Provided by: cryptmount_4.2-1_i386 bug

NOM

       cmtab - informations statiques sur les systemes de fichiers diriges par
       cryptmount

DESCRIPTION

       Les informations sur les systemes  de  fichiers  chiffres  diriges  par
       cryptmount   sont  contenues  dans  le  fichier  /etc/cryptmount/cmtab.
       Chaque systeme de fichiers est appelle par un nom de cible  qu'on  peut
       utiliser  comme  parametre  de  cryptmount  et  ce  nom  apparait  dans
       /etc/cryptmount/cmtab devant une liste des parametres qui decrit ou  le
       systeme de fichiers est contenu, et comment il est chiffre.

       Le  format  du  cmtab est souple, et la description de chaque cible est
       delimitee par des accolades, les  parametres  sont  specifies  par  les
       paires  CLEF=VALEUR,  et  on  peut  mettre  autant  de  caractere blanc
       d'espacement  que  l'on  veut.   Les  annotations  commencent  avec  un
       caractere  `#', qui peut etre utilise a n'importe quel endroit dans une
       ligne, et continuent jusqu'a la fin de cette ligne.  Le  caractere  `\'
       indique  que  si  le  caractere  suitvant a une signification speciale,
       celle-ci sera ignoree, comme par  exemple  si  on  veut  incorporer  un
       espace dans le nom d'un fichier.

       /etc/cryptmount/cmtab contient des inscriptions de la forme suivante:

           NOM_CIBLE {
               dev=PERIPHERIQUE
               flags=DRAPEAU,DRAPEAU,...
               startsector=SECTEURDEBUT
               numsectors=NUMSECTEURS
               loop=PERIPH_LOOP
               dir=REP_MONT
               fstype=TYPE
               mountoptions=MOPT,MOPT,...
               fsckoptions=FOPT;FOPT;...
               cipher=CHIFFRE
               ivoffset=IVOFFSET
               keyformat=FORMAT_CLEF
               keyfile=FICHIER_CLEF
               keyhash=HASH_CLEF
               keycipher=CHIFFRE_CLEF
               keymaxlen=MAX_CLEF
               passwdretries=NUMESSAYES
           }

       Ici,  les  parametres  `flags',  `startsector',  `numsectors',  `loop',
       `ivoffset',   `keyformat',   `keymaxlen'   et   `passwdretries'    sont
       optionnels.

       Les parametres ont les sens suivants:

       NOM_CIBLE
              est  le  nom  par  lequel  cryptmount  se refere a un systeme de
              fichiers particulier.  Il est possible  d'indiquer  valeurs  par
              defaut  pour  les  cibles suivanteis en utilisant le nom special
              "_DEFAULTS_".

       PERIPHERIQUE
              est le nom du vrai peripherique (e.g. /dev/hdb63) ou du  fichier
              ordinaire  (e.g.  /home/secretiveuser/private.fs)  qui  range le
              systeme de fichiers chiffre.

       DRAPEAU
              est  un  bouton  de  configuration,  comme  par  exemple  "user"
              (n'importe quel utilisateur peut monter), "nouser" (seulement le
              super-utilisateur peut monter), "fsck" (verifier automatiquement
              le  systeme  de fichiers avant de monter), "nofsck" (ne verifier
              pas le systeme de fichiers avant de monter), "mkswap"  (formater
              la  cible  pour  la  pagination), "nomkswap" (ne formater par la
              cible).   Ce  parametre  est  optionnel,  et   le   defaut   est
              "user,fsck,nomkswap".

       SECTEURDEBUT
              est  le  numero du secteur (de 512 octets) du PERIPHERIQUE ou le
              systeme de fichiers va commencer.  Ce parametre  est  optionnel,
              et le defaut est zero.

       NUMSECTEURS
              donne  la  taille  totale  du  systeme  de fichiers, en secteurs
              (blocs de 512 octets).  Ce parametre est optionnel, et le defaut
              est -1, ce qui signifie que tout le PERIPHERIQUE sera utilisee.

       PERIPH_LOOP
              peut   etre   utilise   pour   specifier  un  peripherique  loop
              particulier (e.g. /dev/loop0) au  cas  ou  PERIPHERIQUE  est  un
              fichier ordinaire.  Ce parametre est optionnel, et le defaut est
              "auto".

