plucky (8) systemd-pcrlock.8.gz
BEZEICHNUNG
systemd-pcrlock, systemd-pcrlock-file-system.service, systemd-pcrlock-firmware-code.service,
systemd-pcrlock-firmware-config.service, systemd-pcrlock-machine-id.service,
systemd-pcrlock-make-policy.service, systemd-pcrlock-secureboot-authority.service,
systemd-pcrlock-secureboot-policy.service - TPM-PCR-Zustände analysieren und aus dieser Vorhersage eine
Zugriffsrichtlinie erstellen
ÜBERSICHT
/usr/lib/systemd/systemd-pcrlock [OPTIONEN…]
BESCHREIBUNG
Hinweis: Dieser Befehl ist derzeit experimentell. Es ist zwar wahrscheinlich, dass er eine reguläre
Komponente von Systemd wird, aber sein Verhalten und seine Schnittstellen können sich noch ändern.
systemd-pcrlock ist ein Werkzeug, das zur Analyse und Vorhersage von TPM2-PCR-Messungen verwandt werden
kann und TPM2-Zugriffsrichtlinien aus der Vorhersage erstellen kann, die es in einem TPM2-NV-Index
speichert (d.h. in dem nichtflüchtigen TPM2-Speicher). Dies kann dann zur Zugriffsbeschränkung auf
TPM2-Objekte (wie Schlüssel einer Plattenverschlüsselung) für Systemstarts verwandt werden, bei dem nur
bestimmte, vertrauenswürdige Komponenten verwandt werden.
Für seine Analyse und Vorhersage verwendet systemd-pcrlock Folgendes als Eingabe:
• Das UEFI-Firmware-TPM2-Ereignisprotokoll (d.h. /sys/kernel/security/tpm0/binary_bios_measurements)
des aktuellen Systemstarts.
• Das TPM2-Ereignisprotokoll im Anwendungsraum (d.h. /run/log/systemd/tpm2-measure.log) des aktuellen
Systemstarts.
• Der aktuelle PCR-Zustand des TPM2-Bausteins.
• Systemstartkomponentendefinitionsdateien (*.pcrlock und *.pcrlock.d/*.pcrlock, siehe
systemd.pcrlock(5)), die jeweils erwartete Messungen für eine Komponente des Systemstartprozess und
alternative Varianten für jede definieren. (Varianten können dazu verwandt werden, mehrere
Kernelversionen oder Systemstartprogrammversionen gleichzeitig freizugeben.)
Sie verwendet diese Eingaben, um ein kombiniertes Ereignisprotokoll zu erstellen und es gegen die
PCR-Zustände zu validieren. Dann versucht sie, Ereignisprotokollereignisse zu erkennen und vergleicht sie
mit den definierten Komponenten. Für jedes PCR, wo dies umfassend erfolgen kann (d.h. wo alle
aufgeführten Datensätze und alle definierten Komponenten passen), kann dies dann zur Vorhersage
zukünftiger PCR-Messungen verwandt werden. Dabei werden alternative, für jede Komponente definierte
Varianten berücksichtigt. Diese Vorhersage kann dann in eine TPM2-Zugriffsrichtlinie umgewandelt werden
(diese besteht aus TPM2-PolicyPCR- und PolicyOR-Einträgen), die dann in einen NV-Index im TPM2
gespeichert wird. Damit können dann Geheimnisse (wie Schlüssel für die Festplattenverschlüsselung) für
diese Richtlinien gesperrt werden (mittels einer TPM2-PolicyAuthorizeNV-Richtlinie).
Verwenden Sie Werkzeuge wie systemd-cryptenroll(1) oder systemd-repart(8), um Plattenverschlüsselungen an
solch eine systemd-pcrlock-TPM2-Richtlinie zu binden. Siehe insbesonderen den Schalter --tpm2-pcrlock=
dieser Werkzeuge.
