Este es el comando keyctl que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
keyctl: control de la instalación de gestión de claves
SINOPSIS
teclactl --versión
teclactl mostrar [-x] [ ]
teclactl agregar
teclactl padd
teclactl solicitud [ ]
teclactl request2 [ ]
teclactl prequest2 [ ]
teclactl actualizar
teclactl pupdate
teclactl newring
teclactl revocar
teclactl claro
teclactl Enlace
teclactl desconectar [ ]
teclactl búsqueda [ ]
teclactl leer
teclactl tubo
teclactl impresión
teclactl lista
teclactl listar
teclactl describir
teclactl rdescribe [sep]
teclactl chown
teclactl chgrp
teclactl setperm
teclactl nueva sesión
teclactl Sesión
teclactl sesión - [ ...]
teclactl sesión [ ...]
teclactl instanciar
teclactl señalar
teclactl negar
teclactl rechazar
teclactl se acabó el tiempo
teclactl seguridad
teclactl cosechar [-v]
teclactl purga
teclactl purgar [-i] [-p]
teclactl purgas
teclactl get_persistent [ ]
DESCRIPCIÓN
Este programa se utiliza para controlar la función de gestión de claves de varias formas mediante un
variedad de subcomandos.
VENTAJAS IDENTIFICADORES
Los identificadores de clave pasados o devueltos por keyctl son, en general, enteros positivos.
Sin embargo, existen algunos valores especiales con significados especiales que pueden pasarse como
argumentos:
(*) No hay llave: 0
(*) Llavero de hilo: @t or -1
Cada hilo puede tener su propio llavero. Esto se busca primero, antes que todos los demás. El
El llavero de hilo se reemplaza por (v) fork, exec y clone.
(*) Llavero de proceso: @p or -2
Cada proceso (grupo de subprocesos) puede tener su propio llavero. Esto se comparte entre todos los miembros.
de un grupo y se buscará después del llavero del hilo. Se reemplaza el llavero de proceso
por (v) fork y exec.
(*) Llavero de sesión: @s or -3
Cada proceso se suscribe a un llavero de sesión que se hereda a través de (v) fork, exec y
clon. Esto se busca después del llavero de proceso. Los llaveros de sesión se pueden nombrar y
El llavero existente se puede unir en lugar del llavero de la sesión actual de un proceso.
(*) Llavero específico del usuario: @u or -4
Este llavero se comparte entre todos los procesos propiedad de un usuario en particular. No es
buscado directamente, pero normalmente está vinculado desde el llavero de sesión.
(*) Llavero de sesión predeterminado del usuario: @nosotros or -5
Este es el llavero de sesión predeterminado para un usuario en particular. Procesos de inicio de sesión que cambian a
un usuario en particular se vinculará a esta sesión hasta que se establezca otra sesión.
(*) Llavero específico de grupo: @g or -6
Este es un marcador de posición para un llavero específico de un grupo, pero aún no está implementado.
en el kernel.
(*) Supuesta clave de autorización request_key: @a or -7
Esto selecciona la clave de autorización proporcionada al asistente request_key () para permitirle
acceder a los llaveros de las personas que llaman y crear una instancia de la clave de destino.
(*) Llavero por nombre: %:
Un llavero con nombre. Esto se buscará en los llaveros del proceso y en / proc / keys.
(*) Clave por nombre: % :
Una clave con nombre del tipo dado. Esto se buscará en los llaveros del proceso y en
/ proc / keys.
COMANDO SINTAXIS
Se puede utilizar cualquier acortamiento no ambiguo de un nombre de comando en lugar del comando completo
nombre. Esta función no debe utilizarse en la creación de secuencias de comandos, ya que es posible que se agreguen nuevos comandos en el futuro.
que luego causan ambigüedad.
(*) Pantalla las paquete versión número
teclactl --versión
Este comando imprime el número de versión del paquete y la fecha de construcción y sale:
testbox> keyctl --version
keyctl de keyutils-1.5.3 (construido 2011-08-24)
(*) Espectáculo llaveros
teclactl Mostrar [-X] [ ]
De forma predeterminada, este comando muestra de forma recursiva a qué llaveros está suscrito un proceso y
qué llaves y llaveros contienen. Si se especifica un llavero, ese llavero será
arrojado en su lugar. Si -x se especifica, los ID de llavero se volcarán en hexadecimal en lugar de
decimal.
