Linux 密钥保留子系统中密钥环命名的澄清

问题描述 投票:0回答:1

我正在使用Linux的密钥保留系统https://www.kernel.org/doc/html/next/security/keys/core.html),我需要澄清密钥命名约定当从用户空间使用

keyctl
命令时...

用于显示名为

.fs-verity
的密钥环的内容(是的,我也在玩 https://www.kernel.org/doc/html/next/filesystems/fsverity.html...)我结束了使用命令(在网络上的某个地方找到),例如:

keyctl show %:.fs-verity

但是我不太明白这意味着什么......

我的意思是:密钥环被命名为

.fs-verity
,但如果我不在其名称前加上
%:
,那么
keyctl
会抱怨
.fs-verity
是一个无法解析的密钥...那么
%:
代表什么?这背后的理由是什么?您能给我指出网络上的一个很好的资源来深入研究细节吗?我找不到任何东西...

linux kernel
1个回答
0
投票

用户密钥环的名称不能以

'.'
开头。以
'.'
开头的密钥环保留供内核使用。 [1]

对于内核而言,

%:
没有特殊含义,它只是一个可用于命名密钥环的前缀。例如,用户无法查找名称以“.”开头的密钥环。 [2].

[1] 具有以句点(“.”)开头的描述(名称)的密钥环保留给实现。 https://man7.org/linux/man-pages/man7/keyrings.7.html

[2] https://github.com/torvalds/linux/blob/9d9a2f29aefdadc86e450308ff056017a209c755/security/keys/keyring.c#L113

© www.soinside.com 2019 - 2024. All rights reserved.