Die Zugriffssteuerungsrichtlinienlogik benötigt ein TPM2-Gerät, das den Befehl »PolicyAuthorizeNV«
implementiert, d.h. das TPM 2.0-Version 1.38 oder neuer implementiert.
BEFEHLE
Die folgenden Befehle werden verstanden:
log
Dies liest das kombinierte TPM2-Ereignisprotokoll, validiert es, vergleicht es mit den aktuellen
PCR-Werten und gibt beides in tabellarischer Form aus. Kombinieren Sie es mit --json=, um Ausgabe im
JSON-Format zu erzeugen.
Hinzugefügt in Version 255.
cel
Dies liest das kombinierte TPM2-Ereignisprotokoll und schreibt es in die Standardausgabe im
Kanonisches TCG-Ereignisprotokollformat (CEL-JSON)[1].
Hinzugefügt in Version 255.
list-components
Zeigt eine Liste an Komponentendefinitionen und ihrer Varianten, d.h. die in /var/lib/pcrlock.d/,
/usr/lib/pcrlock.d/ und anderen unterstützten Verzeichnissen erkannten Dateien *.pcrlock. Siehe
systemd.pcrlock(5) zu Details dieser Dateien und der vollständigen Liste der durchsuchten
Verzeichnisse.
Hinzugefügt in Version 255.
predict
Sagt den PCR-Zustand für zukünftige Systemstarts voraus. Dies wird wie oben beschrieben das
TPM2-Ereignisprotokoll analysieren, Komponenten erkennen und dann alle möglichen daraus entstehenden
PCR-Werte für alle Kombinationen der Komponentenvarianten erstellen. Beachten Sie, dass für PCRs,
deren Werte nicht auf Datensätze des Ereignisprotokolls passen, für die unbekannte Messungen erkannt
werden oder für die Komponenten definiert sind, die nicht im Ereignisprotokoll vorhanden sind, keine
Vorhersage erfolgt. Dies ist eine Sicherheitsmaßnahme, um sicherzustellen, dass jede erstellte
Zugriffsrichtlinie korrekt beim aktuellen und zukünftigen Systemstarts erfüllt werden kann.
Hinzugefügt in Version 255.
make-policy
Dies sagt den PCR-Zustand für zukünftige Systemstarts vorher, ähnlich wie der obige Befehl predict.
Es verwendet diese Daten dann, um eine TPM2-Zugriffsrichtlinie zu erstellen, die dann in einem
TPM2-NV-Index gespeichert wird. Die Vorhersage und Informationen über den verwandten TPM2 und dessen
NV-Index werden nach /var/lib/systemd/pcrlock.json geschrieben.
Der NV-Index wird beim ersten Aufruf reserviert und bei nachfolgenden Aufrufen aktualisiert.
Der NV-Index kann durch Angabe einer Zugriffs-PIN geändert (und daher die darin gepspeicherte
Richtlinie aktualisiert) werden. Diese PIN wird normalerweise automatisch generiert und in
verschlüsselter Form in der vorgenannten JSON-Richtliniendatei gespeichert (wobei eine
Zugriffsrichtlinie sie an den NV-Index selbst bindet). Diese PIN kann durch den Benutzer über den
Schalter --recovery-pin= gewählt werden. Falls angegeben, kann sie als alternativer Zugriffspfad zur
Aktualisierung der Richtlinie verwandt werden.
Falls die neue Vorhersage mit der alten übereinstimmt, beendet sich der Befehl schnell und führt
keine weitere Aktion aus. (Außer --force wurde angegeben, siehe unten.)
Beginnend mit v256 wird eine Kopie der Richtliniendatei /var/lib/systemd/pcrlock.json in die
Zugangsberechtigungsdatei kodiert (siehe systemd-creds(1) zu Details) und in die EFI-Systempartition
oder die XBOOTLDR-Partition im Unterverzeichnis /loader/credentials/ subdirectory geschrieben werden.
