Aceasta este comanda keyctl care poate fi rulată în furnizorul de găzduire gratuit OnWorks folosind una dintre multiplele noastre stații de lucru online gratuite, cum ar fi Ubuntu Online, Fedora Online, emulator online Windows sau emulator online MAC OS
PROGRAM:
NUME
keyctl - Controlul facilitatii de management al cheilor
REZUMAT
keyctl --versiune
keyctl arată [-x] [ ]
keyctl adăuga
keyctl padd
keyctl cerere [ ]
keyctl cerere2 [ ]
keyctl cerere2 [ ]
keyctl Actualizați
keyctl pupdate
keyctl inel nou
keyctl revoca
keyctl clar
keyctl legătură
keyctl deconectați [ ]
keyctl căutare [ ]
keyctl citit
keyctl teava
keyctl imprimare
keyctl listă
keyctl rlist
keyctl descrie
keyctl rdescrie [sept.]
keyctl chown
keyctl chgrp
keyctl setperm
keyctl noua_sesiune
keyctl sesiune
keyctl sesiune - [ ...]
keyctl sesiune [ ...]
keyctl instanția
keyctl pinstantiate
keyctl nega
keyctl respinge
keyctl pauză
keyctl Securitate
keyctl recolta [-v]
keyctl epurare
keyctl purjare [-i] [-p]
keyctl epurare -s
keyctl get_persistent [ ]
DESCRIERE
Acest program este folosit pentru a controla facilitatea de gestionare a cheilor în diferite moduri folosind a
varietate de subcomenzi.
CHEIE IDENTIFICATORI
Identificatorii cheii transmise sau returnate de la keyctl sunt, în general, numere întregi pozitive.
Există, totuși, câteva valori speciale cu semnificații speciale care pot fi trecute drept
argumente:
(*) Fară cheie: 0
(*) Breloc cu fire: @t or -1
Fiecare fir poate avea propriul său breloc. Acesta este căutat mai întâi, înainte de toate celelalte. The
brelocul thread este înlocuit cu (v)furk, exec și clone.
(*) Procesați brelocul: @p or -2
Fiecare proces (grup de fire) poate avea propriul său breloc. Acesta este împărțit între toți membrii
a unui grup și va fi căutat după breloul de chei. Brelocul de proces este înlocuit
prin (v)furcă și exec.
(*) Breloc de chei de sesiune: @s or -3
Fiecare proces se abonează la un inel de chei de sesiune care este moștenit prin (v)fork, exec și
clonare. Acesta este căutat după procesul de breaslă. Brelocurile de sesiune pot fi numite și an
Brelocul de chei existent poate fi alăturat în locul breloului de chei al sesiunii curente al unui proces.
(*) Breloc de chei specific utilizatorului: @u or -4
Acest breloc de chei este partajat între toate procesele deținute de un anumit utilizator. Nu este
căutat direct, dar este, în mod normal, legat de la breloul de chei de sesiune.
(*) Sesiunea de chei implicită de utilizator: @ne or -5
Acesta este inelul de chei de sesiune implicit pentru un anumit utilizator. Procesele de conectare care se schimbă în
un anumit utilizator se va conecta la această sesiune până când este setată o altă sesiune.
(*) Breloc specific grupului: @g or -6
Acesta este un loc de rezervă pentru un breloc de chei specific unui grup, dar nu este încă implementat
în nucleu.
(*) Cheie presupusă de autorizare request_key: @a or -7
Aceasta selectează cheia de autorizare furnizată asistentului request_key() pentru a-i permite
accesați seriile de chei ale apelanților și instanțiați cheia țintă.
(*) Breloc după nume: %:
Un breloc cu nume. Acesta va fi căutat în brelourile de chei ale procesului și în /proc/keys.
(*) Cheie după nume: % :
O cheie numită de tipul dat. Acesta va fi căutat în brelourile procesului și în
/proc/keys.
