keyctl(1)
NAMN
keyctl – styr Linux funktioner för nyckelhantering
SYNOPSIS
keyctl --version keyctl supports [förmåga | --raw] keyctl id [nyckelring] keyctl show [-x] [nyckelring] keyctl add [-x] typ beskrivning data nyckelring keyctl padd [-x] typ beskrivning nyckelring keyctl request typ beskrivning [målnyckelring] keyctl request2 typ beskrivning information [målnyckelring] keyctl prequest2 typ beskrivning [målnyckelring] keyctl update [-x] nyckel data keyctl pupdate [-x] nyckel keyctl newring namn nyckelring keyctl revoke nyckel keyctl clear nyckelring keyctl link nyckel nyckelring keyctl unlink nyckel [nyckelring] keyctl move [-f] nyckel från-nyckelring till-nyckelring keyctl search nyckelring typ beskrivning [målnyckelring] keyctl restrict_keyring nyckelring [typ [begränsning]] keyctl read nyckel keyctl pipe nyckel keyctl print nyckel keyctl list nyckelring keyctl rlist nyckelring keyctl describe nyckelring keyctl rdescribe nyckelring [avgränsare] keyctl chown nyckel uid keyctl chgrp nyckel gid keyctl setperm nyckel mask keyctl new_session [namn] keyctl session keyctl session - [program argument ...] keyctl session namn [program argument ...] keyctl instantiate [-x] nyckel data nyckelring keyctl pinstantiate [-x] nyckel nyckelring keyctl negate nyckel tidsgräns nyckelring keyctl reject nyckel tidsgräns fel nyckelring keyctl timeout nyckel tidsgräns keyctl security nyckel keyctl reap [-v] keyctl purge typ keyctl purge [-i] [-p] typ beskrivning keyctl purge -s typ beskrivning keyctl get_persistent nyckelring [uid] keyctl dh_compute privat primtal bas keyctl dh_compute_kdf privat primtal bas utdatalängd hashtyp keyctl dh_compute_kdf_oi [-x] privat primtal bas utdatalängd hashtyp keyctl pkey_query nyckel lösenord [k=v]* keyctl pkey_encrypt nyckel lösenord datafil [k=v]* > krypterad-fil keyctl pkey_decrypt nyckel lösenord krypterad-fil [k=v]* > datafil keyctl pkey_sign nyckel lösenord datafil [k=v]* > signaturfil keyctl pkey_verify nyckel lösenord datafil signaturfil [k=v]* keyctl watch [-ffilter] nyckel keyctl watch_add fd nyckel keyctl watch_rm fd nyckel keyctl watch_session [-f filter] [-n namn] notifieringslogg gclogg fd program [argument ...]
BESKRIVNING
keyctl används för att styra Linux kärnans funktioner för nyckelhantering.
Programmet har underkommandon för att skapa, söka, läsa, uppdatera, länka och återkalla nycklar samt för att hantera nyckelringar, sessionsnyckelringar, behörigheter, Diffie–Hellman-beräkningar, asymmetriska nycklar och förändringsnotifieringar.
NYCKELIDENTIFIERARE
Nyckelidentifierare är normalt positiva heltal. Följande specialvärden kan användas:
0
- Ingen nyckel.
@t eller -1
- Trådens nyckelring. Den söks igenom först.
@p eller -2
- Processens nyckelring. Den delas av alla trådar i processen.
@s eller -3
- Sessionens nyckelring. Den ärvs över fork, exec och clone.
@u eller -4
- Användarens nyckelring.
@us eller -5
- Användarens standardnyckelring för sessioner.
@g eller -6
- Platshållare för gruppspecifik nyckelring. Funktionen är inte implementerad i kärnan.
@a eller -7
- Auktorisationsnyckeln för request_key(2).
%:namn
- En namngiven nyckelring.
%typ:namn
- En namngiven nyckel av angiven typ.
KOMMANDOSYNTAX
Entydiga förkortningar av kommandonamn kan användas, men bör undvikas i skript eftersom framtida kommandon kan göra dem tvetydiga.
Visa version
keyctl --version
Visar paketets versionsnummer och byggdatum.
Fråga om funktioner
keyctl supports keyctl supports --raw keyctl supports förmåga
Tillgängliga förmågor omfattar bland annat:
- capabilities
- persistent_keyrings
- dh_compute
- public_key
- big_key_type
- key_invalidate
- restrict_keyring
- move_key
- ns_keyring_name
- ns_key_tag
Vid fråga om en viss förmåga betyder avslutningsstatus 0 att den stöds, 1 att den inte stöds och 3 att namnet inte känns igen.
Visa verkligt ID
keyctl id [nyckel]
Slår upp det verkliga ID:t för en symbolisk eller namngiven nyckel.