Dort wird sie während des Systemstarts von systemd-stub(7) aufgenommen und an die aufgerufene Initrd
übergeben, wo sie dann zum Entsperren des Wurzeldateisystems verwandt wird (das Wurzeldateisystem
enthält typischerweise /var/, wo sich die primäre Kopie der Richtlinie befindet, die daher nicht zum
Entsperren des Wurzeldateisystems verwandt werden kann). Die Zugangsberechtigungsdatei wird nach dem
Systemstarteintragsmerkmal der Installation benannt (siehe bootctl(1)). Dies kann, wie nachfolgend
beschrieben, über den Schalter --entry-token= konfiguriert werden.
Hinzugefügt in Version 255.
remove-policy
Entfernt eine vorher erstellte Richtlinie. Löscht die Datei /var/lib/systemd/pcrlock.json und gibt
den NV-Index frei.
Hinzugefügt in Version 255.
lock-firmware-code, unlock-firmware-code
Erstellt/Entfernt Dateien .pcrlock basierend auf dem TPM2-Ereignisprotokoll des aktuellen
Systemstarts, die alle Datensätze für PCRs 0 (»Plattform-Code«) und 2 (»externer-Code«) abdecken.
Diese Aktion ermöglicht das Sperren des Systemstarts auf die aktuelle Version der Firmware des
Systems und seiner Erweiterungskarten. Diese Aktion sollte nur verwandt werden, falls der
Systemlieferant vorab keine geeigneten pcrlock-Daten bereitstellt.
Beachten Sie, dass dies nur auf die aktuelle Version der Firmware passt. Falls eine Aktualisierung
der Firmware erfolgt, sind diese Daten veraltet und jede daraus erstellte Zugriffsrichtlinie wird
nicht mehr bestehen. Es wird daher empfohlen, unlock-firmware-code aufzurufen, bevor eine
Firmware-Aktualisierung erfolgt, gefolgt von make-policy, um die Richtlinie zu aktualisieren.
systemd-pcrlock lock-firmware-code wird, falls aktiviert, automatisch beim Systemstart mittels der
Unit systemd-pcrlock-firmware-code.service aufgerufen. Das stellt sicher, dass eine durch
systemd-pcrlock verwaltete Zugriffsrichtlinie automatisch auf die neue Firmware-Version gesperrt
wird, wann immer die Richtlinie temporär gelockert wurde, um wie oben beschrieben
Firware-Aktualisierungen abzudecken.
Die Dateien werden nur aus dem Ereignisprotokoll erstellt, falls das Ereignisprotokoll auf den
aktuellen TPM2-PCR-Zustand passt.
Dies schreibt/entfernt die Dateien
/var/lib/pcrlock.d/250-firmware-code-early.pcrlock.d/generated.pcrlock und
/var/lib/pcrlock.d/550-firmware-code-late.pcrlock.d/generated.pcrlock.
Hinzugefügt in Version 255.
lock-firmware-config, unlock-firmware-config
Dies ist zu lock-firmware-code/unlock-firmware-code ähnlich, sperrt aber die Firmwarekonfiguration
ab, d.h. PCR 1 (»platform-config«) und 3 (»external-config«).
Diese Funktionalität sollte vorsichtig verwandt werden, da in den meisten Fällen eine kleine
Firmwarekonfigurationsänderung nicht die Zugriffsregeln auf TPM2-Objekte ungültig machen sollte.
Beachten Sie auch, dass manche Systeme instabile und unvorhersehbare Informationen in diese PCRs
messen (z.B. aktuelle CPU-Spannungen, -Temperaturen als Teil der SMBIOS-Daten), wodurch diese Art von
Absperrung für solche Systeme nicht zuverlässig verwandt werden kann. Verwenden Sie diese
Funktionalität nur, falls das System und die Hardware gut bekannt sind und nicht diesen
Beschränkungen unterliegen, beispielsweise in virtualisierten Umgebungen.
Verwendet unlock-firmware-config vor Änderungen der Firmwarekonfiguration. Falls die Unit
systemd-pcrlock-firmware-config.service aktiviert ist, wird sie automatisch eine Pcrlock-Datei aus
den neuen Messungen erstellen.
