Provided by: manpages-de_4.13-4_all bug

BEZEICHNUNG
       veritytab - Konfiguration für Verity-Blockgeräte


ÜBERSICHT
       /etc/veritytab


BESCHREIBUNG
       Die Datei /etc/veritytab beschreibt Verity-geschützte Blockgeräte, die während der Systemstartphase
       eingerichtet werden.

       Leere Zeilen und Zeilen, die mit »#« beginnen, werden ignoriert. Jede der verbleibenden Zeilen beschreibt
       eines der Verity-geschützten Blockgeräte. Felder werden durch Leerraum getrennt.

       Jede Zeile hat die Form

           Laufwerksname Datengerät Hash-Gerät Wurzel-Hash Optionen

       Die ersten vier Felder sind verpflichtend, das verbleibende ist optional.

       Das erste Feld enthält den Namen des sich ergebenden Verity-Datenträgers; sein Block-Gerät wird unterhalb
       von /dev/mapper/ eingerichtet.

       Das zweite Feld enthält einen Pfad zu dem zugrundeliegenden Blockdatengerät oder eine Festlegung eines
       Blockgerätes mittels »UUID=« gefolgt von der UUID.

       Das dritte Feld enthält einen Pfad zu dem zugrundeliegenden Block-Hash-Gerät oder eine Festlegung eines
       Blockgerätes mittels »UUID=« gefolgt von der UUID.

       Das vierte Feld ist der »Wurzel-Hash« in hexadezimaler Schreibweise.

       Das fünfte Feld, falls vorhanden, ist eine Kommata-getrennte Liste von Optionen. Die folgenden Felder
       werden erkannt:

       ignore-corruption, restart-on-corruption, panic-on-corruption
           Definiert, was zu tun ist, wenn ein Daten-Verity-Problem (Datenkorruption) festgestellt wurde. Ohne
           diese Optionen lässt der Kernel die E/A-Aktion mit einem E/A-Fehler fehlschlagen. Mit der Option
           »--ignore-corruption« wird die Korruption nur protokolliert. Mit »--restart-on-corruption« oder
           »--panic-on-corruption« wird der Kernel sofort neu gestartet (Panik). (Sie müssen dafür sorgen, dass
           Neustart-Schleifen vermieden werden.)

       ignore-zero-blocks
           Weist den Kernel an, keine Blöcke zu verifizieren, von denen erwartet wird, dass sie nur Nullen
           enthalten, und dass er stattdessen direkt Nullen zurückliefern soll. WARNUNG: Verwenden Sie diese
           Option nur in sehr bestimmten Fällen. Diese Option ist seit Kernelversion 4.5 verfügbar.

       check-at-most-once
           Weist den Kernel an, Blöcke nur beim erstmaligen Einlesen vom Datengerät statt jedes Mal zu
           überprüfen: WARNUNG: Dies reduziert die Datensicherheit, da nur Offline-Verfälschungen des Inhaltes
           des Datengeräts erkannt werden, aber keine Online-Verfälschung. Diese Option ist seit Kernelversion
           4.17 verfügbar.

       root-hash-signature=
           Eine base64-Zeichenkette, die die Wurzel-Hash-Signatur kodiert und der »base64:« oder ein Pfad zu
           einer Wurzel-Hash-Signaturdatei zur Überpfüung des Wurzel-Hashes (im Kernel) vorangestellt ist. Diese
           Funktionalität benötigt einen Linux-Kernel der Version 5.4 oder neuer.

       _netdev
           Markiert dieses Veritysetup-Gerät als netzwerkabhängig. Es wird gestartet, sobald das Netzwerk
           verfügbar ist, ähnlich wie systemd.mount(5)-Units, die mit _netdev markiert sind. Die Dienste-Unit
           zur Einrichtung dieses Gerätes wird zwischen remote-fs-pre.target und remote-veritysetup.target
           einsortiert, statt zwischen veritysetup-pre.target und veritysetup.target.

