cryptmount - monter/démonter un système de fichiers chiffré
cryptmount CIBLE [CIBLE ...]
cryptmount --unmount CIBLE [CIBLE ...]
cryptmount --change-password CIBLE
cryptmount --generate-key size CIBLE
cryptmount --swapon CIBLE
cryptmount --swapoff CIBLE
cryptmount permet à un utilisateur ordinaire d'accéder
à un système de fichiers chiffré sans avoir besoin des
privilèges du super-utilisateur, et aussi aide le super-utilisateur
à créer des nouveaux systèmes de fichiers
chiffrés. Après avoir été configuré la
première fois par le super-utilisateur, l'utilisateur a seulement
besoin de donner le mot de passe du système de fichiers pour que
cryptmount configure automatiquement des cibles du device-mapper et
périphérique loop avant de monter le système de fichiers.
cryptmount a été écrit en réponse aux
différences entre le nouveau device-mapper du linux-2.6 serie des
noyeaux et, le plus agé, cryptoloop qui a permis à des
utilisateurs ordinaires d'accéder aux systèmes de fichiers
chiffrés directement avec
mount (8).
- -a --all
- opérer sur toutes les cibles dans
/etc/cryptmount/cmtab, par exemple si on veut monter toutes les
cibles.
- -m --mount
- monter une cible particulière. On demandera à
l'utilisateur de donner un mot de passe pour révéler la clef
qui déchiffre le système de fichiers.
- -u --unmount
- démonter une cible particulière. On n'a pas
besoin de donner un mot de passe, mais si un utilisateur ordinaire qui n'a
pas monté ce système de fichiers essaye de le
démonter, cela se soldera par un échec.
- -l --list
- donner une liste de toutes les cibles.
- -c --change-password
- changer le mot de passe qui protège un
système de fichers.
- --generate-key taille
- créer une clef de déchiffrage pour un nouveau
système de fichiers. taille donne la longeur de la
clef en octets.
- -e --reuse-key cible-actuel
- créer une clef de déchiffrage pour un nouveau
système de fichiers, utilisant une clef existante d'un autre
système de fichiers.
- -f --config-fd num
- lire les information des cibles d'un descripteur de fichier
numéro num en place du fichier de configuration de
defaut. Cette option est reservée seulement pour le
super-utilisateur.
- -w --passwd-fd num
- lire les mots de passe d'un descripteur de fichier
numéro num en place du terminal.
- -p --prepare
- préparer toutes les cibles du device-mapper et
périphérique loop nécessaires pour accéder
à une cible, mais sans la monter. Cette commande permet au
super-utilisateur d'installer un système de fichiers sur un
périphérique chiffré.
- -r --release
- libérer toutes les cibles du device-mapper et
périphérique loop associées à une cible
particulière. Cette option est reservée seulement pour le
super-utilisateur.
- -s --swapon
- activer une cible pour la pagination sur disque
chiffré. Cette option est reservée seulement pour le
super-utilisateur.
- -x --swapoff
- désactiver une cible pour la pagination sur disque
chiffré. Cette option est reservée seulement pour le
super-utilisateur.
- -k --key-managers
- donne une list de tous les gestionnaires des
fichier-clefs.
- -v --version
- donner le numéro version de la programme
installée.
cryptmount donne un zéro si l'action a réussi. Une autre
valeur indique qu'une erreur a été comise:
- 1
- un argument n'est pas reconnu;
- 2
- le nom d'une cible n'est pas reconnu;
- 3
- l'excecution d'une programme a échoué;
- 100
- l'utilisateur n'a pas assez de privilège;
- 101
- il y a un échec de le securité dans
l'installation.
Si vous voulez construire un nouveau système de fichiers chiffré
dirigé par cryptmount, vous pouvez utiliser le programme
'cryptmount-setup' compris avec ce paquet, qui permet au super-utilisateur
d'établir interactivement une cible basique.
Autrement, imaginez que l'on veuille construire un nouveau système de
fichiers chiffré, que l'on appellera «opaque». Si on a
une partition libre du disque dur, par exemple /dev/hdb63, on peut utiliser
cette partition directement pour contenir le système de fichiers.