Dies schreibt/entfernt die Dateien
/var/lib/pcrlock.d/250-firmware-config-early.pcrlock.d/generated.pcrlock und
/var/lib/pcrlock.d/550-firmware-config-late.pcrlock.d/generated.pcrlock.
Hinzugefügt in Version 255.
lock-secureboot-policy, unlock-secureboot-policy
Erstellt/Entfernt eine .pcrlock-Datei auf der Basis der aktuell durchgesetzten Richtlinie zum
sicheren Systemstart. Dies schaut auf die EFI-Variablen SecureBoot, PK, KEK, db, dbx, dbt und dbr und
sagt ihre Messungen in PCR 7 (»secure-boot-policy«) für den nächsten Systemstart vorher.
Verwendet unlock-firmware-config vor der Anwendung von Aktualisierungen der Richtlinie für den
sicheren Systemstart. Falls die Unit systemd-pcrlock-secureboot-policy.service aktiviert ist, wird
sie automatisch eine Pcrlock-Datei aus der erkannten Richtlinie erstellen.
Dies schreibt/entfernt die Datei
/var/lib/pcrlock.d/230-secureboot-policy.pcrlock.d/generated.pcrlock.
Hinzugefügt in Version 255.
lock-secureboot-authority, unlock-secureboot-authority
Erstellt/Entfernt eine .pcrlock-Datei auf der Basis der Autoritäten des sicheren Systemstarts, die
zur Validierung des Systemstartpfades verwandt wurden. Autoritäten des sicheren Systemstarts sind die
bestimmten SecureBoot-Datenbankeinträge, die zur Validierung der beim Systemstart ausgeführten
UEFI-PE-Programme verwandt wurden. Dies schaut auf das Ereignisprotokoll des aktuellen Systemstarts
und verwendet die relevanten Messungen auf PCR 7 (»secure-boot-policy«).
Dies schreibt/entfernt die Datei
/var/lib/pcrlock.d/620-secureboot-authority.pcrlock.d/generated.pcrlock.
Hinzugefügt in Version 255.
lock-gpt [GERÄT], unlock-gpt
Erstellt/Entfernt eine .pcrlock-Datei auf der Basis der GPT-Partitionstabelle der angegebenen Platte.
Falls keine Platte angegeben ist, wird automatisch das Blockgerät bestimmt, das dem Wurzeldateisystem
zugrundeliegt. Dies sperrt den Zustand der Plattenpartitionierung des gestarteten Mediums, den die
Firmware in PCR 5 (»boot-loader-config«) einmisst.
Dies schreibt/entfernt die Datei /var/lib/pcrlock.d/600-gpt.pcrlock.d/generated.pcrlock.
Hinzugefügt in Version 255.
lock-pe [PROGRAMM], unlock-pe
Erstellt/Entfernt eine .pcrlock-Datei auf der Basis des angegebenen PE-Programms. Dies ist zur
Vorhersage der Messungen der Firmware in PCR 4 (»boot-loader-code«) nützlich, falls das angegebene
Programm Teil des UEFI-Systemstartprozesses ist. Verwenden Sie diese Option für Systemstartprogramme
und ähnliches. Verwenden Sie lock-uki (siehe unten) für PE-Programme, die vereinigte Kernelabbilder
(UKIs) sind.
Erwartet als Argument einen Pfad zu einem PE-Programm. Falls nicht angegeben, wird das Programm
stattdessen von Stdin gelesen.
Die zu schreibende Pcrlock-Datei muss mit dem Schalter --pcrlock= angegeben werden.
Hinzugefügt in Version 255.
lock-uki [UKI], unlock-uki
Erstellt/Entfernt eine .pcrlock-Datei auf der Basis des angegebenen UKI-PE-Programms. Dies ist zur
Vorhersage der Messungen der Firmware in PCR 4 (»boot-loader-code«) und von systemd-stub(7) in PCR 11
(»kernel-boot«) nützlich, falls das angegebene UKI gestartet wurde. Dies ist eine Obermenge von
lock-pe.
