keyctl(1)

Från Wiki.linux.se -Linux wikipedia på Svenska.
Hoppa till navigering Hoppa till sök


NAMN

keyctl – styr Linux funktioner för nyckelhantering

SYNOPSIS

keyctl --version
keyctl supports [förmåga | --raw]
keyctl id [nyckelring]
keyctl show [-x] [nyckelring]
keyctl add [-x] typ beskrivning data nyckelring
keyctl padd [-x] typ beskrivning nyckelring
keyctl request typ beskrivning [målnyckelring]
keyctl request2 typ beskrivning information [målnyckelring]
keyctl prequest2 typ beskrivning [målnyckelring]
keyctl update [-x] nyckel data
keyctl pupdate [-x] nyckel
keyctl newring namn nyckelring
keyctl revoke nyckel
keyctl clear nyckelring
keyctl link nyckel nyckelring
keyctl unlink nyckel [nyckelring]
keyctl move [-f] nyckel från-nyckelring till-nyckelring
keyctl search nyckelring typ beskrivning [målnyckelring]
keyctl restrict_keyring nyckelring [typ [begränsning]]
keyctl read nyckel
keyctl pipe nyckel
keyctl print nyckel
keyctl list nyckelring
keyctl rlist nyckelring
keyctl describe nyckelring
keyctl rdescribe nyckelring [avgränsare]
keyctl chown nyckel uid
keyctl chgrp nyckel gid
keyctl setperm nyckel mask
keyctl new_session [namn]
keyctl session
keyctl session - [program argument ...]
keyctl session namn [program argument ...]
keyctl instantiate [-x] nyckel data nyckelring
keyctl pinstantiate [-x] nyckel nyckelring
keyctl negate nyckel tidsgräns nyckelring
keyctl reject nyckel tidsgräns fel nyckelring
keyctl timeout nyckel tidsgräns
keyctl security nyckel
keyctl reap [-v]
keyctl purge typ
keyctl purge [-i] [-p] typ beskrivning
keyctl purge -s typ beskrivning
keyctl get_persistent nyckelring [uid]
keyctl dh_compute privat primtal bas
keyctl dh_compute_kdf privat primtal bas utdatalängd hashtyp
keyctl dh_compute_kdf_oi [-x] privat primtal bas utdatalängd hashtyp
keyctl pkey_query nyckel lösenord [k=v]*
keyctl pkey_encrypt nyckel lösenord datafil [k=v]* > krypterad-fil
keyctl pkey_decrypt nyckel lösenord krypterad-fil [k=v]* > datafil
keyctl pkey_sign nyckel lösenord datafil [k=v]* > signaturfil
keyctl pkey_verify nyckel lösenord datafil signaturfil [k=v]*
keyctl watch [-ffilter] nyckel
keyctl watch_add fd nyckel
keyctl watch_rm fd nyckel
keyctl watch_session [-f filter] [-n namn] notifieringslogg gclogg fd program [argument ...]

BESKRIVNING

keyctl används för att styra Linux kärnans funktioner för nyckelhantering.

Programmet har underkommandon för att skapa, söka, läsa, uppdatera, länka och återkalla nycklar samt för att hantera nyckelringar, sessionsnyckelringar, behörigheter, Diffie–Hellman-beräkningar, asymmetriska nycklar och förändringsnotifieringar.

NYCKELIDENTIFIERARE

Nyckelidentifierare är normalt positiva heltal. Följande specialvärden kan användas:

0

Ingen nyckel.

@t eller -1

Trådens nyckelring. Den söks igenom först.

@p eller -2

Processens nyckelring. Den delas av alla trådar i processen.

@s eller -3

Sessionens nyckelring. Den ärvs över fork, exec och clone.

@u eller -4

Användarens nyckelring.

@us eller -5

Användarens standardnyckelring för sessioner.

@g eller -6

Platshållare för gruppspecifik nyckelring. Funktionen är inte implementerad i kärnan.

@a eller -7

Auktorisationsnyckeln för request_key(2).

%:namn

En namngiven nyckelring.

%typ:namn

En namngiven nyckel av angiven typ.

KOMMANDOSYNTAX

Entydiga förkortningar av kommandonamn kan användas, men bör undvikas i skript eftersom framtida kommandon kan göra dem tvetydiga.

Visa version

keyctl --version

Visar paketets versionsnummer och byggdatum.

Fråga om funktioner

keyctl supports
keyctl supports --raw
keyctl supports förmåga

Tillgängliga förmågor omfattar bland annat:

  • capabilities
  • persistent_keyrings
  • dh_compute
  • public_key
  • big_key_type
  • key_invalidate
  • restrict_keyring
  • move_key
  • ns_keyring_name
  • ns_key_tag

Vid fråga om en viss förmåga betyder avslutningsstatus 0 att den stöds, 1 att den inte stöds och 3 att namnet inte känns igen.