COMMAND SINTAXĂ
Orice scurtare non-ambiguă a unui nume de comandă poate fi utilizată în locul comenzii complete
Nume. Această facilitate nu ar trebui utilizată în scripting, deoarece pot fi adăugate comenzi noi în viitor
care apoi provoacă ambiguitate.
(*) Afişa il pachet versiune număr
keyctl --versiune
Această comandă tipărește numărul versiunii pachetului și data construirii și iese:
testbox>keyctl --version
keyctl din keyutils-1.5.3 (construit 2011-08-24)
(*) Spectacol proces brelocuri
keyctl Arăta [-X] [ ]
În mod implicit, această comandă arată recursiv la ce brelocuri este abonat un proces și
ce chei și brelocuri conțin. Dacă este specificat un breloc de chei, atunci acesta va fi
aruncat în schimb. Dacă -x este specificat, atunci ID-urile inelului de chei vor fi aruncate în hex în loc de
zecimal.
(*) Adăuga a cheie la a breloc
keyctl adăuga
keyctl padd
Această comandă creează o cheie de tipul și descrierea specificate; o instanțiază cu
date date și le atașează breloului de chei specificat. Apoi imprimă ID-ul noii chei
stdout:
testbox>keyctl adăugați utilizator mykey stuff @u
26
padd varianta comenzii citește datele din stdin, mai degrabă decât să le ia de la
Linie de comanda:
testbox>echo -n stuff | utilizator keyctl padd mykey @u
26
(*) Cerere a cheie
keyctl solicita [ ]
keyctl cerere2 [ ]
keyctl cerere2 [ ]
Aceste trei comenzi solicită căutarea unei chei de tipul și descrierea date. The
brelourile de chei ale procesului vor fi căutate, iar dacă se găsește o potrivire, ID-ul cheii potrivite va fi
imprimat la stdout; iar dacă este dat un inel de chei de destinație, cheia va fi adăugată la acesta
breloc de asemenea.
Dacă nu există nicio cheie, prima comandă va returna pur și simplu eroarea ENOKEY și va eșua. The
a doua și a treia comandă vor crea o cheie parțială cu tipul și descrierea și
suna la /sbin/request-key cu cheia respectivă și informațiile suplimentare furnizate. Asta va
apoi încercați să instanțiați cheia într-un fel, astfel încât să se obțină o cheie validă.
A treia comandă este ca a doua, cu excepția faptului că informațiile de referință sunt citite din
stdin în loc să fie transmis pe linia de comandă.
Dacă se obține o cheie validă, ID-ul va fi tipărit și cheia atașată ca și cum ar fi originalul
căutarea reușise.
Dacă nu a fost obținută o cheie validă, o cheie negativă temporară va fi atașată la
seringul de chei de destinație, dacă este dat și eroarea „Cheia solicitată nu este disponibilă”.
testbox>keyctl request2 user debug:hello wibble
23
testbox>echo -n wibble | depanare utilizator keyctl prequest2: salut
23
testbox>keyctl cere utilizator depanare:hello
23
(*) Actualizează a cheie
keyctl actualizare
keyctl pupdate
Această comandă înlocuiește datele atașate unei chei cu un nou set de date. Dacă tipul de
cheia nu acceptă actualizarea, atunci eroarea „Operațiunea nu este acceptată” va fi returnată.
testbox>keyctl update 23 zebra
pupdate varianta comenzii citește datele din stdin mai degrabă decât să le ia de la
linia de comandă:
testbox>echo -n zebra | keyctl pupdate 23
(*) Crea a breloc
keyctl inel nou
Această comandă creează un nou inel de chei cu numele specificat și îl atașează celui specificat
breloc. ID-ul noului inel de chei va fi tipărit în stdout dacă are succes.