Erwartet als Argument einen Pfad zu einem UKI-PE-Programm. Falls nicht angegeben, wird das Programm
stattdessen von Stdin gelesen.
Die zu schreibende Pcrlock-Datei muss mit dem Schalter --pcrlock= angegeben werden.
Hinzugefügt in Version 255.
lock-machine-id, unlock-machine-id
Erstellt/Entfernt eine .pcrlock-Datei auf der Basis von /etc/machine-id. Dies ist zur Vorhersage der
Messungen durch systemd-pcrmachine.service(8) in PCR 15 (»system-identity«) nützlich.
Dies schreibt/entfernt die Datei /var/lib/pcrlock.d/820-machine-id.pcrlock.
Hinzugefügt in Version 255.
lock-file-system [PFAD], unlock-file-system [PFAD]
Erstellt/Entfernt eine .pcrlock-Datei auf der Basis der Dateisystemidentität. Dies ist zur Vorhersage
der Messungen durch systemd-pcrfs@.service(8) in PCR 15 (»system-identity«) für die Wurzel- und
/var/-Dateisysteme nützlich.
Dies schreibt/entfernt die Dateien /var/lib/pcrlock.d/830-root-file-system.pcrlock und
/var/lib/pcrlock.d/840-file-system-Pfad.pcrlock.
Hinzugefügt in Version 255.
lock-kernel-cmdline [DATEI], unlock-kernel-cmdline
Erstellt/Entfernt eine .pcrlock-Datei auf der Basis von /proc/cmdline (oder falls angegeben der
angegebenen Datei). Dies ist zur Vorhersage der Messungen, die der Linux-Kernel in PCR 9
(»kernel-initrd«) durchführt, nützlich.
Dies schreibt/entfernt die Datei /var/lib/pcrlock.d/710-kernel-cmdline.pcrlock/generated.pcrlock.
Hinzugefügt in Version 255.
lock-kernel-initrd DATEI, unlock-kernel-initrd
Erstellt/Entfernt eine .pcrlock-Datei auf der Basis eines Kernel-Initrd-CPIO-Archivs. Dies ist zur
Vorhersage der Messungen, die der Linux-Kernel in PCR 9 (»kernel-initrd«) durchführt, nützlich.
Verwenden Sie dies nicht für systemd-stub(7)-UKIs, da die Initrd dynamisch aus verschiedenen Quellen
kombiniert wird und daher nicht - wie dieser Befehl - eine einzelne Eingabe akzeptiert.
Dies schreibt/entfernt die Datei /var/lib/pcrlock.d/720-kernel-initrd.pcrlock/generated.pcrlock.
Hinzugefügt in Version 255.
lock-raw [DATEI], unlock-raw
Erstellt/Entfernt eine .pcrlock-Datei auf der Basis roher binärer Daten. Die Daten werden entweder
aus der angegebenen Datei oder von Stdin (falls keine Datei angegeben ist) gelesen. Dies benötigt die
Angabe von --pcrs=. Die erstellte .pcrlock-Datei wird in die mittels --pcrlock= angegebene Datei oder
in Stdout (falls keine Datei angegeben ist) geschrieben.
Hinzugefügt in Version 255.
OPTIONEN
Die folgenden Optionen werden verstanden:
--raw-description
Bei der Anzeige des TPM2-Ereignisprotokolls wird nicht versucht, die Datensätze zu dekodieren, um
eine freundliche Ereignisprotokoll-Beschreibungszeichenkette zu erhalten. Stattdessen werden die
binären Nutzlastdaten in maskierter Darstellung angezeigt.
Hinzugefügt in Version 255.
--pcr=
Gibt die zu verwendende PCR-Nummer an. Kann mehr als einmal angegeben werden, um mehrere PCRs
auszwählen.
Dies wird von lock-raw und lock-pe verwandt, um den PCR auszuwählen, gegen den gesperrt werden soll.