Visa verkligt ID

keyctl id [nyckel]

Slår upp det verkliga ID:t för en symbolisk eller namngiven nyckel.

Visa nyckelringar

keyctl show [-x] [nyckelring]

Visar processens nyckelringar rekursivt. Med -x visas ID:n hexadecimalt.

Lägg till en nyckel

keyctl add [-x] typ beskrivning data nyckelring
keyctl padd [-x] typ beskrivning nyckelring

add tar datan från kommandoraden. padd läser den från standardindata.

Exempel:

keyctl add user mykey stuff @u
echo -n stuff | keyctl padd user mykey @u

Med -x hexavkodas datan och blanktecken ignoreras.

Begär en nyckel

keyctl request typ beskrivning [målnyckelring]
keyctl request2 typ beskrivning information [målnyckelring]
keyctl prequest2 typ beskrivning [målnyckelring]

Nyckelringarna söks igenom efter en matchande nyckel. Om den saknas kan request2 och prequest2 anropa:

/sbin/request-key

för att skapa eller hämta nyckeln. prequest2 läser extra information från standardindata.

Uppdatera en nyckel

keyctl update [-x] nyckel data
keyctl pupdate [-x] nyckel

Ersätter nyckelns nyttolast. pupdate läser datan från standardindata.

Skapa en nyckelring

keyctl newring namn nyckelring

Skapar en ny nyckelring och länkar den till angiven nyckelring.

Återkalla en nyckel

keyctl revoke nyckel

Markerar nyckeln som återkallad.

Töm en nyckelring

keyctl clear nyckelring

Tar bort alla länkar till nycklar i nyckelringen.

Länka, ta bort och flytta

keyctl link nyckel nyckelring
keyctl unlink nyckel [nyckelring]
keyctl move [-f] nyckel från-nyckelring till-nyckelring

link länkar en nyckel till en nyckelring.

unlink tar bort länken. Utan angiven nyckelring söks sessionens nyckelringsträd rekursivt.

move flyttar nyckeln atomärt. Med -f ersätts en matchande nyckel i målnyckelringen.

Sök i en nyckelring

keyctl search nyckelring typ beskrivning [målnyckelring]

Söker icke-rekursivt efter en nyckel av viss typ och beskrivning.

Begränsa en nyckelring

keyctl restrict_keyring nyckelring [typ [begränsning]]

Begränsar vilka nycklar som får länkas till nyckelringen. Utan begränsningsmetod avvisas alla nya länkar.

Läs en nyckel

keyctl read nyckel
keyctl pipe nyckel
keyctl print nyckel

read

Visar nyttolasten som hexadump.

pipe

Skriver rådata till standardutdata.

print

Skriver läsbar text direkt, annars hexadump med prefixet ':hex:.

Lista och beskriv

keyctl list nyckelring
keyctl rlist nyckelring
keyctl describe nyckelring
keyctl rdescribe nyckelring [avgränsare]

list och describe visar formaterad information.

rlist visar endast nyckel-ID:n.

rdescribe använder råformatet:

typ;uid;gid;behörigheter;beskrivning

Ändra ägare eller grupp

keyctl chown nyckel uid
keyctl chgrp nyckel gid

chown stöds normalt inte. Vanliga användare får bara sätta GID till en grupp som processen tillhör.

Ställ in behörigheter

keyctl setperm nyckel mask

Masken kan anges decimalt, oktalt eller hexadecimalt.

Tillgängliga rättigheter är:

  • View
  • Read
  • Write
  • Search
  • Link
  • Set Attribute

Exempel:

keyctl setperm 27 0x1f1f1f00

Sessionsnyckelringar

keyctl session
keyctl session - [program argument ...]
keyctl session namn [program argument ...]
keyctl new_session [namn]

session skapar eller ansluter till en sessionsnyckelring och kör ett skal eller angivet program.

new_session byter föräldraprocessens sessionsnyckelring.

Instansiera eller neka en nyckel

keyctl instantiate [-x] nyckel data nyckelring
keyctl pinstantiate [-x] nyckel nyckelring
keyctl negate nyckel tidsgräns nyckelring
keyctl reject nyckel tidsgräns fel nyckelring

Dessa används av program som körs via request-key(8).

instantiate gör en delvis skapad nyckel giltig.

negate markerar nyckeln som negativ.

reject avvisar den med angivet fel.

pinstantiate läser datan från standardindata.

