plucky (5) systemd.pcrlock.5.gz

Provided by: manpages-de_4.25.1-1_all bug

BEZEICHNUNG
       systemd.pcrlock, systemd.pcrlock.d - Vorhersagedateien für PCR-Messungen


ÜBERSICHT
           /etc/pcrlock.d/*.pcrlock
           /etc/pcrlock.d/*.pcrlock.d/*.pcrlock
           /run/pcrlock.d/*.pcrlock
           /run/pcrlock.d/*.pcrlock.d/*.pcrlock
           /var/lib/pcrlock.d/*.pcrlock
           /var/lib/pcrlock.d/*.pcrlock.d/*.pcrlock
           /usr/local/pcrlock.d/*.pcrlock
           /usr/local/pcrlock.d/*.pcrlock.d/*.pcrlock
           /usr/lib/pcrlock.d/*.pcrlock
           /usr/lib/pcrlock.d/*.pcrlock.d/*.pcrlock


BESCHREIBUNG
       Dateien *.pcrlock definieren erwartete TPM2-PCR-Messungen von Komponenten, die am Systemstartprozess
       beteiligt sind. systemd-pcrlock(8) verwendet solche Pcrlock-Dateien, um TPM2-PCR-Messungen zu analysieren
       und vorherzusagen. Die Pcrlock-Dateien sind JSON-Felder, die einer Teilmenge der Spezifikation
       Kanonisches TCG-Ereignisprotokollformat (CEL-JSON)[1] folgen. Insbesondere die Datensätze »recnum«,
       »content« und »content_type« werden nicht verwandt und - falls vorhanden - ignoriert. Jede Pcrlock-Datei
       definiert eine Gruppe der erwarteten, geordneten PCR-Messungen einer bestimmten Komponente des
       Systemstarts.

       Dateien *.pcrlock können in verschiedene Ergänzungsverzeichnissen .d/ abgelegt werden (die vollständige
       Liste finden Sie oben). Alle in diesen Verzeichnissen erkannten passenden Dateien werden alphabetisch
       gemäß ihres Dateinamens sortiert (wobei das tatsächliche Verzeichnis, in dem sie gefunden wurden, nicht
       berücksichtigt wird). Es wird erwartet, dass Pcrlock-Dateien, deren Name alphabetisch früher sortiert
       werden, Messungen abdecken, die vor denen erfolgen, deren Namen alphabetisch später kommen. Damit die
       Positionierung von Pcrlock-Dateien im Systemstartprozess bequem wird, wird erwartet, dass die Namen dem
       Schema »NNN-Komponente.pcrlock« folgen, wobei NNN eine dezimale Zahl mit drei Ziffern ist (Beispiel:
       750-enter-initrd.pcrlock). Dies ist eine Konvention und wird nicht erzwungen.

       Es muss für verschiedene Komponenten des Systemstartprozesses mehr als eine alternative Pcrlock-Datei
       unterstützt werden (d.h. »Varianten«), um in der Zugriffsrichtlinie beispielsweise mehrere, parallel
       installierte Kernel oder mehrere Versionen des Systemstartprogramms abzudecken. Dies kann durch
       Platzieren *.pcrlock.d/*.pcrlock in den Ergänzungsverzeichnissen passieren, d.h. einem gemeinsamen
       Verzeichnis für alle bestimmten Komponenten, das eine oder mehrere Pcrlock-Dateien enthält, die jeweils
       eine Variante der Komponente abdecken. Beispiel: 650-kernel.pcrlock.d/6.5.5-200.fc38.x86_64.pcrlock und
       650-kernel.pcrlock.d/6.5.7-100.fc38.x86_64.pcrlock

       Verwenden Sie systemd-pcrlock list-components, um alle derzeit installierten Pcrlock-Dateien aufzulisten.

       Verwenden Sie die verschiedenen Befehle lock-* von systemd-pcrlock(8), um automatisch geeignete
       Pcrlock-Dateien für verschiedene Ressourcentypen zu erstellen.


GUT BEKANNTE KOMPONENTEN
       Komponenten des Systemstartprozesses können vom Administrator oder Betriebssystemlieferanten frei
       definiert werden. Allerdings sind die folgenden Komponenten gut bekannt und durch Systemd definiert. Die
       nachfolgende Liste ist zur Sortierung lokaler Pcrlock-Dateien in Anbetracht dieser Komponenten des
       Systemstarts nützlich.

       240-secureboot-policy.pcrlock
           Die Richtlinie des sicheren Systemstarts, wie in PCR 7 aufgezeichnet. Kann mittels systemd-pcrlock
           lock-secureboot-policy erstellt werden.

           Hinzugefügt in Version 255.

       250-firmware-code-early.pcrlock
           Firmwarecode-Messungen, wie in PCR 0 und 2 aufgezeichnet, bis zur Trennungsmessung (siehe
           nachfolgenden 400-secureboot-separator.pcrlock). Kann mittels systemd-pcrlock lock-firmware-code
           erstellt werden.

           Hinzugefügt in Version 255.

       250-firmware-config-early.pcrlock
           Firmware-Konfigurationsmessungen, wie in PCR 1 und 3 aufgezeichnet, bis zur Trennungsmessung (siehe
           nachfolgenden 400-secureboot-separator.pcrlock). Kann mittels systemd-pcrlock lock-firmware-config
           erstellt werden.

           Hinzugefügt in Version 255.

       350-action-efi-application.pcrlock
           Die einmalig durch die Firmware erfolgte Messung der EFI »Anwendung«. Statisch definiert.

