Provided by:
cryptmount_4.2-1_i386 
NOM
cmtab - informations statiques sur les systemes de fichiers diriges par
cryptmount
DESCRIPTION
Les informations sur les systemes de fichiers chiffres diriges par
cryptmount sont contenues dans le fichier /etc/cryptmount/cmtab.
Chaque systeme de fichiers est appelle par un nom de cible qu'on peut
utiliser comme parametre de cryptmount et ce nom apparait dans
/etc/cryptmount/cmtab devant une liste des parametres qui decrit ou le
systeme de fichiers est contenu, et comment il est chiffre.
Le format du cmtab est souple, et la description de chaque cible est
delimitee par des accolades, les parametres sont specifies par les
paires CLEF=VALEUR, et on peut mettre autant de caractere blanc
d'espacement que l'on veut. Les annotations commencent avec un
caractere `#', qui peut etre utilise a n'importe quel endroit dans une
ligne, et continuent jusqu'a la fin de cette ligne. Le caractere `\'
indique que si le caractere suitvant a une signification speciale,
celle-ci sera ignoree, comme par exemple si on veut incorporer un
espace dans le nom d'un fichier.
/etc/cryptmount/cmtab contient des inscriptions de la forme suivante:
NOM_CIBLE {
dev=PERIPHERIQUE
flags=DRAPEAU,DRAPEAU,...
startsector=SECTEURDEBUT
numsectors=NUMSECTEURS
loop=PERIPH_LOOP
dir=REP_MONT
fstype=TYPE
mountoptions=MOPT,MOPT,...
fsckoptions=FOPT;FOPT;...
cipher=CHIFFRE
ivoffset=IVOFFSET
keyformat=FORMAT_CLEF
keyfile=FICHIER_CLEF
keyhash=HASH_CLEF
keycipher=CHIFFRE_CLEF
keymaxlen=MAX_CLEF
passwdretries=NUMESSAYES
}
Ici, les parametres `flags', `startsector', `numsectors', `loop',
`ivoffset', `keyformat', `keymaxlen' et `passwdretries' sont
optionnels.
Les parametres ont les sens suivants:
NOM_CIBLE
est le nom par lequel cryptmount se refere a un systeme de
fichiers particulier. Il est possible d'indiquer valeurs par
defaut pour les cibles suivanteis en utilisant le nom special
"_DEFAULTS_".
PERIPHERIQUE
est le nom du vrai peripherique (e.g. /dev/hdb63) ou du fichier
ordinaire (e.g. /home/secretiveuser/private.fs) qui range le
systeme de fichiers chiffre.
DRAPEAU
est un bouton de configuration, comme par exemple "user"
(n'importe quel utilisateur peut monter), "nouser" (seulement le
super-utilisateur peut monter), "fsck" (verifier automatiquement
le systeme de fichiers avant de monter), "nofsck" (ne verifier
pas le systeme de fichiers avant de monter), "mkswap" (formater
la cible pour la pagination), "nomkswap" (ne formater par la
cible). Ce parametre est optionnel, et le defaut est
"user,fsck,nomkswap".
SECTEURDEBUT
est le numero du secteur (de 512 octets) du PERIPHERIQUE ou le
systeme de fichiers va commencer. Ce parametre est optionnel,
et le defaut est zero.
NUMSECTEURS
donne la taille totale du systeme de fichiers, en secteurs
(blocs de 512 octets). Ce parametre est optionnel, et le defaut
est -1, ce qui signifie que tout le PERIPHERIQUE sera utilisee.
PERIPH_LOOP
peut etre utilise pour specifier un peripherique loop
particulier (e.g. /dev/loop0) au cas ou PERIPHERIQUE est un
fichier ordinaire. Ce parametre est optionnel, et le defaut est
"auto".
REP_MONT
est le repertoire dans lequel le systeme de fichiers chiffre
sera monte.
TYPE specifie le type du systeme de fichiers (comme utilise par mount
(8)). On doit specifier "swap" si la peripherique va etre
utilisee pour la pagination chiffree.
MOPT est une option de montage, comme compris par mount (8).
Typiquement, MOPT peut etre "default", "noatime", "noexec",
"nosuid", "ro", "sync" etc.
FOPT est une option de verification, comme compris par fsck (8).
Typiquement, FOPT peut etre "-C", "-V" etc.
CHIFFRE
est le type d'algorithme de chiffrage qui sera utilise sur
PERIPHERIQUE. La liste des algorithmes possibles est determine
par le noyau.
FORMAT_CLEF
indique quel moteur de chiffrage on utilise pour diriger le
FICHIER_CLEF. Les moteurs disponibles sont determines pendant
l'installation de cryptmount mais peuvent comprendre "openssl"
et "libgcrypt" en plus de "builtin" (integre) et "raw" (brut).
Ce parametre est optionel, est s'il est absent, "builtin" sera
utilise quand la clef est construit.