testbox>keyctl newring squelch @us
27
(*) Revoca a cheie
keyctl revoca
Această comandă marchează o cheie ca fiind revocată. Orice operațiuni suplimentare pe acea cheie (în afară de
deconectarea acestuia) va returna eroarea „Cheia a fost revocată”.
testbox>keyctl revoke 26
testbox>keyctl descrie 26
keyctl_describe: Cheia a fost revocată
(*) clar a breloc
keyctl clar
Această comandă deconectează toate cheile atașate la inelul de chei specificat. Eroare „Nu a
director" va fi returnat dacă cheia specificată nu este un inel de chei.
caseta de testare>keyctl clear 27
(*) Link a cheie la a breloc
keyctl legătură
Această comandă face o legătură de la cheie la breloul de chei dacă există suficientă capacitate pentru a face acest lucru.
Eroare „Nu este un director” va fi returnată dacă destinația nu este un inel de chei. Eroare
„Permisiunea refuzată” va fi returnată dacă cheia nu are permisiunea de conectare sau
Brelocul de chei nu are permisiunea de scriere. Eroare „Fișier depășit tabel” va fi returnată dacă
Brelocul este plin. Eroare „Deadlock resource avoided” va fi returnată dacă a fost făcută o încercare
pentru a introduce o legătură recursivă.
testbox>keyctl link 23 27
testbox>keyctl link 27 27
keyctl_link: Blocarea resurselor a fost evitată
(*) unlink a cheie din a breloc or il sesiune breloc copac
keyctl deconectez [ ]
Dacă se specifică inelul de chei, această comandă elimină o legătură către cheie din inel.
Eroare „Nu este un director” va fi returnată dacă destinația nu este un inel de chei. Eroare
„Permisiunea refuzată” va fi returnată dacă inelul de chei nu are permisiunea de scriere. Eroare
„Niciun astfel de fișier sau director” nu va fi returnat dacă cheia nu este legată de serul de chei.
Dacă inelul de chei nu este specificat, această comandă efectuează o căutare în profunzime a sesiunii
arborele inel de chei și elimină toate linkurile către cheia nominalizată pe care le găsește (și care este
permis să fie îndepărtat). Tipărește numărul de deconectari reușite înainte de a ieși.
testbox>keyctl unlink 23 27
(*) Caută a breloc
keyctl căutare [ ]
Această comandă caută în mod nerecursiv într-un inel de chei o cheie de un anumit tip și
Descriere. Dacă este găsit, ID-ul cheii va fi tipărit pe stdout și cheia va fi
atașat breloului de chei de destinație, dacă este prezent. Eroare „Cheia solicitată nu este disponibilă”.
fi returnat dacă cheia nu este găsită.
testbox>keyctl search @us user debug:hello
23
testbox>keyctl search @us user debug:bye
keyctl_search: cheia solicitată nu este disponibilă
(*) Citeste a cheie
keyctl citit
keyctl ţeavă
keyctl imprima
Aceste comenzi citesc sarcina utilă a unei chei. „citește” îl imprimă pe stdout ca un dump hexagonal, „pipe”
aruncă datele brute în stdout și „printează” le aruncă direct în stdout dacă este în întregime
imprimabil sau ca un hexdump precedat de „:hex:” dacă nu.
Dacă tipul de cheie nu acceptă citirea sarcinii utile, atunci eroarea „Operațiunea nu
suportat" va fi returnat.
testbox>keyctl read 26
1 octet de date în cheie:
62
testbox>keyctl print 26
b
testbox>keyctl pipe 26
btestbox>
(*) Listă a breloc
keyctl listă
keyctl rlist
Aceste comenzi listează conținutul unei chei ca un inel de chei. „listă” imprimă destul de mult conținutul
iar „rlist” doar produce o listă de ID-uri de chei separate prin spațiu.
Nu se încearcă să se verifice dacă inelul de chei specificat este un inel de chei.
testbox>keyctl list @us
2 chei in breloc:
22: vrwsl---------- 4043 -1 breloc: _uid.4043
23: vrwsl---------- 4043 4043 utilizator: debug:hello
testbox>keyctl rlist @us
22 23
(*) Descrie a cheie
keyctl descrie
keyctl rdescrie [sept.]
