BEZEICHNUNG
veritytab - Konfiguration für Verity-BlockgeräteÜBERSICHT
/etc/veritytabBESCHREIBUNG
Die Datei /etc/veritytab beschreibt Verity-geschützte Blockgeräte, die während der Systemstartphase eingerichtet werden. Leere Zeilen und Zeilen, die mit »#« beginnen, werden ignoriert. Jede der verbleibenden Zeilen beschreibt eines der Verity-geschützten Blockgeräte. Felder werden durch Leerraum getrennt. Jede Zeile hat die FormLaufwerksname Datengerät Hash-Gerät Wurzel-Hash Optionen
Definiert, was zu tun ist, wenn ein
Daten-Verity-Problem (Datenkorruption) festgestellt wurde. Ohne diese Optionen
lässt der Kernel die E/A-Aktion mit einem E/A-Fehler fehlschlagen. Mit
der Option »--ignore-corruption« wird die Korruption nur
protokolliert. Mit »--restart-on-corruption« oder
»--panic-on-corruption« wird der Kernel sofort neu gestartet
(Panik). (Sie müssen dafür sorgen, dass Neustart-Schleifen
vermieden werden.)
ignore-zero-blocks
Weist den Kernel an, keine Blöcke zu
verifizieren, von denen erwartet wird, dass sie nur Nullen enthalten, und dass
er stattdessen direkt Nullen zurückliefern soll. WARNUNG: Verwenden Sie
diese Option nur in sehr bestimmten Fällen. Diese Option ist seit
Kernelversion 4.5 verfügbar.
check-at-most-once
Weist den Kernel an, Blöcke nur beim
erstmaligen Einlesen vom Datengerät statt jedes Mal zu
überprüfen: WARNUNG: Dies reduziert die Datensicherheit, da nur
Offline-Verfälschungen des Inhaltes des Datengeräts erkannt
werden, aber keine Online-Verfälschung. Diese Option ist seit
Kernelversion 4.17 verfügbar.
root-hash-signature=PFAD|base64:HEX
Eine base64-Zeichenkette, die die
Wurzel-Hash-Signatur kodiert und der »base64:« oder ein Pfad zu
einer Wurzel-Hash-Signaturdatei zur Überpfüung des Wurzel-Hashes
(im Kernel) vorangestellt ist. Diese Funktionalität benötigt
einen Linux-Kernel der Version 5.4 oder neuer.
_netdev
Markiert dieses Veritysetup-Gerät als
netzwerkabhängig. Es wird gestartet, sobald das Netzwerk
verfügbar ist, ähnlich wie systemd.mount(5)-Units, die
mit _netdev markiert sind. Die Dienste-Unit zur Einrichtung dieses
Gerätes wird zwischen remote-fs-pre.target und
remote-veritysetup.target einsortiert, statt zwischen veritysetup-pre.target
und veritysetup.target.
Tipp: Falls dieses Gerät für einen in fstab(5) festgelegten
Einhängepunkt verwandt wird, sollte die Option _netdev auch
für den Einhängepunkt verwandt werden. Andernfalls könnte
eine Abhängigkeitsschleife erstellt werden, bei der der
Einhängepunkt durch local-fs.target hereingezogen, während der
Dienst zur Konfiguration des Netzwerkes normalerweise nach dem
Einhängen des lokalen Dateisystems gestartet wird.
noauto
Dieses Gerät wird nicht zu
veritysetup.target hinzugefügt. Dies bedeutet, dass es beim Systemstart
nicht automatisch aktiviert wird, außer etwas anderes zieht es herein.
Falls nämlich das Gerät für einen Einhängepunkt
verwandt wird, wird es während des Systemstarts automatisch
hereingezogen, außer der Einhängepunkt selbst ist auch mit
noauto deaktiviert.
nofail
Dieses Gerät wird keine harte
Abhängigkeit von veritysetup.target sein. Es wird weiterhin
hereingezogen und gestartet, aber das System wird nicht darauf warten, dass
das Gerät auftaucht und aktiviert wird und der Systemstart wird nicht
fehlschlagen, falls dies nicht erfolgreich passieren kann. Beachten Sie, dass
andere Units, die von dem aktivierten Gerät abhängen, weiterhin
fehlschlagen können. Falls nämlich das Gerät für
einen Einhängepunkt verwandt wird, muss der Einhängepunkt selbst
auch über die Option nofail verfügen oder der Systemstart
wird fehlschlagen, falls das Gerät nicht erfolgreich aktiviert
wurde.
x-initrd.attach
Richtet dieses Verity-geschützte
Blockgerät in der Initrd ein, ähnlich wie mit
x-initrd.mount markierte systemd.mount(5)-Units.
Obwohl es nicht notwendig ist, den Einhängeeintrag für das
Wurzeldateisystem mit x-initrd.mount zu markieren, wird
x-initrd.attach weiterhin mit den Verity-geschützten
Blockgeräten empfohlen, die das Wurzeldateisystem enthalten, da Systemd
andernfalls versuchen wird, das Gerät während des normalen
Herunterfahrens abzutrennen, während es noch benutzt wird. Mit dieser
Option wird dieses Gerät weiterhin abgetrennt, aber später,
nachdem das Wurzeldateisystem ausgehängt ist.
Alle anderen Verity-geschützten Blockgeräte, die in der Initrd
eingehängte Dateisysteme enthalten, sollten diese Option
verwenden.
In der frühen Systemstartphase und wenn die Systemverwalterkonfiguration
neu geladen wird, wird diese Datei durch
systemd-veritysetup-generator(8) in native Systemd-Units
übersetzt.
BEISPIELE
Beispiel 1. /etc/veritytab-Beispiel Richtet zwei Verity-geschützte Blockgeräte ein. Eines mittels Geräteblöcken, ein anderes mittels Dateien.usr PARTUUID=783e45ae-7aa3-484a-beef-a80ff9c19cbb PARTUUID=21dc1dfe-4c33-8b48-98a9-918a22eb3e37 36e3f740ad502e2c25e2a23d9c7c17bf0fdad2300b7580842d4b7ec1fb0fa263 auto data /etc/data /etc/hash a5ee4b42f70ae1f46a08a7c92c2e0a20672ad2f514792730f5d49d7606ab8fdf auto
SIEHE AUCH
systemd(1), systemd-veritysetup@.service(8), systemd-veritysetup-generator(8), fstab(5), veritysetup(8),ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <[email protected]> erstellt. Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen. Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer| systemd 252 |