Falls dies mit predict und make-policy verwandt wird, wird dies die in der Vorhersage und Richtlinie
einzuschließenden PCRs außer Kraft setzen. Falls nicht angegeben ist die Vorgabe PCRs 0-5, 7, 11-15.
Beachten Sie, dass diese Befehle keine PCRs in die Vorhersage/Richtlinie einschließen werden (selbst
wenn sie explizit festgelegt wurden), falls es Messungen im Ereignisprotokoll gibt, die nicht auf den
aktuellen PCR-Wert passen oder es nicht erkannte Messungen in dem Ereignisprotokoll gibt, oder
Komponenten Messungen definieren, die im Ereignisprotokoll nicht gefunden werden können.
Hinzugefügt in Version 255.
--nv-index=
Legt den NV-Index fest, in dem die Richtlinie gespeichert werden soll. Wird von make-policy
berücksichtigt. Falls nicht angegeben, wird der Befehl automatisch einen freien NV-Index auswählen.
Hinzugefügt in Version 255.
--components=
Akzeptiert einen Pfad, aus dem Dateien *.pcrlock und *.pcrlock.d/*.pcrlock gelesen werden. Kann mehr
als einmal verwandt werden, um mehrere solcher Verzeichnisse anzugeben. Falls nicht angegeben ist die
Vorgabe /etc/pcrlock.d/, /run/pcrlock.d/, /var/lib/pcrlock.d/, /usr/local/pcrlock.d/,
/usr/lib/pcrlock.d/.
Hinzugefügt in Version 255.
--location=
Akzeptiert entweder eine Zeichenkette oder ein durch Doppelpunkt getrenntes Paar an Zeichenketten.
Konfiguriert bis zu welchem Punkt in der sortierten Liste der definierten Komponenten die PCRs
analysiert/vorhergesagt werden sollen. Typischerweise wird das Werkzeug systemd-pcrlock von einem
vollständig gestarteten System nach dem Hochfahren und vor dem Herunterfahren gestartet. Dies
bedeutet, dass verschiedene Komponenten, die für das Herunterfahren definiert sind, noch nicht
gemessen wurden und daher nach ihnen nicht gesucht werden sollte. Diese Option ermöglicht es zu
beschränken, welche Komponenten für die Analyse betrachtet werden (wobei nur Komponenten vor einem
bestimmten Punkt berücksichtigt und Komponenten danach ignoriert werden). Die erwartete Zeichenkette
wird gegen die Dateinamen der definierten Komponenten sortiert. Jede Komponente, deren Name
lexikographisch dahinter sortiert, wird ignoriert. Diese Logik wird für die Unterbefehle log, predict
und make-policy angewandt. Falls ein durch Doppelpunkt getrenntes Paar an Zeichenketten angegeben
ist, dann wählen diese aus, welche Phasen des Systemstarts in der Vorhersage/Richtlinie aufgenommen
werden soll. Die erste Zeichenkette definiert, wo die erste Vorhersage gemacht werden soll und die
zweite Zeichenkette definiert, wo die letzte Vorhersage gemacht werden soll. Alle solche Vorhersagen
werden dann in einen Satz kombiniert.
Bei der Verwendung mit list-components wird der ausgewählte Lagebereich in der Komponentenliste
hervorgehoben.
Standardmäßig »760-:940-«. Dies bedeutet, dass die standardmäßig erstellten Richtlinien im
wesentlichen die gesamte Laufzeit des Anwendungsraums des Betriebssystems, von der Initrd (da »760-«
eng auf 750-enter-initrd.pcrlock folgt) bis (und einschließlich) der Hauptlaufzeit des Systems (da
»940-« eng von 950-shutdown.pcrlock gefolgt wird) abdeckt. Siehe systemd.pcrlock(5) für eine
vollständige Liste der gut bekannten Komponenten, die beleuchtet, wo dieser Bereich standardmäßig
angeordnet ist.
Hinzugefügt in Version 255.
