plucky (8) systemd-cryptsetup-generator.8.gz
BEZEICHNUNG
systemd-cryptsetup-generator - Unit-Generator für /etc/crypttab
ÜBERSICHT
/usr/lib/systemd/system-generators/systemd-cryptsetup-generator
BESCHREIBUNG
Systemd-cryptsetup-generator ist ein Generator, der in der frühen Phase des Systemstarts und wenn die
Konfiguration des Systemverwalters neu geladen wird /etc/crypttab in native System-Units übersetzt. Dies
erzeugt die notwendigen systemd-cryptsetup@.service(8).
systemd-cryptsetup-generator implementiert systemd.generator(7).
KERNEL-BEFEHLSZEILE
Systemd-cryptsetup-generator versteht die folgenden Kernelbefehlszeilenparameter:
luks=, rd.luks=
Akzeptiert ein logisches Argument. Standardmäßig »yes«. Falls »no« wird der Generator komplett
deaktiviert. rd.luks= wird nur von der Initrd berücksichtigt, während luks= sowohl vom Hauptsystem
als auch in der Initrd berücksichtigt wird.
Hinzugefügt in Version 186.
luks.crypttab=, rd.luks.crypttab=
Akzeptiert ein logisches Argument. Standardmäßig »yes«. Falls »no« wird der Generator alle in
/etc/crypttab konfigurierten Geräte ignorieren (luks.uuid= wird aber noch funktionieren).
rd.luks.crypttab= wird nur von der Initrd berücksichtigt, während luks.crypttab= sowohl vom
Hauptsystem als auch in der Initrd berücksichtigt wird.
Hinzugefügt in Version 186.
luks.uuid=, rd.luks.uuid=
Akzeptiert eine LUKS-Superblock-UUID als Argument. Dies wird die angegebenen Geräte als Teil des
Systemstartvorgangs aktivieren, als ob sie in /etc/crypttab aufgeführt wären. Diese Option kann mehr
als einmal angegeben werden, um mehrere Geräte einzurichten. rd.luks.uuid= wird nur in der Initrd
berücksichtigt, während luks.uuid= sowohl vom Hauptsystem als auch in der Initrd berücksichtigt wird.
Falls /etc/crypttab Einträge mit der gleichen UUID enthält, werden der Name, die Schlüsseldatei und
die dort angegebenen Optionen benutzt. Andernfalls wird das Gerät den Namen »luks-UUID« tragen.
Falls /etc/crypttab existiert, werden nur die auf der Kernelbefehlszeile angegebenen Zeilen in der
Initrd oder in der echten Wurzel aktiviert.
Hinzugefügt in Version 186.
luks.name=, rd.luks.name=
Akzeptiert eine LUKS-Superblock-UUID, gefolgt von einem »=« und einem Namen. Dies impliziert
rd.luks.uuid= oder luks.uuid= und wird zusätzlich dafür sorgen, dass das über die UUID angegebene
LUKS-Gerät auch unter dem bereitgestellten Namen erscheint.
Dieser Parameter ist das Gegenstück zu dem ersten crypttab(5)-Feld volume-name.
rd.luks.name= wird nur in der Initrd berücksichtigt, während luks.name= sowohl vom Hauptsystem als
auch in der Initrd berücksichtigt wird.
Hinzugefügt in Version 218.
luks.data=, rd.luks.data=
Akzeptiert eine LUKS-Superblock-UUID, gefolgt von einem »=« und einer Blockgerät-Angabe für das
Gerät, das die verschlüsselten Daten enthält.
Für solche Einträge, die mit rd.luks.uuid= oder luks.uuid= festgelegt werden, wird das Datengerät auf
die durch rd.luks.data= oder luks.data= der entsprechenden UUID festgelegten gesetzt.
Der LUKS-Datengeräteparameter ist zur Angabe von verschlüsselten Datengeräten mit abgetrennten
Kopfzeilen, die in luks.options-Einträgen, die das Argument »header=« enthalten, festgelegt sind,
nützlich. Beispiel: rd.luks.uuid=b40f1abf-2a53-400a-889a-2eccc27eaa40
rd.luks.options=b40f1abf-2a53-400a-889a-2eccc27eaa40=header=/Pfad/zur/luks.hdr
rd.luks.data=b40f1abf-2a53-400a-889a-2eccc27eaa40=/dev/sdx. Daher wird in diesem Fall versucht, ein
LUKS-Gerät zu entsperren, das aus Datengeräten »/dev/sdx« zusammengebaut ist und dessen
LUKS-Kopfzeilen (Metadaten) in »Pfad/zur/luks.hdr«-Datei abgelegt sind. Diese Syntax wird derzeit nur
auf einer gerätebezogenen Basis unterstützt, d.h. Sie müssen die UUID des LUKS-Geräts angeben.