           Hinzugefügt in Version 255.

       400-secureboot-separator.pcrlock
           Die einmalig durch die Firmware auf PCR 7 des EFI »Trenners« erfolgte Messung, um anzuzeigen, wo die
           Firmware den Übergang in das Systemstartprogramm/unter die Steuerung des Betriebssystems steuert.
           Statisch definiert.

           Hinzugefügt in Version 255.

       500-separator.pcrlock
           Die einmalig durch die Firmware auf PCRs 0-6 des EFI »Trenner« erfolgten Messungen, um anzuzeigen, wo
           die Firmware den Übergang in das Systemstartprogramm/unter die Steuerung des Betriebssystems steuert.
           Statisch definiert.

           Hinzugefügt in Version 255.

       550-firmware-code-late.pcrlock
           Firmware-Code-Messungen, wie in PCR 0 und 2 aufgezeichnet, nach der Trennungsmessung (siehe
           vorstehenden 400-secureboot-separator.pcrlock). Kann mittels systemd-pcrlock lock-firmware-code
           erstellt werden.

           Hinzugefügt in Version 255.

       550-firmware-config-late.pcrlock
           Firmware-Konfigurationsmessungen, wie in PCR 1 und 3 aufgezeichnet, nach der Trennungsmessung (siehe
           vorstehenden 400-secureboot-separator.pcrlock). Kann mittels systemd-pcrlock lock-firmware-config
           erstellt werden.

           Hinzugefügt in Version 255.

       600-gpt.pcrlock
           Die GPT-Partitionstabelle des Startmediums, wie durch die Firmware in PCR 5 aufgezeichnet. Kann
           mittels systemd-pcrlock lock-gpt erstellt werden.

           Hinzugefügt in Version 255.

       620-secureboot-authority.pcrlock
           Die Autorität des sicheren Systemstarts, wie in PCR 7 aufgezeichnet. Kann mittels systemd-pcrlock
           lock-secureboot-authority erstellt werden.

           Hinzugefügt in Version 255.

       700-action-efi-exit-boot-services.pcrlock
           Die EFI-Aktion, die erstellt wird, wenn ExitBootServices() erstellt wird, d.h. wenn die UEFI-Umgebung
           verlassen wird und das Betriebssystem übernimmt. Deckt die PCR-5-Messung ab. Statisch definiert.

           Hinzugefügt in Version 255.

       710-kernel-cmdline.pcrlock
           Die Kernel-Befehlszeile, wie vom Linux-Kernel in PCR 9 eingemessen. Kann mittels systemd-pcrlock
           lock-kernel-cmdline erstellt werden.

           Hinzugefügt in Version 255.

       720-kernel-initrd.pcrlock
           Die Kernel-Initrd, wie vom Linux-Kernel in PCR 9 eingemessen. Kann mittels systemd-pcrlock
           lock-kernel-initrd erstellt werden.

           Hinzugefügt in Version 255.

       750-enter-initrd.pcrlock
           Die von systemd-pcrphase-initrd.service(8) durchgeführte Messung in PCR 11, wenn sich die Initrd
           initialisiert. Statisch definiert.

           Hinzugefügt in Version 255.

       800-leave-initrd.pcrlock
           Die von systemd-pcrphase-initrd.service(8) durchgeführte Messung in PCR 11, wenn sich die Initrd
           beendet. Statisch definiert.

           Hinzugefügt in Version 255.

       820-machine-id.pcrlock
           Die von systemd-pcrmachine.service(8) beim Systemstart durchgeführte Messung in PCR 15, deckt den
           Inhalt von /etc/machine-id ab. Kann mittels systemd-pcrlock lock-machine-id erstellt werden.

           Hinzugefügt in Version 255.

       830-root-file-system.pcrlock
           Die von systemd-pcrfs-root.service(8) beim Systemstart durchgeführte Messung in PCR 15, deckt die
           Identität des Wurzeldateisystems ab. Kann mittels systemd-pcrlock lock-file-system erstellt werden.

           Hinzugefügt in Version 255.

       850-sysinit.pcrlock
           Die Messung von systemd-pcrphase-sysinit.service(8) in PCR 11 erfolgt, wenn der Haupt-Anwendungsraum
           die grundlegende Initialisierung durchgeführt hat und jetzt damit beginnt, reguläre Systemdienste zu
           starten. Statisch definiert.

           Hinzugefügt in Version 255.

       900-ready.pcrlock
           Die Messung von systemd-pcrphase.service(8) in PCR 11 erfolgt, wenn das System komplett hochgefahren
           ist. Statisch definiert.

           Hinzugefügt in Version 255.

       950-shutdown.pcrlock
           Die Messung von systemd-pcrphase.service(8) in PCR 11 erfolgt, wenn das System mit dem Herunterfahren
           beginnt. Statisch definiert.

           Hinzugefügt in Version 255.

       990-final.pcrlock
           Die Messung von systemd-pcrphase-sysinit.service(8) in PCR 11 erfolgt, wenn das System kurz vor dem
           Abschließen des Herunterfahrens ist. Statisch definiert.

           Hinzugefügt in Version 255.


SIEHE AUCH
       systemd(1), systemd-pcrlock(8)


ANMERKUNGEN
        1. Kanonisches TCG-Ereignisprotokollformat (CEL-JSON)
           https://trustedcomputinggroup.org/resource/canonical-event-log-format/


ÜBERSETZUNG
       Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.

       Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3
       ⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE
       HAFTUNG übernommen.

       Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die
       Mailingliste der Übersetzer ⟨debian-l10n-german@lists.debian.org⟩.