Ange utgångstid

keyctl timeout nyckel sekunder

Sätter nyckelns utgångstid. Värdet 0 tar bort en befintlig tidsgräns.

Visa säkerhetskontext

keyctl security nyckel

Visar nyckelns LSM-säkerhetskontext.

Rensa döda nycklar

keyctl reap [-v]

Tar bort länkar till utgångna, återkallade, avvisade eller negerade nycklar i sessionens nyckelringsträd.

Rensa matchande nycklar

keyctl purge typ
keyctl purge [-i] [-p] typ beskrivning
keyctl purge -s typ beskrivning

-i matchar utan hänsyn till skiftläge.

-p matchar prefix.

-s använder nyckeltypens egen jämförelsefunktion.

Beständig nyckelring

keyctl get_persistent nyckelring [uid]

Hämtar användarens beständiga nyckelring och länkar den till angiven nyckelring.

Utgångstiden styrs av:

/proc/sys/kernel/keys/persistent_keyring_expiry

Diffie–Hellman

keyctl dh_compute privat primtal bas

Beräknar:

bas ^ privat mod primtal

Resultatet skrivs som hexadump.

Med:

keyctl dh_compute_kdf privat primtal bas utdatalängd hashtyp

härleds nyckelmaterial med en KDF enligt SP800-56A.

Med:

keyctl dh_compute_kdf_oi [-x] privat primtal bas utdatalängd hashtyp

kan extra indata läsas från standardindata.

Asymmetriska nyckeloperationer

keyctl pkey_query nyckel lösenord [k=v]*
keyctl pkey_encrypt nyckel lösenord datafil [k=v]* > krypterad-fil
keyctl pkey_decrypt nyckel lösenord krypterad-fil [k=v]* > datafil
keyctl pkey_sign nyckel lösenord datafil [k=v]* > signaturfil
keyctl pkey_verify nyckel lösenord datafil signaturfil [k=v]*

Dessa kommandon kan fråga, kryptera, dekryptera, signera och verifiera.

Parametern lösenord är tills vidare en platshållare och ska vara:

0

Ytterligare parametrar kan anges som:

hash=sha256
enc=pkcs1

Se asymmetric-key(7).

Förändringsnotifieringar

keyctl watch [-ffilter] nyckel
keyctl watch_add fd nyckel
keyctl watch_rm fd nyckel
keyctl watch_session [-f filter] [-n namn] notifieringslogg gclogg fd program [argument ...]

Filterbokstäver:

  • i – nyckeln har instansierats
  • p – nyckeln har uppdaterats
  • l – en länk har lagts till
  • n – en länk har tagits bort
  • c – en nyckelring har tömts
  • r – en nyckel har återkallats
  • v – en nyckel har ogiltigförklarats
  • s – attribut har ändrats

Utdata har formen:

nyckel-id händelse [extra-id]

FEL

Not a directory

Den angivna nyckeln var inte en nyckelring.

Requested key not found

Den sökta nyckeln finns inte.

Key has been revoked

En återkallad nyckel användes.

Key has expired

En utgången nyckel användes.

Permission denied

Åtkomst nekades av UID, GID eller behörighetsmask.

SE ÄVEN

KOLOFON

Denna sida är en del av projektet keyutils, verktyg för nyckelhantering i Linux.

Felrapporter skickas till:

keyrings@linux-nfs.org

Sidan hämtades från:

http://git.kernel.org/pub/scm/linux/kernel/git/dhowells/keyutils.git

den 24 maj 2026.

Renderingsfel och förbättringar av HTML-versionen kan rapporteras till:

man-pages@man7.org

HÄNVISAD FRÅN

KORT SAMMANFATTNING

keyctl är kommandoradsverktyget för Linux kärnans nyckelringar.

Visa processens nyckelringar:

keyctl show

Lägg till en användarnyckel:

keyctl add user minnyckel hemligdata @u

Läs nyckeln:

keyctl print NYCKELID

Skapa en ny sessionsnyckelring:

keyctl session

Sök efter en nyckel:

keyctl search @u user minnyckel

Verktyget används av systemprogram, autentiseringslösningar, krypteringsverktyg och tjänster som lagrar hemligheter i kärnan.


Sidslut

Orginalhemsidan på Engelska https://man7.org/linux/man-pages/man1/keyctl.1.html Det här är en maskinöversättning av Linux man sidor till svenska. Om du hittar fel är vi tacksamma om du rapporterar dem via formuläret som finns på https://www.linux.se/kontaka-linux-se/

Tack till Datorhjälp Stockholm som har sponsrat Linux.se med webbhotell.