Sinon, on peut conserver le système de fichiers chiffré dans un
fichier ordinaire, si on reserve de l'espace-disque avec par exemple la
commande suivante:
dd if=/dev/zero of=/home/opaque.fs bs=1M count=512
et ensuite, on doit remplacer toutes les instances de «/dev/hdb63»
dans ce qui suit par «/home/opaque.fs».
D'abord, on doit créer un inscription dans /etc/cryptmount/cmtab, qui
décrit le chiffrage qui sera utilisé pour protèger le
système de fichiers, ainsi:
opaque {
dev=/dev/hdb63 dir=/home/crypt
fstype=ext2 mountoptions=defaults cipher=twofish
keyfile=/etc/cryptmount/opaque.key
keyformat=builtin
}
Ici, on utilisera l'algorithme "twofish" pour chiffrer le
système de fichiers lui-même, et le gestionnaire
intégré ("builtin") va conserver le securité de
la clef de déchiffrage dans /etc/cryptmount/opaque.key.
Pour générer une clef de déchiffrage secrète (dans
/etc/cryptmount/opaque.key), on peut exécuter, en tant que
super-utilisateur:
cryptmount --generate-key 32 opaque
Cette commande produit une clef de 32 octets (256 bits), et on sait que le
chiffre Twofish accepte les clefs de 256 bits.
Si on exécute la commande suivante, en tant que super-utilisateur:
cryptmount --prepare opaque
on doit produire le mot de passe qu'on a donné lors de l'écriture
du /etc/cryptmount/opaque.key. Ceci permet à
cryptmount de
préparer une cible device-mapper (/dev/mapper/opaque).
Maintenant, les outils standards sont disponibles pour mettre un système
de fichiers sur /dev/mapper/opaque:
mke2fs /dev/mapper/opaque
Après avoir exécuté
cryptmount --release opaque
mkdir /home/crypt
le système de fichiers chiffré est prêt.
Les utilisateurs ordinaires pouvent monter le système de fichiers en
tapant
cryptmount -m opaque
ou
cryptmount opaque
et pouvent démonter avec
cryptmount -u opaque
cryptmount maintenit un rapport sur lequel utilisateur a monté
chaque cible de manière à interdir à tout autre
utilisateur (sauf le super-utilisateur) de démonter ce système
de fichiers.
Après avoir utilisé un système de fichiers pendant un
certain temps, on peut vouloir changer le mot de passe. Par exemple, si on a
une cible appelée "opaque", on peut exécuter:
cryptmount --change-password opaque
On doit donner l'ancien mot de passe, et ensuite choisir un nouveau mot de passe
qui va chiffrer la clef d'accès pour le système de fichiers. (Le
système de fichier lui-même n'est pas modifié.)
On peut utiliser
cryptmount pour accèder facilement les
systèmes de fichiers en format LUKS crée avec le paquet
cryptsetup.
Si on a déjà construi un partition LUKS, on doit seulment mettre
un autre cible dans /etc/cryptmount/cmtab. Par example, si le partition
/dev/hdb62 sur le disque dur contient un système de fichiers du type
`ext3', chiffrée avec LUKS, on peut ecrire:
LUKS {
keyformat=luks
dev=/dev/hdb62 keyfile=/dev/hdb62
dir=/home/luks-dir fstype=ext3
}
Après avoir faire ça, c'est possible de monter cette
système de fichiers sous /home/luks-dir avec
cryptmount LUKS
/etc/cryptmount/cmtab - fichier de configuration
/run/cryptmount.status - rapport sur les cibles montées
cmtab(5),
cryptmount-setup(8),
cryptsetup(8),
mount(8),
L'auteur accueille les suggestions
constructives à
https://github.com/rwpenney/cryptmount/issues
cryptmount est Copyright 2005-2022 RW Penney
et il n'y a point de garantie. Les termes de sa licence sont décrits dans
le fichier "COPYING" dans le paquet source de cryptmount.
RW Penney, 2006-2014, avec beaucoup d'assistance de mon épouse.