Man page - cryptmount(8)

Packages contains this manual

Package:  cryptmount
apt-get install cryptmount

Manuals in package:
• cryptmount-setup(8)
• cmtab(5)
• cryptmount(8)
Documentations in package:
• cryptmount

Available languages:

en fr

Manual

CRYPTMOUNT

NOM
SYNOPSIS
DESCRIPTION
OPTIONS
CODES DE RETOUR
EXEMPLES
MODIFIER MOT DE PASSE
SYSTEMES DE FICHIERS ‘LUKS’
FICHIERS
VOIR AUSSI
BOGUES
COPYRIGHT NOTICE
TRADUCTION

---

NOM

cryptmount - monter/démonter un système de fichiers chiffré

SYNOPSIS

cryptmount CIBLE [ CIBLE ... ]

cryptmount --unmount CIBLE [ CIBLE ... ]

cryptmount --change-password CIBLE

cryptmount --generate-key size CIBLE

cryptmount --swapon CIBLE

cryptmount --swapoff CIBLE

DESCRIPTION

cryptmount permet à un utilisateur ordinaire d’accéder à un système de fichiers chiffré sans avoir besoin des privilèges du super-utilisateur, et aussi aide le super-utilisateur à créer des nouveaux systèmes de fichiers chiffrés. Après avoir été configuré la première fois par le super-utilisateur, l’utilisateur a seulement besoin de donner le mot de passe du système de fichiers pour que cryptmount configure automatiquement des cibles du device-mapper et périphérique loop avant de monter le système de fichiers.

cryptmount a été écrit en réponse aux différences entre le nouveau device-mapper du linux-2.6 serie des noyeaux et, le plus agé, cryptoloop qui a permis à des utilisateurs ordinaires d’accéder aux systèmes de fichiers chiffrés directement avec mount (8).

OPTIONS

-a --all

opérer sur toutes les cibles dans /etc/cryptmount/cmtab, par exemple si on veut monter toutes les cibles.

-m --mount

monter une cible particulière. On demandera à l’utilisateur de donner un mot de passe pour révéler la clef qui déchiffre le système de fichiers.

-u --unmount

démonter une cible particulière. On n’a pas besoin de donner un mot de passe, mais si un utilisateur ordinaire qui n’a pas monté ce système de fichiers essaye de le démonter, cela se soldera par un échec.

-l --list

donner une liste de toutes les cibles.

-c --change-password

changer le mot de passe qui protège un système de fichers.

--generate-key taille

créer une clef de déchiffrage pour un nouveau système de fichiers. taille donne la longeur de la clef en octets.

-e --reuse-key cible-actuel

créer une clef de déchiffrage pour un nouveau système de fichiers, utilisant une clef existante d’un autre système de fichiers.

-f --config-fd num

lire les information des cibles d’un descripteur de fichier numéro num en place du fichier de configuration de defaut. Cette option est reservée seulement pour le super-utilisateur.

-w --passwd-fd num

lire les mots de passe d’un descripteur de fichier numéro num en place du terminal.

-p --prepare

préparer toutes les cibles du device-mapper et périphérique loop nécessaires pour accéder à une cible, mais sans la monter. Cette commande permet au super-utilisateur d’installer un système de fichiers sur un périphérique chiffré.

-r --release

libérer toutes les cibles du device-mapper et périphérique loop associées à une cible particulière. Cette option est reservée seulement pour le super-utilisateur.

-s --swapon

activer une cible pour la pagination sur disque chiffré. Cette option est reservée seulement pour le super-utilisateur.

-x --swapoff

désactiver une cible pour la pagination sur disque chiffré. Cette option est reservée seulement pour le super-utilisateur.

-k --key-managers

donne une list de tous les gestionnaires des fichier-clefs.

-v --version

donner le numéro version de la programme installée.

CODES DE RETOUR

cryptmount donne un zéro si l’action a réussi. Une autre valeur indique qu’une erreur a été comise:

	1		un argument n’est pas reconnu;
	2		le nom d’une cible n’est pas reconnu;
	3		l’excecution d’une programme a échoué;
	100		l’utilisateur n’a pas assez de privilège;
	101		il y a un échec de le securité dans l’installation.

EXEMPLES

Si vous voulez construire un nouveau système de fichiers chiffré dirigé par cryptmount, vous pouvez utiliser le programme ’cryptmount-setup’ compris avec ce paquet, qui permet au super-utilisateur d’établir interactivement une cible basique.