FICHIER_CLEF
est un fichier ordinaire qui contient la clef utilisee par
l'algorithme CHIFFRE pour dechiffrer le systeme de fichiers.
Cette clef elle-meme est chiffree a partir de HASH_CLEF et
CHIFFRE_CLEF
IVOFFSET
est l'offset qui est ajoute au numero du secteur pendant le
calcul du vecteur d'initialisation de l'algorithme de chiffrage.
Ce parametre est optionnel, et le defaut est zero.
HASH_CLEF
est l'algorithme (hash) utilise pour brouiller le mot de passe
de l'utilisateur dans l'algorithme CHIFFRE_CLEF qui protege la
clef du systeme de fichiers chiffre. On peut choisir n'importe
quel algorithme qui est fourni par le FORMAT_CLEF qu'on a
choisi.
CHIFFRE_CLEF
est l'algorithme chiffre qui protege la clef du systeme de
fichiers chiffre lui-meme. Le menu d'algorithmes est determine
par la choix de FORMAT_CLEF
MAX_CLEF
est le nombre d'octets maximum qui sera lu du FICHIER_CLEF pour
devenir la clef de dechiffrage. Ce parametre est optionnel, et
le defaut est zero, ce qui indique que FICHIER_CLEF sera lu en
entier.
NUMESSAYES
est le nombre de tentatives de mot de passe avant que cryptmount
aille terminer quand on essaye de monter ou configurer une
cible.
COMMENT CHOISIR LE FORMAT DE LA CLEF
cryptmount offrit un selection de facons pour proteger la clef associee
avec chaque systeme de fichiers chiffre. Pour le plupart des
utilisateurs, la choix defaute "builtin" donne un bon niveau de
securite et versatilite. Quelques autre moteurs de chiffrage sont
disponible, et donnent plus de choix des algorithms pour brouiller le
mot de passe, ou compatabilite avec quelques autre paquets. Le menu
des moteurs sont le suivant.
builtin
Ce moteur est inclus dans cryptmount-2.0 et suivant, est utilise un
fichier independent pour cacher la clef.
libgcrypt
Ce moteur est inclus dans cryptmount-1.1 et suivant, est utilise un
fichier independent pour cacher la clef.
luks
Ce moteur est inclus dans cryptmount-3.1 et suivant, est peut diriger
les systeme de fichiers du format LUKS ("Linux Unified Key Setup"). Ce
format cache la clef dans une region speciale du systeme de fichiers
lui-meme. Il est recommande de ne pas utiliser les parametres
"startsector" ou "numsectors" parce que le format LUKS suppose qu'une
partition entiere est disponible pour le systeme de fichiers.
openssl/openssl-compat
Ce moteur etait disponible depuis les premiers versions de cryptmount,
et utilise un fichier independent pour cacher la clef. Le format de ce
fichier est compatible aver le paquet "openssl".
password
Ce moteur est inclus dans cryptmount-4.0 et suivant, est n'a pas besoin
d'un fichier pour cacher la clef. Plutot, la clef est constui
directment du mot de passe, et donc il n'est pas possible de changer le
mot de passe sans rechiffrer le systeme de fichiers en entiers.
raw
Ce moteur est inclus dans cryptmount-1.1 et suivant, est utilise un
fichier independent pour contenir la clef, sans aucun chiffrage. Ce
moteur est utile principalement pour les partitions de pagination.
SECURITE
Etant donne que cryptmount est installe avec des permissions setuid, il
est tres imporant que son fichier de configuration soit solide.
Idealement, /etc/cryptmount/cmtab devrait etre dirige seulement par le
super-utilisateur, et toutes les clefs devraient etre seulement
lisibles par leurs utilisateurs propres.
cryptmount verifie la securite du /etc/cryptmount/cmtab chaque fois
qu'il est execute, et se terminera a moins que:
* cmtab ne soit possede par le super-utilisateur
* cmtab ne soit un fichier regulier
* les permissions de cmtab ne contiennent pas d'ecriture universelle
* le repertoire, qui contient cmtab, ne soit possede par le super-utilisateur
* les permissions du repertoire, qui contient cmtab, ne contiennent pas d'ecriture universelle.
De plus, pour toutes les cibles dans /etc/cryptmount/cmtab, tous les
fichiers doivent avoir des nom absolus (c'est-a-dire commencent avec
'/').
En cas qu'on a choisi "raw" (brut) pour le FORMAT_CLEF c'est preferable
si FICHIER_CLEF est range avec des permissions d'acces non moins
restrictives que 0600, ou bien est contenu sur un disque USB-flash, par
exemple.
PAGINATION CHIFFREE ET MKSWAP AUTOMATIQUE
Lorsque l'option `mkswap' est selectionne pour une cible particuliere
dans /etc/cryptmount/cmtab, cryptmount tentera automatiquement de
formater une partition swap chiffree chaque fois que vous executez
"cryptmount --swapon <cible>". C'est souvent utile quand il n'est pas
necessaire de conserver les donnees de pagination entre les
redemarrages, comme lorsque vous n'utilisez pas les caracteristiques
d'hibernation du noyau.
