen
werden. Kann mehr als einmal verwandt werden, um mehrere solcher Verzeichnisse
anzugeben. Falls nicht angegeben ist die Vorgabe /etc/pcrlock.d/, /run/pcrlock.d/,
/var/lib/pcrlock.d/, /usr/local/pcrlock.d/, /usr/lib/pcrlock.d/.
Hinzugefügt in Version 255.
--location=
Akzeptiert entweder eine Zeichenkette oder ein durch Doppelpunkt getrenntes Paar an
Zeichenketten. Konfiguriert bis zu welchem Punkt in der sortierten Liste der
definierten Komponenten die PCRs analysiert/vorhergesagt werden sollen. Typischerweise
wird das Werkzeug systemd-pcrlock von einem vollständig gestarteten System nach dem
Hochfahren und vor dem Herunterfahren gestartet. Dies bedeutet, dass verschiedene
Komponenten, die für das Herunterfahren definiert sind, noch nicht gemessen wurden und
daher nach ihnen nicht gesucht werden sollte. Diese Option ermöglicht es zu
beschränken, welche Komponenten für die Analyse betrachtet werden (wobei nur
Komponenten vor einem bestimmten Punkt berücksichtigt und Komponenten danach ignoriert
werden). Die erwartete Zeichenkette wird gegen die Dateinamen der definierten
Komponenten sortiert. Jede Komponente, deren Name lexikographisch dahinter sortiert,
wird ignoriert. Diese Logik wird für die Unterbefehle log, predict und make-policy
angewandt. Falls ein durch Doppelpunkt getrenntes Paar an Zeichenketten angegeben ist,
dann wählen diese aus, welche Phasen des Systemstarts in der Vorhersage/Richtlinie
aufgenommen werden soll. Die erste Zeichenkette definiert, wo die erste Vorhersage
gemacht werden soll und die zweite Zeichenkette definiert, wo die letzte Vorhersage
gemacht werden soll. Alle solche Vorhersagen werden dann in einen Satz kombiniert.
Bei der Verwendung mit list-components wird der ausgewählte Lagebereich in der
Komponentenliste hervorgehoben.
Standardmäßig »760-:940-«. Dies bedeutet, dass die standardmäßig erstellten
Richtlinien im wesentlichen die gesamte Laufzeit des Anwendungsraums des
Betriebssystems, von der Initrd (da »760-« eng auf 750-enter-initrd.pcrlock folgt) bis
(und einschließlich) der Hauptlaufzeit des Systems (da »940-« eng von
950-shutdown.pcrlock gefolgt wird) abdeckt. Siehe systemd.pcrlock(5) für eine
vollständige Liste der gut bekannten Komponenten, die beleuchtet, wo dieser Bereich
standardmäßig angeordnet ist.
Hinzugefügt in Version 255.
--recovery-pin=
Takes one of "hide", "show" or "query". Defaults to "hide". Honoured by make-policy.
If "query", will query the user for a PIN to unlock the TPM2 NV index with. If no
policy was created before, this PIN is used to protect the newly allocated NV index.
If a policy has been created before, the PIN is used to unlock write access to the NV
index. If either "hide" or "show" is used, a PIN is automatically generated, and —
only in case of "show" — displayed on screen. Regardless if user supplied or
automatically generated, it is stored in encrypted form in the policy metadata file.
The recovery PIN may be used to regain write access to an NV index in case the access
policy became out of date.
Hinzugefügt in Version 255.
--pcrlock=
Akzeptiert einen Dateisystempfad als Argument. Falls angegeben, wird
außerkraftgesetzt, wohin die erstellten Pcrlock-Daten geschrieben werden sollen. Wird
von verschiedenen Befehlen lock-* berücksichtigt. Falls nicht angegeben wird im
Allgemeinen ein Standardpfad, wie oben beschrieben, verwandt.
Hinzugefügt in Version 255.
--policy=
Akzeptiert einen Dateisystempfad als Argument. Falls angegeben, wird
außerkraftgesetzt, wohin die Pcrlock-Richtlinien-Metadaten geschrieben werden sollen.
Falls nicht angegeben ist die Vorgabe /var/lib/systemd/pcrlock.json.
Hinzugefügt in Version 255.
--force
Falls mit make-policy angegeben, wird die vorhergesagte Richtlinie in den NV-Index
geschrieben, selbst wenn erkannt wird, dass sie die gleiche wie die bereits
gespeicherte ist.
Hinzugefügt in Version 255.
--entry-token=
Sets the boot entry token to use for the file name for the pcrlock policy credential
in the EFI System Partition or XBOOTLDR partition. See the bootctl(1) option of the
same regarding expected values. This switch has an effect on the make-policy command
only.
Hinzugefügt in Version 256.
--json=MODUS
Zeigt die Ausgabe als JSON formatiert. Erwartet entweder »short« (für die kürzest
mögliche Ausgabe ohne unnötigen Leerraum oder Zeilenumbrüche), »pretty« (für eine
schönere Version der gleichen Ausgabe, mit Einzügen und Zeilenumbrüchen) oder »off«
(um die standardmäßig aktivierte JSON-Ausgabe auszuschalten).
--no-pager
Leitet die Ausgabe nicht an ein Textanzeigeprogramm weiter.
-h, --help
Zeigt einen kurzen Hilfetext an und beendet das Programm.
--version
Zeigt eine kurze Versionszeichenkette an und beendet das Programm.
EXIT-STATUS
Bei Erfolg wird 0 zurückgegeben, anderenfalls ein Fehlercode ungleich Null.
SIEHE AUCH
systemd(1), systemd.pcrlock(5), systemd-cryptenroll(1), systemd-cryptsetup@.service(8),
systemd-repart(8), systemd-pcrmachine.service(8), systemd-creds(1), systemd-stub(7),
bootctl(1)
ANMERKUNGEN
1. Kanonisches TCG-Ereignisprotokollformat (CEL-JSON)
https://trustedcomputinggroup.org/resource/canonical-event-log-format/
ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann
<debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License
Version 3 ⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ oder neuer bezüglich der Copyright-
Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-
Mail an die Mailingliste der Übersetzer ⟨debian-l10n-german@lists.debian.org⟩.