Aceste comenzi preiau o descriere a unui inel de chei. „descrie” destul de imprimă descrierea
în același mod ca și comanda „listă”; „rdescribe” tipărește datele brute returnate de la
miezul.
testbox>keyctl descrie @us
-5: vrwsl---------- 4043 -1 keyring: _uid_ses.4043 testbox>keyctl
rdescribe @us keyring;4043;-1;3f1f0000;_uid_ses.4043
Coarda brută este " ; ; ; ; ", Unde uid și ghid sunt
ID-uri zecimale de utilizator și grup, perm este masca de permisiuni în hex, tip și descriere sunt
numele tipului și șirurile de descriere (nici unul dintre acestea nu va conține punct și virgulă).
(*) Schimba il acces controale on a cheie
keyctl chown
keyctl chgrp
Aceste două comenzi schimbă UID-ul și GID-ul asociate cu evaluarea permisiunilor unei chei
masca. UID guvernează, de asemenea, din ce cotă este scoasă o cheie.
Comanda chown nu este acceptată în prezent; încercând aceasta va câștiga eroarea „Operațiune
nu este acceptat" în cel mai bun caz.
Pentru utilizatorii care nu sunt superutilizatori, GID-ul poate fi setat numai la GID-ul procesului sau un GID în
lista de grupuri de proces. Superutilizatorul poate seta orice GID îi place.
testbox>sudo keyctl chown 27 0
keyctl_chown: Operațiunea nu este acceptată
testbox>sudo keyctl chgrp 27 0
(*) set il permisiuni masca on a cheie
keyctl setperm
Această comandă schimbă masca de control al permisiunii pe o cheie. Masca poate fi specificată ca a
număr hex dacă începe cu „0x”, un număr octal dacă începe cu „0” sau un număr zecimal
in caz contrar.
Numerele hexadecimale sunt o combinație de:
Posesor UID GID Altă permisiune acordată
======== ======== ======== ======== ===================
01000000 00010000 00000100 00000001 Vizualizare
02000000 00020000 00000200 00000002 Citiți
04000000 00040000 00000400 00000004 Scrieți
08000000 00080000 00000800 00000008 Căutare
10000000 00100000 00001000 00000010 Link
20000000 00200000 00002000 00000020 Set atribut
3f000000 003f0000 00003f00 0000003f Toate
Vizualizare permite vizualizarea tipului, descrierea și alți parametri ai unei chei.
Citeste permite ca sarcina utilă (sau lista de chei) să fie citită dacă este acceptată de tip.
Scrie permite modificarea sau actualizarea sarcinii utile (sau a listei de chei).
Caută pe o cheie permite să fie găsită atunci când este căutat un breloc de chei la care este legat.
Link permite ca o cheie să fie conectată la un breloc.
set Atribut permite unei chei să aibă proprietarul, apartenența la grup, masca de permisiuni și
timeout schimbat.
caseta de testare>keyctl setperm 27 0x1f1f1f00
(*) acasă a nou sesiune cu proaspăt brelocuri
keyctl sesiune
keyctl sesiune - [ ...]
keyctl sesiune [ ...]
Aceste comenzi se unesc sau creează un nou set de chei și apoi rulează un shell sau alt program cu
acel breloc ca cheie de sesiune.
Variația fără argumente creează doar un breloc de chei de sesiune anonim și se atașează
asta ca brelocul de sesiune; apoi exec este $SHELL.
Variația cu o liniuță în locul unui nume creează un breloc de sesiune anonim și
îl atașează ca breloc de chei de sesiune; atunci exec este comanda furnizată sau $SHELL dacă
unul nu este furnizat.