       REP_MONT
              est le repertoire dans lequel le  systeme  de  fichiers  chiffre
              sera monte.

       TYPE   specifie le type du systeme de fichiers (comme utilise par mount
              (8)).  On doit specifier  "swap"  si  la  peripherique  va  etre
              utilisee pour la pagination chiffree.

       MOPT   est  une  option  de  montage,  comme  compris  par  mount  (8).
              Typiquement, MOPT  peut  etre  "default",  "noatime",  "noexec",
              "nosuid", "ro", "sync" etc.

       FOPT   est  une  option  de  verification,  comme compris par fsck (8).
              Typiquement, FOPT peut etre "-C", "-V" etc.

       CHIFFRE
              est le type d'algorithme  de  chiffrage  qui  sera  utilise  sur
              PERIPHERIQUE.   La liste des algorithmes possibles est determine
              par le noyau.

       FORMAT_CLEF
              indique quel moteur de chiffrage  on  utilise  pour  diriger  le
              FICHIER_CLEF.   Les  moteurs disponibles sont determines pendant
              l'installation de cryptmount mais peuvent  comprendre  "openssl"
              et  "libgcrypt"  en plus de "builtin" (integre) et "raw" (brut).
              Ce parametre est optionel, est s'il est absent,  "builtin"  sera
              utilise quand la clef est construit.

       FICHIER_CLEF
              est  un  fichier  ordinaire  qui  contient  la clef utilisee par
              l'algorithme CHIFFRE pour dechiffrer  le  systeme  de  fichiers.
              Cette  clef  elle-meme  est  chiffree  a  partir de HASH_CLEF et
              CHIFFRE_CLEF

       IVOFFSET
              est l'offset qui est ajoute au  numero  du  secteur  pendant  le
              calcul du vecteur d'initialisation de l'algorithme de chiffrage.
              Ce parametre est optionnel, et le defaut est zero.

       HASH_CLEF
              est l'algorithme (hash) utilise pour brouiller le mot  de  passe
              de  l'utilisateur  dans l'algorithme CHIFFRE_CLEF qui protege la
              clef du systeme de fichiers chiffre.  On peut choisir  n'importe
              quel  algorithme  qui  est  fourni  par  le  FORMAT_CLEF qu'on a
              choisi.

       CHIFFRE_CLEF
              est l'algorithme chiffre qui  protege  la  clef  du  systeme  de
              fichiers  chiffre lui-meme.  Le menu d'algorithmes est determine
              par la choix de FORMAT_CLEF

       MAX_CLEF
              est le nombre d'octets maximum qui sera lu du FICHIER_CLEF  pour
              devenir  la clef de dechiffrage.  Ce parametre est optionnel, et
              le defaut est zero, ce qui indique que FICHIER_CLEF sera  lu  en
              entier.

       NUMESSAYES
              est le nombre de tentatives de mot de passe avant que cryptmount
              aille terminer quand on  essaye  de  monter  ou  configurer  une
              cible.

COMMENT CHOISIR LE FORMAT DE LA CLEF

       cryptmount offrit un selection de facons pour proteger la clef associee
       avec  chaque  systeme  de  fichiers  chiffre.   Pour  le  plupart   des
       utilisateurs,  la  choix  defaute  "builtin"  donne  un  bon  niveau de
       securite et versatilite.  Quelques  autre  moteurs  de  chiffrage  sont
       disponible,  et  donnent plus de choix des algorithms pour brouiller le
       mot de passe, ou compatabilite avec quelques autre  paquets.   Le  menu
       des moteurs sont le suivant.

       builtin

       Ce  moteur  est  inclus  dans cryptmount-2.0 et suivant, est utilise un
       fichier independent pour cacher la clef.

       libgcrypt

       Ce moteur est inclus dans cryptmount-1.1 et  suivant,  est  utilise  un
       fichier independent pour cacher la clef.