(*) Añada a clave a a Llavero
teclactl add
teclactl acolchado
Este comando crea una clave del tipo y descripción especificados; lo instancia con el
datos proporcionados y lo adjunta al llavero especificado. Luego imprime el ID de la nueva clave en
salida estándar:
testbox> keyctl agregar usuario mykey stuff @u
26
El acolchado variante del comando lee los datos de stdin en lugar de tomarlos de la
línea de comando:
caja de prueba> echo -n cosas | usuario de keyctl padd mykey @u
26
(*) SOLICITUD a clave
teclactl solicita [ ]
teclactl solicitud2 [ ]
teclactl prequest2 [ ]
Estos tres comandos solicitan la búsqueda de una clave del tipo y descripción dados. El
Se buscarán los llaveros del proceso y, si se encuentra una coincidencia, se mostrará la ID de la clave correspondiente.
impreso en stdout; y si se da un llavero de destino, la clave se agregará a ese
llavero también.
Si no hay una clave, el primer comando simplemente devolverá el error ENOKEY y fallará. El
El segundo y tercer comando crearán una clave parcial con el tipo y la descripción, y
llamar a / sbin / request-key con esa clave y la información extra proporcionada. Esta voluntad
luego intente crear una instancia de la clave de alguna manera, de modo que se obtenga una clave válida.
El tercer comando es como el segundo, excepto que la información de la llamada se lee desde
stdin en lugar de pasarlo en la línea de comandos.
Si se obtiene una clave válida, se imprimirá la identificación y se adjuntará la clave como si fuera el original.
la búsqueda había tenido éxito.
Si no se obtuvo una clave válida, se adjuntará una clave negativa temporal al
si se proporciona el llavero de destino y aparecerá el error "Clave solicitada no disponible".
testbox> keyctl request2 depuración del usuario: hola wibble
23
caja de prueba> echo -n wibble | depuración del usuario de keyctl prequest2: hola
23
testbox> keyctl solicitar depuración del usuario: hola
23
(*) Actualizar a clave
teclactl actualización
teclactl actualizar
Este comando reemplaza los datos adjuntos a una clave con un nuevo conjunto de datos. Si el tipo de
la clave no admite la actualización, se devolverá el error "Operación no admitida".
caja de prueba> keyctl actualización 23 zebra
El actualizar variante del comando lee los datos de stdin en lugar de tomarlos de
la línea de comando:
caja de prueba> echo -n cebra | pupdate keyctl 23
(*) Crear a Llavero
teclactl anillo nuevo
Este comando crea un nuevo llavero con el nombre especificado y lo adjunta al especificado
llavero. El ID del nuevo llavero se imprimirá en la salida estándar si tiene éxito.
caja de prueba> keyctl newring squelch @us
27
(*) Revocar a clave
teclactl revocar
Este comando marca una clave como revocada. Cualquier otra operación en esa tecla (aparte de
desvincularlo) devolverá el error "La clave ha sido revocada".
caja de prueba> keyctl revoke 26
caja de prueba> keyctl describe 26
keyctl_describe: la clave ha sido revocada
(*) Actualizar a Llavero
teclactl limpiar
Este comando desvincula todas las claves adjuntas al llavero especificado. Error "No es un
directorio "se devolverá si la clave especificada no es un llavero.
caja de prueba> keyctl clear 27
(*) Enlace a clave a a Llavero
teclactl liga
Este comando crea un enlace de la clave al llavero si hay suficiente capacidad para hacerlo.
Se devolverá el error "No es un directorio" si el destino no es un llavero. Error
Se devolverá "Permiso denegado" si la clave no tiene permiso de enlace o el
llavero no tiene permiso de escritura. Se devolverá el error "Desbordamiento de la tabla de archivos" si el
el llavero está lleno. Se devolverá el error "Se evitó el interbloqueo de recursos" si se hizo un intento
para introducir un enlace recursivo.
caja de prueba> keyctl link 23 27
caja de prueba> keyctl link 27 27
keyctl_link: se evita el bloqueo de recursos
(*) Desconectar a clave en a Llavero or las Sesión Llavero árbol
teclactl desconectar [ ]
Si se especifica el llavero, este comando elimina un enlace a la clave del llavero.
Se devolverá el error "No es un directorio" si el destino no es un llavero. Error
Se devolverá "Permiso denegado" si el llavero no tiene permiso de escritura. Error
Se devolverá "No existe tal archivo o directorio" si la clave no está vinculada por el llavero.