Variația cu un nume furnizat creează sau se alătură breloului de chei numit și îl atașează ca
brelocul de sesiune; atunci exec este comanda furnizată sau $SHELL dacă nu este furnizată una.
testbox>keyctl rdescribe @s
keyring;4043;-1;3f1f0000;_uid_ses.4043
testbox>keyctl session
Breloc de chei alăturat sesiunii: 28
testbox>keyctl rdescribe @s
keyring;4043;4043;3f1f0000;_ses.24082
testbox>keyctl session -
Breloc de chei alăturat sesiunii: 29
testbox>keyctl rdescribe @s
keyring;4043;4043;3f1f0000;_ses.24139
testbox>keyctl session - keyctl rdescribe @s
Breloc de chei alăturat sesiunii: 30
keyring;4043;4043;3f1f0000;_ses.24185
testbox>keyctl session fish
Breloc de chei alăturat sesiunii: 34
testbox>keyctl rdescribe @s
keyring;4043;4043;3f1f0000;fish
testbox>keyctl session fish keyctl rdesc @s
Breloc de chei alăturat sesiunii: 35
keyring;4043;4043;3f1f0000;fish
(*) Instanțiați a cheie
keyctl instanția
keyctl pinstantiate
keyctl nega
keyctl respinge
Aceste comenzi sunt folosite pentru a atașa date la o cheie parțial configurată (cum a fost creată de kernel
și transmis la /sbin/request-key). „instantiate” marchează o cheie ca fiind validă și se atașează
datele ca sarcină utilă. „nega” și „respinge” marchează o cheie ca nevalidă și setează un timeout
pe el, astfel încât să dispară după un timp. Acest lucru previne o mulțime de secvențiale rapide
solicitări de a încetini prea mult sistemul atunci când toate eșuează, ca toate ulterioare
cererile vor eșua apoi cu eroarea „Cheia solicitată nu a fost găsită” (dacă este respinsă) sau cea specificată
eroare (dacă este respinsă) până când cheia negativă a expirat.
Argumentul de eroare al respingerii poate fi fie un număr de eroare UNIX, fie unul dintre „respins','Expirat'
saurevocat'.
Cheia nou instanțiată va fi atașată breloului de chei specificat.
Aceste comenzi pot fi executate numai din programul rulat de request-key - un special
cheia de autorizare este configurată de nucleu și atașată la sesiunea cheii de solicitare
breloc. Această cheie specială este revocată odată ce cheia la care se referă a fost instanțiată
într-un fel sau altul.
testbox>keyctl instantiate $1 "Debug $3" $4
testbox>keyctl negate $1 30 $4
testbox>keyctl reject $1 30 64 $4
pinstantiate varianta comenzii citește datele din stdin în loc să le ia
din linia de comandă:
testbox>echo -n „Depanare $3” | keyctl pinstantiate $1 $4
(*) set il expirare timp on a cheie
keyctl timeout
Această comandă este folosită pentru a seta timeout-ul unei taste sau pentru a șterge un timeout existent dacă este
valoarea specificată este zero. Timeout-ul este dat ca număr de secunde în viitor.
testbox>keyctl timeout $1 45
(*) Recupera a cheilor securitate context
keyctl securitate
Această comandă este utilizată pentru a prelua contextul de securitate LSM al unei chei. Eticheta este imprimată
stdout.
testbox>keyctl security @s
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
(*) Da il mamă proces a nou sesiune breloc
keyctl noua_sesiune
Această comandă este folosită pentru a oferi procesului de invocare (de obicei un shell) o nouă sesiune
breloc de chei, renunțând la vechea sa sesiune.
testbox> keyctl session foo
Breloc de chei alăturat sesiunii: 723488146
testbox> keyctl show
Breloc de chei de sesiune
-3 --alswrv 0 0 breloc: foo
testbox> keyctl new_session
490511412
testbox> keyctl show
Breloc de chei de sesiune
-3 --alswrv 0 0 breloc: _ses
Rețineți că acest lucru afectează mamă a procesului care invocă apelul de sistem și așa poate
afectează numai procesele cu acreditări care se potrivesc. În plus, schimbarea nu durează
efect până la următoarea tranziție a procesului părinte de la spațiul kernel la spațiul utilizator -
de obicei atunci când aștepta() apelul de sistem revine.