Dieser Parameter ist das Gegenstück zu dem zweiten crypttab(5)-Feld encrypted-device.
rd.luks.data= wird nur in der Initrd berücksichtigt, während luks.data= sowohl vom Hauptsystem als
auch in der Initrd berücksichtigt wird.
Hinzugefügt in Version 247.
luks.key=, rd.luks.key=
Akzeptiert einen Passwortdateinamen als Argument oder eine LUKS-Superblock-UUID, gefolgt von einem
»=« und einem Passwortdateinamen.
Für solche Einträge, die mit rd.luks.uuid= oder luks.uuid= festgelegt werden, wird die Passwortdatei
auf die durch rd.luks.key= oder luks.key= der entsprechenden UUID festgelegten gesetzt oder auf die
Passwortdatei, die ohne eine UUID festgelegt wurde.
Es ist auch möglich, ein externes Gerät festzulegen, das vor dem Entsperren des LUKS-Gerätes
eingehängt werden soll. Systemd-cryptsetup wird auf dem Gerät gespeicherte Passwortdateien verwenden.
Das Gerät, das die Passwortdatei enthält, wird durch Anhängen eines Doppelpunkts und einer
Gerätekennung an den Passwortdateipfad festgelegt. Beispiel:
rd.luks.uuid=b40f1abf-2a53-400a-889a-2eccc27eaa40
rd.luks.key=b40f1abf-2a53-400a-889a-2eccc27eaa40=/keyfile:LABEL=keydev. Daher wird in diesem Fall
versucht, ein auf dem Blockgerät mit dem Bezeichner »keydev« liegendes Dateisystem einzuhängen. Diese
Syntax wird derzeit nur auf einer gerätebezogenen Basis unterstützt, d.h. Sie müssen die UUID des
LUKS-Geräts angeben.
Dieser Parameter ist das Gegenstück zu dem dritten crypttab(5)-Feld key-file.
rd.luks.key= wird nur in der Initrd berücksichtigt, während luks.key= sowohl vom Hauptsystem als auch
in der Initrd berücksichtigt wird.
Hinzugefügt in Version 202.
luks.options=, rd.luks.options=
Akzeptiert eine LUKS-Superblock-UUID, gefolgt von einem »=« und einer Zeichenkette mit Optionen,
getrennt durch Kommata, als Argument. Dies wird die Optionen für die angegebene UUID außer Kraft
setzen.
Falls nur eine Liste von Optionen ohne eine UUID angegeben wird, werden sie auf alle UUIDs, die nicht
woanders angegeben werden und die keinen Eintrag in /etc/crypttab haben, angewandt.
Dieser Parameter ist das Gegenstück zu dem vierten crypttab(5)-Feld options.
Es ist möglich, ein externes Gerät festzulegen, das vor dem Entsperren des LUKS-Gerätes eingehängt
werden soll. Systemd-cryptsetup wird LUKS-Geräte durch Kombination der in luks.data festgelegten
Daten mit den in dem Argument »header=« gefundenen Kopfzeilen zusammenbauen. Beispiel:
rd.luks.uuid=b40f1abf-2a53-400a-889a-2eccc27eaa40
rd.luks.options=b40f1abf-2a53-400a-889a-2eccc27eaa40=header=/luks.hdr:LABEL=hdrdev
rd.luks.data=b40f1abf-2a53-400a-889a-2eccc27eaa40=/dev/sdx. Daher wird in diesem Fall versucht, ein
auf dem Blockgerät mit dem Bezeichner »hdrdev« liegendes Dateisystem einzuhängen und nach »luks.hdr«
auf diesem Dateisystem zu suchen. Besagte Kopfzeilen werden zum Entsperren (Entschlüsseln) der auf
/dev/sdx gespeicherten verschlüsselten Daten verwandt. Diese Syntax wird derzeit nur auf einer
gerätebezogenen Basis unterstützt, d.h. Sie müssen die UUID des LUKS-Geräts angeben.
rd.luks.options= wird nur von anfänglichen RAM-Platten (Initrd) berücksichtigt, während luks.options=
sowohl vom Hauptsystem als auch in der Initrd berücksichtigt wird.
Hinzugefügt in Version 208.
SIEHE AUCH
systemd(1), crypttab(5), systemd-cryptsetup@.service(8), systemd-cryptenroll(1), cryptsetup(8), systemd-fstab-generator(8)
ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt. Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 ⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen. Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer ⟨debian-l10n-german@lists.debian.org⟩.