Si no se especifica el llavero, este comando realiza una búsqueda en profundidad de la sesión.
árbol de llavero y elimina todos los enlaces a la clave nominada que encuentra (y que es
permitido quitar). Imprime el número de desvinculaciones exitosas antes de salir.
caja de prueba> keyctl unlink 23 27
(*) Buscar a Llavero
teclactl Buscar [ ]
Este comando busca de forma no recursiva en un llavero una clave de un tipo particular y
descripción. Si se encuentra, el ID de la llave se imprimirá en la salida estándar y la llave se
adjunto al llavero de destino si está presente. El error "Clave solicitada no disponible" aparecerá
se devolverá si no se encuentra la clave.
testbox> keyctl buscar @us usuario depuración: hola
23
testbox> keyctl buscar @us usuario depuración: adiós
keyctl_search: clave solicitada no disponible
(*) Leer a clave
teclactl leer
teclactl tubo
teclactl Imprimir
Estos comandos leen la carga útil de una clave. "leer" lo imprime en stdout como un volcado hexadecimal, "tubería"
vuelca los datos sin procesar en stdout y "print" los vuelca directamente en stdout si es completamente
imprimible o como un hexdump precedido por ": hex:" si no.
Si el tipo de clave no admite la lectura de la carga útil, el error "Operación no
admitido "se devolverá.
testbox> keyctl leer 26
1 bytes de datos en clave:
62
caja de prueba> keyctl print 26
b
caja de prueba> keyctl pipe 26
btestbox>
(*) Lista a Llavero
teclactl lista
teclactl listar
Estos comandos enumeran el contenido de una clave como un llavero. "lista" imprime bonito el contenido
y "rlist" solo produce una lista separada por espacios de ID de clave.
No se intenta comprobar que el llavero especificado sea un llavero.
caja de prueba> keyctl list @us
2 llaves en llavero:
22: vrwsl ---------- 4043 -1 llavero: _uid.4043
23: vrwsl ---------- 4043 4043 usuario: debug: hola
caja de prueba> keyctl rlist @us
22 23
(*) Describir a clave
teclactl describir
teclactl describir [sep]
Estos comandos obtienen una descripción de un llavero. "describir" bonita imprime la descripción
de la misma manera que el comando "list"; "rdescribe" imprime los datos brutos devueltos por
el núcleo.
testbox> keyctl describe @us
-5: vrwsl ---------- 4043 -1 llavero: _uid_ses.4043 testbox> keyctl
rdescribe @us keyring;4043;-1;3f1f0000;_uid_ses.4043
La cadena sin procesar es " ; ; ; ; ", donde UID y gid son el
ID de grupo y usuario decimal, perms es la máscara de permisos en hexadecimal, tipo y descripción en
el nombre del tipo y las cadenas de descripción (ninguna de las cuales contendrá punto y coma).
(*) Cambios las de la máquina controles on a clave
teclactl chown
teclactl chgrp
Estos dos comandos cambian el UID y GID asociados con la evaluación de los permisos de una clave.
máscara. El UID también gobierna de qué cuota se saca una clave.
El comando chown no es compatible actualmente; intentarlo obtendrá el error "Operación
no admitido "en el mejor de los casos.
Para los usuarios que no son superusuarios, el GID solo se puede establecer en el GID del proceso o en un GID en el
lista de grupos del proceso. El superusuario puede establecer cualquier GID que desee.
caja de prueba> sudo keyctl chown 27 0
keyctl_chown: Operación no admitida
caja de prueba> sudo keyctl chgrp 27 0
(*) Set las permisos máscara on a clave
teclactl permanente
Este comando cambia la máscara de control de permisos en una tecla. La máscara se puede especificar como
número hexadecimal si comienza "0x", un número octal si comienza "0" o un número decimal
de otra manera.
Los números hexadecimales son una combinación de:
Poseedor UID GID Otro permiso otorgado
======== ======== ======== ======== ===================
01000000 00010000 00000100 00000001 Ver
02000000 00020000 00000200 00000002 Leer
04000000 00040000 00000400 00000004 Escritura
08000000 00080000 00000800 00000008 Buscar
10000000 00100000 00001000 00000010 Enlace
20000000 00200000 00002000 00000020 Establecer atributo
3f000000 003f0000 00003f00 0000003f Todos
Ver permite visualizar el tipo, descripción y otros parámetros de una clave.
