pksctl 命令

在线编辑

用途

对用户空间 Platform keystore (PKS) 框架执行管理操作。

语法

添加新用户
pksctl register -name <consumer> [-password-file <file>] [-min-quota <size>] [-max-quota size>] [-type { multi | single | wrap | wrap_multi | wrap_plus | wrap_plus_multi }]
删除现有用户
pksctl deregister -name <consumer> -force
减少特定消费者的最大配额
pksctl quota-shrink -name <name> -shrink-max <new_size>
查询有关框架使用情况的统计信息,或查询已注册的消费者(如有指定
pksctl stats [-name <consumer>]
要增加特定用户的最小配额、最大配额或两者兼有
pksctl quota-expand -name <consumer> [-expand-min <new_size>] [-expand-max <new_size>]
要修改今后要注册的消费者的默认配额值
pksctl set-default [-default-min <new_size>] [-default-max <new_size>] [-default-split <percentage>]
清除以前安装时遗留的对象
pksctl purge {-dry-run | -clear}

描述

pksctl 命令用于在用户空间执行与 PKS 框架有关的管理操作。 管理员可以执行以下操作
  • 注册或取消注册消费者。
  • 查询使用指标。
  • 修改特定和默认的使用限制。

基于角色的访问控制 (RBAC) 特殊权限分配给 pksctl 命令。 RBAC 权限允许 pksctl 命令执行某些特权操作。

注意:
  • register 消费者,必须为每个消费者提供一个唯一的名称。 如果您尝试注册两个或多个同名消费者,则只处理第一个注册请求。 此后任何以相同名称注册消费者的请求都会被拒绝。 消费者一旦注册了某个名称,该名称对该消费者而言就保持不变。
  • 要取消注册消费者,必须删除指定消费者存储在非易失性随机存取存储器(NVRAM)中的所有对象。 如果 NVRAM 中存储有映射到指定消费者的对象, deregister 操作将被拒绝,错误代码为 EAGAIN
  • 用户注册后,特定消费者的最低配额不得减少。 不过,最小配额的默认大小可以随时更改。 最低配额的大小在消费者注册时指定。

标志

表 1. 标志
描述
-clear 执行吹扫操作。 -clear 标记会删除所有未映射到有效注册消费者的对象。
-default-max 新尺寸

 设置新注册消费者最大配额的默认值。 现有消费者不受影响。
注意: 您可以使用 -expand-max-shrink-max 标志修改现有消费者的默认最大配额。
-default-min 新尺寸

 设置新注册消费者最小配额的默认值。 现有消费者不受影响。
注意: 您可以使用 -expand-min-shrink-min 标志修改现有消费者的默认最小配额。
-default-split %

决定预留给 PKS 框架使用的 NVRAM 空间百分比。 percentage 变量值必须是整数。 有效值范围为 40-100。

注意:-default-split 标记指定的总空间表示消费者可以使用的内核地址空间。 因此,为用户空间预留的值计算为 100 与 percentage 变量值之间的差值。
-dry-run 列出存储在 NVRAM 中但未映射到已注册消费者的所有对象。 -dry-run 标记和 -clear 标记不能同时使用。
-expand-max 新尺寸 将已注册消费者的最大配额增加到 new_size 变量指定的值。 -name参数指定了增加最大配额的用户。
-expand-min 新尺寸 将已注册消费者的最小配额增加到 new_size 变量指定的值。 -name 参数指定了增加最小配额的消费者。
-force 说明删除合格消费者的意图。 -force 标志是 deregister 操作的强制标志。
-max-quota 尺寸 指定最大配额大小,单位为 KB。 -max-quota 标记用于仅在消费者注册时修改最大配额的默认值。
-min-quota 尺寸 指定最小配额大小(KB)。 -min-quota 标志仅在消费者注册时用于修改最小配额的默认值。
-name 消费者 指定特定操作的消费者名称。
-password-file 文件 指定包含由 -name 标记指定的用户密码的文件路径。
注意:-password-file 标记指定的文件的安全性由运行 pksctl 命令的用户负责。
-shrink-max 新尺寸 将已注册消费者的最大配额大小减小到 new_size 变量指定的值。 最大配额减少的消费者由 -name 参数指定。
-type { multi | single | wrap | wrap_multi | wrap_plus | wrap_plus_multi } 表示 -name 参数指定的消费者允许的会话并发量。 以下是 -type 标记的有效值:
  • single: 指定消费者为单会话消费者。 默认值为 单个
  • multi :指定允许消费者使用多个会话。
  • wrap :指定允许对一个并发活动会话进行包装操作。
  • wrap_multi :指定允许对多个会话进行换行操作。
  • wrap_plus :指定允许对一个会话进行换行操作以及读写操作。
  • wrap_plus_multi :指定允许对多个会话进行换行操作以及读写操作。

安全性

RBAC 用户请注意: 此命令可执行特权操作。 只有特权用户才能执行特权限定的操作。 有关授权和权限的更多信息,请参阅 安全性中的 授权命令数据库。 有关此命令的权限和授权列表,请参阅 lssecattr 命令或 getcmdattr 子命令。

退出状态

pksctl 命令返回以下退出值:
表 2. 退出状态
描述
重大安全事件数量 表示指定操作成功完成。
>0 表示发生错误。 在这种情况下,会酌情显示适当的错误信息。

文件

表 3. 文件
描述
/usr/sbin/pksctl 包含 pksctl 命令。