           Tipp: Falls dieses Gerät für einen in fstab(5) festgelegten Einhängepunkt verwandt wird, sollte die
           Option _netdev auch für den Einhängepunkt verwandt werden. Andernfalls könnte eine
           Abhängigkeitsschleife erstellt werden, bei der der Einhängepunkt durch local-fs.target hereingezogen,
           während der Dienst zur Konfiguration des Netzwerkes normalerweise nach dem Einhängen des lokalen
           Dateisystems gestartet wird.

       noauto
           Dieses Gerät wird nicht zu veritysetup.target hinzugefügt. Dies bedeutet, dass es beim Systemstart
           nicht automatisch aktiviert wird, außer etwas anderes zieht es herein. Falls nämlich das Gerät für
           einen Einhängepunkt verwandt wird, wird es während des Systemstarts automatisch hereingezogen, außer
           der Einhängepunkt selbst ist auch mit noauto deaktiviert.

       nofail
           Dieses Gerät wird keine harte Abhängigkeit von veritysetup.target sein. Es wird weiterhin
           hereingezogen und gestartet, aber das System wird nicht darauf warten, dass das Gerät auftaucht und
           aktiviert wird und der Systemstart wird nicht fehlschlagen, falls dies nicht erfolgreich passieren
           kann. Beachten Sie, dass andere Units, die von dem aktivierten Gerät abhängen, weiterhin fehlschlagen
           können. Falls nämlich das Gerät für einen Einhängepunkt verwandt wird, muss der Einhängepunkt selbst
           auch über die Option nofail verfügen oder der Systemstart wird fehlschlagen, falls das Gerät nicht
           erfolgreich aktiviert wurde.

       x-initrd.attach
           Richtet dieses Verity-geschützte Blockgerät in der Initramfs ein, ähnlich wie mit x-initrd.mount
           markierte systemd.mount(5)-Units.

           Obwohl es nicht notwendig ist, den Einhängeeintrag für das Wurzeldateisystem mit x-initrd.mount zu
           markieren, wird x-initrd.attach weiterhin mit den Verity-geschützten Blockgeräten empfohlen, die das
           Wurzeldateisystem enthalten, da Systemd andernfalls versuchen wird, das Gerät während des normalen
           Herunterfahrens abzutrennen, während es noch benutzt wird. Mit dieser Option wird dieses Gerät
           weiterhin abgetrennt, aber später, nachdem das Wurzeldateisystem ausgehängt ist.

           Alle anderen Verity-geschützten Blockgeräte, die in der Initramfs eingehängte Dateisysteme enthalten,
           sollten diese Option verwenden.

       In der frühen Systemstartphase und wenn die Systemverwalterkonfiguration neu geladen wird, wird diese
       Datei durch systemd-veritysetup-generator(8) in native Systemd-Units übersetzt.


BEISPIELE
       Beispiel 1. /etc/veritytab-Beispiel

       Richtet zwei Verity-geschützte Blockgeräte ein. Eines mittels Geräteblöcken, ein anderes mittels Dateien.

           usr  PARTUUID=783e45ae-7aa3-484a-beef-a80ff9c19cbb PARTUUID=21dc1dfe-4c33-8b48-98a9-918a22eb3e37 36e3f740ad502e2c25e2a23d9c7c17bf0fdad2300b7580842d4b7ec1fb0fa263 auto
           data /etc/data /etc/hash a5ee4b42f70ae1f46a08a7c92c2e0a20672ad2f514792730f5d49d7606ab8fdf auto


SIEHE AUCH
       systemd(1), systemd-veritysetup@.service(8), systemd-veritysetup-generator(8), fstab(5), veritysetup(8),


ÜBERSETZUNG
       Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.

       Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer
       bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.

       Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die
       Mailingliste der Übersetzer.

systemd 250                                                                                         VERITYTAB(5)