Leer permite leer la carga útil (o lista de llaveros) si el tipo lo admite.
Escribe. permite modificar o actualizar la carga útil (o lista de llaveros).
Buscar en una clave permite que se encuentre cuando se busca un llavero al que está vinculado.
Enlace permite vincular una llave a un llavero.
Set Atributo permite que una clave tenga su propietario, membresía de grupo, máscara de permisos y
tiempo de espera cambiado.
caja de prueba> keyctl setperm 27 0x1f1f1f00
(*) Inicio a nueva Sesión fresco llaveros
teclactl Sesión
teclactl Sesión - [ ...]
teclactl Sesión [ ...]
Estos comandos se unen o crean un nuevo llavero y luego ejecutan un shell u otro programa con
ese llavero como clave de sesión.
La variación sin argumentos solo crea un llavero de sesión anónimo y adjunta
eso como el llavero de la sesión; entonces es $ SHELL del ejecutivo.
La variación con un guión en lugar de un nombre crea un llavero de sesión anónimo y
adjunta eso como el llavero de la sesión; entonces el comando es ejecutado, o $ SHELL si
uno no está provisto.
La variación con un nombre proporcionado crea o une el llavero con nombre y lo adjunta como
el llavero de la sesión; entonces exec es el comando proporcionado, o $ SHELL si no se proporciona uno.
caja de prueba> keyctl rdescribe @s
keyring;4043;-1;3f1f0000;_uid_ses.4043
testbox> sesión keyctl
Llavero de sesión unida: 28
caja de prueba> keyctl rdescribe @s
keyring;4043;4043;3f1f0000;_ses.24082
testbox> sesión keyctl -
Llavero de sesión unida: 29
caja de prueba> keyctl rdescribe @s
keyring;4043;4043;3f1f0000;_ses.24139
testbox> sesión keyctl - keyctl rdescribe @s
Llavero de sesión unida: 30
keyring;4043;4043;3f1f0000;_ses.24185
testbox> sesión keyctl pescado
Llavero de sesión unida: 34
caja de prueba> keyctl rdescribe @s
keyring;4043;4043;3f1f0000;fish
testbox> sesión de keyctl fish keyctl rdesc @s
Llavero de sesión unida: 35
keyring;4043;4043;3f1f0000;fish
(*) Instanciar a clave
teclactl instanciar
teclactl señalar
teclactl negar
teclactl rechazar
Estos comandos se utilizan para adjuntar datos a una clave configurada parcialmente (como la creó el kernel
y pasado a / sbin / request-key). "instanciar" marca una clave como válida y adjunta
los datos como carga útil. "negar" y "rechazar" marcan una clave como no válida y establecen un tiempo de espera
sobre él para que desaparezca después de un tiempo. Esto evita una gran cantidad de
solicitudes de ralentizar demasiado el sistema cuando todas fallan, ya que todas las
las solicitudes fallarán con el error "Clave solicitada no encontrada" (si se niega) o la especificada
error (si se rechaza) hasta que la clave negativa haya expirado.
El argumento de error de Reject puede ser un número de error de UNIX o uno de 'rechazado','expirado'
o 'revocado'.
La clave recién instanciada se adjuntará al conjunto de claves especificado.
Estos comandos solo pueden ejecutarse desde el programa ejecutado por request-key - un especial
La clave de autorización la configura el kernel y la adjunta a la sesión de la clave de solicitud.
llavero. Esta clave especial se revoca una vez que se ha creado una instancia de la clave a la que se refiere.
De una manera u otra.
testbox> keyctl instanciar $ 1 "Depurar $ 3" $ 4
caja de prueba> keyctl negar $ 1 30 $ 4
testbox> keyctl rechazar $ 1 30 64 $ 4
El señalar variante del comando lee los datos de stdin en lugar de tomarlos
desde la línea de comando:
testbox> echo -n "Depurar $ 3" | keyctl pinstantiate $ 1 $ 4
(*) Set las expiración equipo on a clave
teclactl tiempo de espera
Este comando se utiliza para establecer el tiempo de espera en una tecla o borrar un tiempo de espera existente si el
el valor especificado es cero. El tiempo de espera se da como un número de segundos en el futuro.