       luks

       Ce  moteur  est inclus dans cryptmount-3.1 et suivant, est peut diriger
       les systeme de fichiers du format LUKS ("Linux Unified Key Setup").  Ce
       format  cache  la  clef dans une region speciale du systeme de fichiers
       lui-meme.   Il  est  recommande  de  ne  pas  utiliser  les  parametres
       "startsector"  ou  "numsectors" parce que le format LUKS suppose qu'une
       partition entiere est disponible pour le systeme de fichiers.

       openssl/openssl-compat

       Ce moteur etait disponible depuis les premiers versions de  cryptmount,
       et utilise un fichier independent pour cacher la clef.  Le format de ce
       fichier est compatible aver le paquet "openssl".

       password

       Ce moteur est inclus dans cryptmount-4.0 et suivant, est n'a pas besoin
       d'un  fichier  pour  cacher  la  clef.   Plutot,  la  clef  est constui
       directment du mot de passe, et donc il n'est pas possible de changer le
       mot de passe sans rechiffrer le systeme de fichiers en entiers.

       raw

       Ce  moteur  est  inclus  dans cryptmount-1.1 et suivant, est utilise un
       fichier independent pour contenir la clef, sans  aucun  chiffrage.   Ce
       moteur est utile principalement pour les partitions de pagination.

SECURITE

       Etant donne que cryptmount est installe avec des permissions setuid, il
       est tres  imporant  que  son  fichier  de  configuration  soit  solide.
       Idealement,  /etc/cryptmount/cmtab devrait etre dirige seulement par le
       super-utilisateur,  et  toutes  les  clefs  devraient  etre   seulement
       lisibles par leurs utilisateurs propres.

       cryptmount  verifie  la  securite  du /etc/cryptmount/cmtab chaque fois
       qu'il est execute, et se terminera a moins que:
         * cmtab ne soit possede par le super-utilisateur
         * cmtab ne soit un fichier regulier
         * les permissions de cmtab ne contiennent pas d'ecriture universelle
         * le repertoire, qui contient cmtab, ne soit possede par le super-utilisateur
         * les permissions du repertoire, qui contient cmtab, ne contiennent pas d'ecriture universelle.
       De plus, pour toutes les cibles dans  /etc/cryptmount/cmtab,  tous  les
       fichiers  doivent  avoir  des nom absolus (c'est-a-dire commencent avec
       '/').

       En cas qu'on a choisi "raw" (brut) pour le FORMAT_CLEF c'est preferable
       si  FICHIER_CLEF  est  range  avec  des  permissions  d'acces non moins
       restrictives que 0600, ou bien est contenu sur un disque USB-flash, par
       exemple.

PAGINATION CHIFFREE ET MKSWAP AUTOMATIQUE

       Lorsque  l'option  `mkswap' est selectionne pour une cible particuliere
       dans  /etc/cryptmount/cmtab,  cryptmount  tentera  automatiquement   de
       formater  une  partition  swap  chiffree  chaque fois que vous executez
       "cryptmount --swapon <cible>".  C'est souvent utile quand il n'est  pas
       necessaire   de   conserver   les   donnees  de  pagination  entre  les
       redemarrages, comme lorsque vous n'utilisez  pas  les  caracteristiques
       d'hibernation du noyau.

       Parce  que le reformatage supprime toutes les donnees existantes sur la
       partition de pagination choisi, cryptmount se faire  des  verifications
       de  base  sur  le premier megaoctet de la partition, basee sur le degre
       d'alea (entropie) dans le  contenu  actuel.   Si  la  partition  semble
       contenir  bruit  pur, ou a ete remis a zero, la partition sera formatee
       automatiquement.   Si  cryptmount  determine  que  la  partition   peut
       contenir  des  donnees non-aleatoire, puis il vous demandera d'executer
       "mkswap" manuellement.

       Comme  il  n'existe  aucun  moyen  infaillible  de  determiner  si  une
       partition  (surtout  chiffree)  contient  des donnees importantes, vous
       devriez etre tres prudent sur peripherique brut choisi  pour  n'importe
       quelle cible sur lequel vous selectionnez l'option "mkswap".