Parce que le reformatage supprime toutes les donnees existantes sur la
partition de pagination choisi, cryptmount se faire des verifications
de base sur le premier megaoctet de la partition, basee sur le degre
d'alea (entropie) dans le contenu actuel. Si la partition semble
contenir bruit pur, ou a ete remis a zero, la partition sera formatee
automatiquement. Si cryptmount determine que la partition peut
contenir des donnees non-aleatoire, puis il vous demandera d'executer
"mkswap" manuellement.
Comme il n'existe aucun moyen infaillible de determiner si une
partition (surtout chiffree) contient des donnees importantes, vous
devriez etre tres prudent sur peripherique brut choisi pour n'importe
quelle cible sur lequel vous selectionnez l'option "mkswap".
FICHIER EXEMPLE
Le /etc/cryptmount/cmtab exemple suivant contient cinq cibles, qui
utilisent un melange d'algorithmes de chiffrage et qui rangent leurs
systemes de fichiers de manieres differentes. Il y en a aussi un cible
qui represent une partition de pagination.
# /etc/cryptmount/cmtab
# fichier exemplaire - modifiez avant d'utiliser SVP
_DEFAULTS_ {
passwdretries=3 # permet 3 essayes de mot de passe par defaut
}
basic {
dev=/home/secretiveuser/crypt.fs
dir=/home/secretiveuser/crypt # ou on va monter
loop=auto # trouver un periph loop libre
fstype=ext3 mountoptions=default
cipher=aes-cbc-plain # chiffrage du systeme de fichiers
keyfile=/home/secretiveuser/crypt.key
# utiliser le gestionnaire des clefs integre
keyformat=builtin
}
partition {
dev=/dev/hdb62 # utiliser une partition entiere
dir=/mnt/crypt62
fstype=ext3 mountoptions=nosuid,noexec cipher=serpent-cbc-plain
# info sur le fichier qui contient la clef de dechiffrage:
keyfile=/etc/cryptmount/crypt_hdb62.key
keyformat=openssl # utiliser OpenSSL pour chiffrage de la clef
keyhash=md5 keycipher=bf-cbc # chiffrage du fichier de la clef
}
subset {
dev=/dev/hdb63
startsector=512 numsectors=16384 # utiliser une partie d'une partition
dir=/mnt/encrypted\ subset\ of\ hdb
fstype=reiserfs mountoptions=defaults
cipher=twofish-cbc-plain # chiffrage du systeme de fichiers
# info sur le fichier qui contient la clef de dechiffrage:
keyfile=/etc/cryptmount/crypt_hdb63.key
keyformat=libgcrypt
keyhash=md5 keycipher=blowfish-cbc # chiffrage de la clef d'acces
}
encswap { # pagination chiffree
dev=/dev/hdb63
startsector=16896 numsectors=1024 # utiliser une partie d'une partition
fstype=swap flags=mkswap cipher=twofish-cbc-plain
# lire une clef nouvelle de 16-octets de /dev/random chaque fois:
keyfile=/dev/random keymaxlen=16 keyformat=raw
}
luks { # partition cree avec cryptsetup-luks
dev=/dev/hdb63
dir=/mnt/partition-luks
keyformat=luks
keyfile=/dev/hdb63
fstype=ext3
}
# fin de cmtab
La cible `basic' utilise le fichier ordinaire
"/home/secretiveuser/crypt.fs" pour ranger le systeme de fichiers
chiffre. Un peripherique loop sera configure automatiquement par
cryptmount (a cause du "loop=auto").
La cible `partition' utilise une partition entiere du disque dur pour
ranger le systeme de fichiers chiffre. La clef de dechiffrage est
contenue dans le repertoire principal de cryptmount.
La cible `subset' est semblable a la cible `partition' sauf qu'elle
n'utilise pas une partition entiere. De cette maniere, on peut
utiliser des autres groupes de blocs de la partition pour des autres
systemes de fichiers diriges par cryptmount ou dmsetup.
La cible `encswap' utilise une partie d'une partition du disque dur
pour proviser la pagination chiffree. Une nouvelle clef de dechiffrage
sera lu du /dev/random chaque fois la cible est utilisee.
FICHIERS
/etc/cryptmount/cmtab - fichier principal du configuration
VOIR AUSSI
cryptmount(8), cryptmount-setup(8), dmsetup(8), openssl(1)
COPYRIGHT NOTICE
cryptmount est Copyright 2005-2009 RW Penney
et il n'y a point de garantie. Les termes de sa licence sont decrits
dans le fichier "COPYING" dans le paquet source de cryptmount.
TRADUCTION
RW Penney, 2006-2009, avec beaucoup d'assistance de FP.