testbox> tiempo de espera de keyctl $ 1 45
(*) Recuperar a llaves EN LINEA contexto
teclactl EN LINEA
Este comando se utiliza para recuperar el contexto de seguridad LSM de una clave. La etiqueta está impresa en
salida estándar.
testbox> keyctl security @s
inconfined_u: inconfined_r: inconfined_t: s0-s0: c0.c1023
(*) Donar las con el futuro bebé a nueva Sesión Llavero
teclactl nueva sesión
Este comando se utiliza para dar al proceso de invocación (normalmente un shell) una nueva sesión.
llavero, descartando su antiguo llavero de sesión.
testbox> sesión keyctl foo
Llavero de sesión unida: 723488146
testbox> show de keyctl
Llavero de sesión
-3 --alswrv 0 0 llavero: foo
caja de prueba> keyctl new_session
490511412
testbox> show de keyctl
Llavero de sesión
-3 --alswrv 0 0 llavero: _ses
Tenga en cuenta que esto afecta al con el futuro bebé del proceso que invoca la llamada al sistema, por lo que puede
solo afecta a los procesos con credenciales coincidentes. Además, el cambio no requiere
efecto hasta que el proceso padre haga la próxima transición del espacio del kernel al espacio del usuario -
típicamente cuando el esperar() devuelve la llamada al sistema.
(*) Eliminar muerto claves en las Sesión Llavero árbol
teclactl recoger
Este comando realiza una búsqueda en profundidad del árbol del anillo de claves de la sesión de la persona que llama y
intenta desvincular cualquier clave que encuentra inaccesible debido a su vencimiento, revocación,
rechazo o negación. No intenta eliminar las claves activas que no están disponibles
simplemente por falta de permiso otorgado.
Una llave designada como legible solo se eliminará de un llavero si la persona que llama ha
Escriba permiso en ese llavero, y solo los llaveros que otorguen permiso de búsqueda al
se buscará a la persona que llama.
El comando imprime el número de llaves cosechadas antes de salir. Si el -v se pasa la bandera
Luego, las claves cosechadas se enumeran a medida que se cosechan, junto con el éxito o
falla de la desvinculación.
(*) Eliminar pareo claves en las Sesión Llavero árbol
teclactl purga
teclactl purgar [-i] [-p]
teclactl purgas
Estos comandos realizan una búsqueda en profundidad para encontrar claves coincidentes en la sesión de la persona que llama
árbol de llaveros e intenta desvincularlos. La cantidad de claves desvinculadas con éxito es
impreso al final.
Los llaveros deben otorgar permiso de lectura y visualización a la persona que llama para que sea
las claves que se eliminarán también deben otorgar permiso de visualización. Las claves solo se pueden eliminar de
llaveros que otorgan permiso de escritura.
La primera variante purga todas las claves del tipo especificado.
La segunda variante purga todas las claves del tipo especificado que también coinciden con el dado
descripción literalmente. La bandera -i permite una coincidencia independiente del caso y la bandera -p permite
una coincidencia de prefijo.
La tercera variante purga todas las claves del tipo especificado y la descripción coincidente utilizando el
comparador del tipo de clave en el kernel para que coincida con la descripción. Esto permite el tipo de clave
para hacer coincidir una clave con una variedad de descripciones.
(*) Recibe persistente Llavero
teclactl get_persistent [ ]
Este comando obtiene el llavero persistente para el UID actual o el UID especificado
y lo adjunta al llavero designado. La identificación del llavero persistente se imprimirá en
salida estándar.
El kernel creará el llavero si no existe y cada vez que este comando sea
llamado, restablecerá el tiempo de espera de vencimiento en el llavero al valor en:
/ proc / sys / kernel / keys / persistent_keyring_expiry
(por defecto tres días). Si se alcanza el tiempo de espera, el llavero persistente será
quitado y todo lo que fija puede ser recolectado como basura.
Si se especifica un UID que no sea el UID real o efectivo del proceso, se producirá un error.
se dará si el proceso no tiene la capacidad CAP_SETUID.
ERRORES
Hay una serie de errores comunes que devuelve este programa:
"No es un directorio": una clave no era un llavero.
"Clave solicitada no encontrada": la clave buscada no está disponible.
"La clave ha sido revocada": se accedió a una clave revocada.
"La clave ha caducado": se accedió a una clave caducada.
"Permiso denegado": el permiso fue denegado por una combinación de UID / GID / máscara.
Use keyctl en línea usando los servicios de onworks.net