--recovery-pin=
Akzeptiert entweder »hide«, »show« oder »query«. Standardmäßig »hide«. Wird von make-policy
berücksichtigt. Falls »query«, wird der Benutzer nach einer PIN zum Entsperren des TPM2-NV-Indexes
gefragt. Falls bisher keine Richtline erstellt wurde, dann wird diese PIN zum Schutz des frisch
zugewiesenen NV-Indexes verwandt. Falls eine Richtlinie bereits erstellt wurde, wird die PIN zum
Entsperren des Schreibzugriffs auf den NV-Index verwandt. Falls entweder »hide« oder »show« verwandt
wird, wird automatisch eine PIN erstellt und – nur im Falle von »show« – auf dem Bildschirm
dargestellt. Unabhängig davon, ob vom Benutzer bereitgestellt oder automatisch erstellt, wird die PIN
in verschlüsselter Form in der Richtlinien-Metadatendatei gespeichert. Die Wiederherstellungs-PIN
kann zum Wiedererlangen von Schreibzugriff auf einen NV-Index verwandt werden, falls die
Zugriffs-Richtlinie veraltete.
Hinzugefügt in Version 255.
--pcrlock=
Akzeptiert einen Dateisystempfad als Argument. Falls angegeben, wird konfiguriert, wohin die
erstellten Pcrlock-Daten geschrieben werden sollen. Wird von verschiedenen Befehlen lock-*
berücksichtigt. Falls nicht angegeben wird im Allgemeinen ein Standardpfad, wie oben beschrieben,
verwandt.
Hinzugefügt in Version 255.
--policy=
Akzeptiert einen Dateisystempfad als Argument. Falls angegeben, wird konfiguriert, wohin die
Pcrlock-Richtlinien-Metadaten geschrieben werden sollen. Falls nicht angegeben ist die Vorgabe
/var/lib/systemd/pcrlock.json.
Hinzugefügt in Version 255.
--force
Falls mit make-policy angegeben, wird die vorhergesagte Richtlinie in den NV-Index geschrieben,
selbst wenn erkannt wird, dass sie die gleiche wie die bereits gespeicherte ist.
Hinzugefügt in Version 255.
--entry-token=
Setzt das Systemstarteintragsmerkmal, das für den Dateinamen für die
Pcrlock-Richtlinien-Zugangsberechtigung in der EFI-Systempartition oder der XBOOTLDR-Partition
verwandt werden soll. Siehe die gleiche Option für bootctl(1) zu den erwarteten Werten. Dieser
Schalter hat nur für den Befehl make-policy eine Auswirkung.
Hinzugefügt in Version 256.
--json=MODUS
Zeigt die Ausgabe als JSON formatiert. Erwartet entweder »short« (für die kürzest mögliche Ausgabe
ohne unnötigen Leerraum oder Zeilenumbrüche), »pretty« (für eine schönere Version der gleichen
Ausgabe, mit Einzügen und Zeilenumbrüchen) oder »off« (um die JSON-Ausgabe auszuschalten, was die
Vorgabe ist).
--no-pager
Leitet die Ausgabe nicht an ein Textanzeigeprogramm weiter.
-h, --help
Zeigt einen kurzen Hilfetext an und beendet das Programm.
--version
Zeigt eine kurze Versionszeichenkette an und beendet das Programm.
EXIT-STATUS
Bei Erfolg wird 0 zurückgegeben, anderenfalls ein Fehlercode ungleich Null.
SIEHE AUCH
systemd(1), systemd.pcrlock(5), systemd-cryptenroll(1), systemd-cryptsetup@.service(8), systemd-repart(8), systemd-pcrmachine.service(8), systemd-creds(1), systemd-stub(7), bootctl(1)
ANMERKUNGEN
1. Kanonisches TCG-Ereignisprotokollformat (CEL-JSON)
https://trustedcomputinggroup.org/resource/canonical-event-log-format/
ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt. Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 ⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen. Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer ⟨debian-l10n-german@lists.debian.org⟩.