Visa nyckelringar
keyctl show [-x] [nyckelring]
Visar processens nyckelringar rekursivt. Med -x visas ID:n hexadecimalt.
Lägg till en nyckel
keyctl add [-x] typ beskrivning data nyckelring keyctl padd [-x] typ beskrivning nyckelring
add tar datan från kommandoraden. padd läser den från standardindata.
Exempel:
keyctl add user mykey stuff @u echo -n stuff | keyctl padd user mykey @u
Med -x hexavkodas datan och blanktecken ignoreras.
Begär en nyckel
keyctl request typ beskrivning [målnyckelring] keyctl request2 typ beskrivning information [målnyckelring] keyctl prequest2 typ beskrivning [målnyckelring]
Nyckelringarna söks igenom efter en matchande nyckel. Om den saknas kan request2 och prequest2 anropa:
/sbin/request-key
för att skapa eller hämta nyckeln. prequest2 läser extra information från standardindata.
Uppdatera en nyckel
keyctl update [-x] nyckel data keyctl pupdate [-x] nyckel
Ersätter nyckelns nyttolast. pupdate läser datan från standardindata.
Skapa en nyckelring
keyctl newring namn nyckelring
Skapar en ny nyckelring och länkar den till angiven nyckelring.
Återkalla en nyckel
keyctl revoke nyckel
Markerar nyckeln som återkallad.
Töm en nyckelring
keyctl clear nyckelring
Tar bort alla länkar till nycklar i nyckelringen.
Länka, ta bort och flytta
keyctl link nyckel nyckelring keyctl unlink nyckel [nyckelring] keyctl move [-f] nyckel från-nyckelring till-nyckelring
link länkar en nyckel till en nyckelring.
unlink tar bort länken. Utan angiven nyckelring söks sessionens nyckelringsträd rekursivt.
move flyttar nyckeln atomärt. Med -f ersätts en matchande nyckel i målnyckelringen.
Sök i en nyckelring
keyctl search nyckelring typ beskrivning [målnyckelring]
Söker icke-rekursivt efter en nyckel av viss typ och beskrivning.
Begränsa en nyckelring
keyctl restrict_keyring nyckelring [typ [begränsning]]
Begränsar vilka nycklar som får länkas till nyckelringen. Utan begränsningsmetod avvisas alla nya länkar.
Läs en nyckel
keyctl read nyckel keyctl pipe nyckel keyctl print nyckel
read
- Visar nyttolasten som hexadump.
pipe
- Skriver rådata till standardutdata.
- Skriver läsbar text direkt, annars hexadump med prefixet ':hex:.
Lista och beskriv
keyctl list nyckelring keyctl rlist nyckelring keyctl describe nyckelring keyctl rdescribe nyckelring [avgränsare]
list och describe visar formaterad information.
rlist visar endast nyckel-ID:n.
rdescribe använder råformatet:
typ;uid;gid;behörigheter;beskrivning
Ändra ägare eller grupp
keyctl chown nyckel uid keyctl chgrp nyckel gid
chown stöds normalt inte. Vanliga användare får bara sätta GID till en grupp som processen tillhör.
Ställ in behörigheter
keyctl setperm nyckel mask
Masken kan anges decimalt, oktalt eller hexadecimalt.
Tillgängliga rättigheter är:
- View
- Read
- Write
- Search
- Link
- Set Attribute
Exempel:
keyctl setperm 27 0x1f1f1f00
Sessionsnyckelringar
keyctl session keyctl session - [program argument ...] keyctl session namn [program argument ...] keyctl new_session [namn]
session skapar eller ansluter till en sessionsnyckelring och kör ett skal eller angivet program.
new_session byter föräldraprocessens sessionsnyckelring.
Instansiera eller neka en nyckel
keyctl instantiate [-x] nyckel data nyckelring keyctl pinstantiate [-x] nyckel nyckelring keyctl negate nyckel tidsgräns nyckelring keyctl reject nyckel tidsgräns fel nyckelring
Dessa används av program som körs via request-key(8).
instantiate gör en delvis skapad nyckel giltig.
negate markerar nyckeln som negativ.
reject avvisar den med angivet fel.
pinstantiate läser datan från standardindata.
Ange utgångstid
keyctl timeout nyckel sekunder
Sätter nyckelns utgångstid. Värdet 0 tar bort en befintlig tidsgräns.
Visa säkerhetskontext
keyctl security nyckel
Visar nyckelns LSM-säkerhetskontext.
Rensa döda nycklar
keyctl reap [-v]
Tar bort länkar till utgångna, återkallade, avvisade eller negerade nycklar i sessionens nyckelringsträd.
Rensa matchande nycklar
keyctl purge typ keyctl purge [-i] [-p] typ beskrivning keyctl purge -s typ beskrivning
-i matchar utan hänsyn till skiftläge.