Autrement, imaginez que l’on veuille construire un nouveau système de fichiers chiffré, que l’on appellera «opaque». Si on a une partition libre du disque dur, par exemple /dev/hdb63, on peut utiliser cette partition directement pour contenir le système de fichiers. Sinon, on peut conserver le système de fichiers chiffré dans un fichier ordinaire, si on reserve de l’espace-disque avec par exemple la commande suivante:

dd if=/dev/zero of=/home/opaque.fs bs=1M count=512

et ensuite, on doit remplacer toutes les instances de «/dev/hdb63» dans ce qui suit par «/home/opaque.fs».

D’abord, on doit créer un inscription dans /etc/cryptmount/cmtab, qui décrit le chiffrage qui sera utilisé pour protèger le système de fichiers, ainsi:

opaque {
dev=/dev/hdb63 dir=/home/crypt
fstype=ext2 mountoptions=defaults cipher=twofish
keyfile=/etc/cryptmount/opaque.key
keyformat=builtin
}

Ici, on utilisera l’algorithme "twofish" pour chiffrer le système de fichiers lui-même, et le gestionnaire intégré ("builtin") va conserver le securité de la clef de déchiffrage dans /etc/cryptmount/opaque.key.

Pour générer une clef de déchiffrage secrète (dans /etc/cryptmount/opaque.key), on peut exécuter, en tant que super-utilisateur:

cryptmount --generate-key 32 opaque

Cette commande produit une clef de 32 octets (256 bits), et on sait que le chiffre Twofish accepte les clefs de 256 bits.

Si on exécute la commande suivante, en tant que super-utilisateur:

cryptmount --prepare opaque

on doit produire le mot de passe qu’on a donné lors de l’écriture du /etc/cryptmount/opaque.key. Ceci permet à cryptmount de préparer une cible device-mapper (/dev/disk/by-id/dm-name-opaque).

Maintenant, les outils standards sont disponibles pour mettre un système de fichiers sur /dev/disk/by-id/dm-name-opaque:

mke2fs /dev/disk/by-id/dm-name-opaque

Après avoir exécuté

cryptmount --release opaque
mkdir /home/crypt

le système de fichiers chiffré est prêt.

Les utilisateurs ordinaires pouvent monter le système de fichiers en tapant

cryptmount -m opaque

ou

cryptmount opaque

et pouvent démonter avec

cryptmount -u opaque

cryptmount maintenit un rapport sur lequel utilisateur a monté chaque cible de manière à interdir à tout autre utilisateur (sauf le super-utilisateur) de démonter ce système de fichiers.

MODIFIER MOT DE PASSE

Après avoir utilisé un système de fichiers pendant un certain temps, on peut vouloir changer le mot de passe. Par exemple, si on a une cible appelée "opaque", on peut exécuter:

cryptmount --change-password opaque

On doit donner l’ancien mot de passe, et ensuite choisir un nouveau mot de passe qui va chiffrer la clef d’accès pour le système de fichiers. (Le système de fichier lui-même n’est pas modifié.)

SYSTEMES DE FICHIERS ‘LUKS’

On peut utiliser cryptmount pour accèder facilement les systèmes de fichiers en format LUKS crée avec le paquet cryptsetup.

Si on a déjà construi un partition LUKS, on doit seulment mettre un autre cible dans /etc/cryptmount/cmtab. Par example, si le partition /dev/hdb62 sur le disque dur contient un système de fichiers du type ‘ext3’, chiffrée avec LUKS, on peut ecrire:

LUKS {
keyformat=luks
dev=/dev/hdb62 keyfile=/dev/hdb62
dir=/home/luks-dir fstype=ext3
}

Après avoir faire ça, c’est possible de monter cette système de fichiers sous /home/luks-dir avec

cryptmount LUKS

FICHIERS

/etc/cryptmount/cmtab - fichier de configuration

/run/cryptmount.status - rapport sur les cibles montées

VOIR AUSSI

cmtab (5), cryptmount-setup (8), cryptsetup (8), mount (8),

BOGUES

L’auteur accueille les suggestions constructives à https://github.com/rwpenney/cryptmount/issues

COPYRIGHT NOTICE

cryptmount est Copyright 2005-2024 RW Penney
et il n’y a point de garantie. Les termes de sa licence sont décrits dans le fichier "COPYING" dans le paquet source de cryptmount.

TRADUCTION

RW Penney, 2006-2014, avec beaucoup d’assistance de mon épouse.

---