(*) Elimină mort chei din il sesiune breloc copac
keyctl culege
Această comandă efectuează o căutare în profunzime a arborelui sesiunii de chei al apelantului și
încearcă să deconecteze orice cheie pe care o consideră inaccesibilă din cauza expirării, revocării,
respingere sau negație. Nu încearcă să elimine cheile live care nu sunt disponibile
pur și simplu din lipsa permisiunii acordate.
O cheie care este desemnată reapabilă va fi eliminată dintr-un ans de chei numai dacă apelantul a făcut-o
Permisiune de scriere pe acel inel de chei și numai brelourile care acordă permisiunea de căutare pentru
apelantul va fi căutat.
Comanda tipărește numărul de chei culese înainte de a ieși. Dacă -v steagul este trecut
apoi cheile culese sunt listate pe măsură ce sunt culese, împreună cu succesul sau
eșecul deconectarii.
(*) Elimină potrivire chei din il sesiune breloc copac
keyctl epurare
keyctl purjare [-i] [-p]
keyctl epurare -s
Aceste comenzi efectuează o căutare în profunzime pentru a găsi cheile potrivite în sesiunea apelantului
arborele de chei și încearcă să le deconecteze. Numărul de chei deconectate cu succes este
tipărit la sfârșit.
Inelurile de chei trebuie să acorde permisiunea de citire și vizualizare apelantului pentru a fi căutat, iar
cheile care urmează să fie eliminate trebuie să acorde și permisiunea de vizualizare. Cheile pot fi scoase numai din
brelocuri care acordă permisiunea de scriere.
Prima variantă purifică toate cheile de tipul specificat.
A doua variantă șterge toate cheile de tipul specificat care se potrivesc și cu cele date
descriere la propriu. Indicatorul -i permite o potrivire independentă de majuscule și minuscule, iar indicatorul -p permite
o potrivire de prefix.
A treia variantă șterge toate cheile de tipul specificat și descrierea potrivită folosind
comparatorul tipului de cheie din nucleu pentru a se potrivi cu descrierea. Acest lucru permite tipul de cheie
pentru a potrivi o cheie cu o varietate de descrieri.
(*) Obține persista breloc
keyctl get_persistent [ ]
Această comandă primește inelul de chei persistent fie pentru UID-ul curent, fie pentru UID-ul specificat
și îl atașează la breloul nominalizat. ID-ul breloului de chei persistent va fi imprimat
stdout.
Nucleul va crea inelul de chei dacă nu există și de fiecare dată când această comandă este
apelat, va reseta expirarea expirării de pe inelul de chei la valoarea din:
/proc/sys/kernel/keys/persistent_keyring_expiry
(în mod implicit trei zile). În cazul în care expirarea este atinsă, breloul de chei persistent va fi
îndepărtat și tot ceea ce prinde poate fi apoi colectat de gunoi.
Dacă este specificat un alt UID decât UID-urile reale sau efective ale procesului, atunci va apărea o eroare
fi dat dacă procesul nu are capacitatea CAP_SETUID.
ERORI
Există o serie de erori comune returnate de acest program:
„Nu este un director” - o cheie nu era un inel de chei.
„Cheia solicitată nu a fost găsită” - cheia căutată nu este disponibilă.
„Cheia a fost revocată” - a fost accesată o cheie revocată.
„Cheia a expirat” - a fost accesată o cheie expirată.
„Permisiune refuzată” - permisiunea a fost refuzată de o combinație UID/GID/mască.
Utilizați keyctl online folosind serviciile onworks.net