-p matchar prefix.
-s använder nyckeltypens egen jämförelsefunktion.
Beständig nyckelring
keyctl get_persistent nyckelring [uid]
Hämtar användarens beständiga nyckelring och länkar den till angiven nyckelring.
Utgångstiden styrs av:
/proc/sys/kernel/keys/persistent_keyring_expiry
Diffie–Hellman
keyctl dh_compute privat primtal bas
Beräknar:
bas ^ privat mod primtal
Resultatet skrivs som hexadump.
Med:
keyctl dh_compute_kdf privat primtal bas utdatalängd hashtyp
härleds nyckelmaterial med en KDF enligt SP800-56A.
Med:
keyctl dh_compute_kdf_oi [-x] privat primtal bas utdatalängd hashtyp
kan extra indata läsas från standardindata.
Asymmetriska nyckeloperationer
keyctl pkey_query nyckel lösenord [k=v]* keyctl pkey_encrypt nyckel lösenord datafil [k=v]* > krypterad-fil keyctl pkey_decrypt nyckel lösenord krypterad-fil [k=v]* > datafil keyctl pkey_sign nyckel lösenord datafil [k=v]* > signaturfil keyctl pkey_verify nyckel lösenord datafil signaturfil [k=v]*
Dessa kommandon kan fråga, kryptera, dekryptera, signera och verifiera.
Parametern lösenord är tills vidare en platshållare och ska vara:
0
Ytterligare parametrar kan anges som:
hash=sha256 enc=pkcs1
Förändringsnotifieringar
keyctl watch [-ffilter] nyckel keyctl watch_add fd nyckel keyctl watch_rm fd nyckel keyctl watch_session [-f filter] [-n namn] notifieringslogg gclogg fd program [argument ...]
Filterbokstäver:
- i – nyckeln har instansierats
- p – nyckeln har uppdaterats
- l – en länk har lagts till
- n – en länk har tagits bort
- c – en nyckelring har tömts
- r – en nyckel har återkallats
- v – en nyckel har ogiltigförklarats
- s – attribut har ändrats
Utdata har formen:
nyckel-id händelse [extra-id]
FEL
Not a directory
- Den angivna nyckeln var inte en nyckelring.
Requested key not found
- Den sökta nyckeln finns inte.
Key has been revoked
- En återkallad nyckel användes.
Key has expired
- En utgången nyckel användes.
Permission denied
- Åtkomst nekades av UID, GID eller behörighetsmask.
SE ÄVEN
- keyctl(2)
- request_key(2)
- keyctl(3)
- request-key.conf(5)
- keyrings(7)
- keyutils(7)
- asymmetric-key(7)
- persistent-keyring(7)
- process-keyring(7)
- session-keyring(7)
- thread-keyring(7)
- user-keyring(7)
- user-session-keyring(7)
- request-key(8)
KOLOFON
Denna sida är en del av projektet keyutils, verktyg för nyckelhantering i Linux.
Felrapporter skickas till:
keyrings@linux-nfs.org
Sidan hämtades från:
http://git.kernel.org/pub/scm/linux/kernel/git/dhowells/keyutils.git
den 24 maj 2026.
Renderingsfel och förbättringar av HTML-versionen kan rapporteras till:
man-pages@man7.org
HÄNVISAD FRÅN
- systemd-ask-password(1)
- add_key(2)
- keyctl(2)
- request_key(2)
- keyctl(3)
- crypttab(5)
- keyrings(7)
- keyutils(7)
- asymmetric-key(7)
- persistent-keyring(7)
- process-keyring(7)
- session-keyring(7)
- thread-keyring(7)
- user-keyring(7)
- user-session-keyring(7)
- request-key(8)
KORT SAMMANFATTNING
keyctl är kommandoradsverktyget för Linux kärnans nyckelringar.
Visa processens nyckelringar:
keyctl show
Lägg till en användarnyckel:
keyctl add user minnyckel hemligdata @u
Läs nyckeln:
keyctl print NYCKELID
Skapa en ny sessionsnyckelring:
keyctl session
Sök efter en nyckel:
keyctl search @u user minnyckel
Verktyget används av systemprogram, autentiseringslösningar, krypteringsverktyg och tjänster som lagrar hemligheter i kärnan.
Sidslut
Orginalhemsidan på Engelska https://man7.org/linux/man-pages/man1/keyctl.1.html
Det här är en maskinöversättning av Linux man sidor till svenska. Om du hittar fel är vi tacksamma om du rapporterar dem via formuläret som finns på
https://www.linux.se/kontaka-linux-se/
Tack till Datorhjälp Stockholm som har sponsrat Linux.se med webbhotell.