FICHIER EXEMPLE

       Le  /etc/cryptmount/cmtab  exemple  suivant  contient  cinq cibles, qui
       utilisent un melange d'algorithmes de chiffrage et  qui  rangent  leurs
       systemes de fichiers de manieres differentes.  Il y en a aussi un cible
       qui represent une partition de pagination.

           # /etc/cryptmount/cmtab
           # fichier exemplaire - modifiez avant d'utiliser SVP

           _DEFAULTS_ {
               passwdretries=3     # permet 3 essayes de mot de passe par defaut
           }

           basic {
               dev=/home/secretiveuser/crypt.fs
               dir=/home/secretiveuser/crypt           # ou on va monter
               loop=auto                               # trouver un periph loop libre
               fstype=ext3     mountoptions=default
               cipher=aes-cbc-plain                    # chiffrage du systeme de fichiers
               keyfile=/home/secretiveuser/crypt.key
               # utiliser le gestionnaire des clefs integre
               keyformat=builtin
           }

           partition {
               dev=/dev/hdb62                      # utiliser une partition entiere
               dir=/mnt/crypt62
               fstype=ext3     mountoptions=nosuid,noexec         cipher=serpent-cbc-plain

               # info sur le fichier qui contient la clef de dechiffrage:
               keyfile=/etc/cryptmount/crypt_hdb62.key
               keyformat=openssl                   # utiliser OpenSSL pour chiffrage de la clef
               keyhash=md5 keycipher=bf-cbc        # chiffrage du fichier de la clef
           }

           subset {
               dev=/dev/hdb63
               startsector=512 numsectors=16384    # utiliser une partie d'une partition
               dir=/mnt/encrypted\ subset\ of\ hdb
               fstype=reiserfs         mountoptions=defaults
               cipher=twofish-cbc-plain            # chiffrage du systeme de fichiers

               # info sur le fichier qui contient la clef de dechiffrage:
               keyfile=/etc/cryptmount/crypt_hdb63.key
               keyformat=libgcrypt
               keyhash=md5 keycipher=blowfish-cbc  # chiffrage de la clef d'acces
           }

           encswap {                               # pagination chiffree
               dev=/dev/hdb63
               startsector=16896 numsectors=1024   # utiliser une partie d'une partition
               fstype=swap        flags=mkswap       cipher=twofish-cbc-plain

               # lire une clef nouvelle de 16-octets de /dev/random chaque fois:
               keyfile=/dev/random        keymaxlen=16     keyformat=raw
           }

           luks {                          # partition cree avec cryptsetup-luks
               dev=/dev/hdb63
               dir=/mnt/partition-luks
               keyformat=luks
               keyfile=/dev/hdb63
               fstype=ext3
           }

           # fin de cmtab

       La     cible     `basic'     utilise     le      fichier      ordinaire
       "/home/secretiveuser/crypt.fs"  pour  ranger  le  systeme  de  fichiers
       chiffre.  Un  peripherique  loop  sera  configure  automatiquement  par
       cryptmount (a cause du "loop=auto").

       La  cible  `partition' utilise une partition entiere du disque dur pour
       ranger le systeme de fichiers chiffre.   La  clef  de  dechiffrage  est
       contenue dans le repertoire principal de cryptmount.

       La  cible  `subset'  est  semblable a la cible `partition' sauf qu'elle
       n'utilise pas  une  partition  entiere.   De  cette  maniere,  on  peut
       utiliser  des  autres  groupes de blocs de la partition pour des autres
       systemes de fichiers diriges par cryptmount ou dmsetup.

       La cible `encswap' utilise une partie d'une  partition  du  disque  dur
       pour proviser la pagination chiffree.  Une nouvelle clef de dechiffrage
       sera lu du /dev/random chaque fois la cible est utilisee.

FICHIERS

       /etc/cryptmount/cmtab - fichier principal du configuration

VOIR AUSSI

       cryptmount(8), cryptmount-setup(8), dmsetup(8), openssl(1)

COPYRIGHT NOTICE

       cryptmount est Copyright 2005-2009 RW Penney
       et il n'y a point de garantie.  Les termes de sa licence  sont  decrits
       dans le fichier "COPYING" dans le paquet source de cryptmount.

TRADUCTION

       RW Penney, 2006-2009, avec beaucoup d'assistance de FP.