NOM
cryptmount - monter/démonter un système de fichiers chiffré
SYNOPSIS
cryptmount CIBLE [CIBLE ...]
cryptmount --unmount CIBLE [CIBLE ...]
cryptmount --change-password CIBLE
cryptmount --generate-key size CIBLE
cryptmount --swapon CIBLE
cryptmount --swapoff CIBLE
cryptmount permet à un utilisateur ordinaire d’accéder à un système de
fichiers chiffré sans avoir besoin des privilèges du super-utilisateur,
et aussi aide le super-utilisateur à créer des nouveaux systèmes de
fichiers chiffrés. Après avoir été configuré la première fois par le
super-utilisateur, l’utilisateur a seulement besoin de donner le mot de
passe du système de fichiers pour que cryptmount configure
automatiquement des cibles du device-mapper et périphérique loop avant
de monter le système de fichiers.
cryptmount a été écrit en réponse aux différences entre le nouveau
device-mapper du linux-2.6 serie des noyeaux et, le plus agé,
cryptoloop qui a permis à des utilisateurs ordinaires d’accéder aux
systèmes de fichiers chiffrés directement avec mount (8).
OPTIONS
-a --all
opérer sur toutes les cibles dans /etc/cryptmount/cmtab, par
exemple si on veut monter toutes les cibles.
-m --mount
monter une cible particulière. On demandera à l’utilisateur de
donner un mot de passe pour révéler la clef qui déchiffre le
système de fichiers.
-u --unmount
démonter une cible particulière. On n’a pas besoin de donner un
mot de passe, mais si un utilisateur ordinaire qui n’a pas monté
ce système de fichiers essaye de le démonter, cela se soldera
par un échec.
-l --list
donner une liste de toutes les cibles.
-c --change-password
changer le mot de passe qui protège un système de fichers.
--generate-key taille
créer une clef de déchiffrage pour un nouveau système de
fichiers. taille donne la longeur de la clef en octets.
-e --reuse-key cible-actuel
créer une clef de déchiffrage pour un nouveau système de
fichiers, utilisant une clef existante d’un autre système de
fichiers.
-f --config-fd num
lire les information des cibles d’un descripteur de fichier
numéro num en place du fichier de configuration de defaut.
Cette option est reservée seulement pour le super-utilisateur.
-w --passwd-fd num
lire les mots de passe d’un descripteur de fichier numéro num en
place du terminal.
-p --prepare
préparer toutes les cibles du device-mapper et périphérique loop
nécessaires pour accéder à une cible, mais sans la monter.
Cette commande permet au super-utilisateur d’installer un
système de fichiers sur un périphérique chiffré.
-r --release
libérer toutes les cibles du device-mapper et périphérique loop
associées à une cible particulière. Cette option est reservée
seulement pour le super-utilisateur.
-s --swapon
activer une cible pour la pagination sur disque chiffré. Cette
option est reservée seulement pour le super-utilisateur.
-x --swapoff
désactiver une cible pour la pagination sur disque chiffré.
Cette option est reservée seulement pour le super-utilisateur.
-k --key-managers
donne une list de tous les gestionnaires des fichier-clefs.
-v --version
donner le numéro version de la programme installée.
CODES DE RETOUR
cryptmount donne un zéro si l’action a réussi. Une autre valeur
indique qu’une erreur a été comise:
1 un argument n’est pas reconnu;
2 le nom d’une cible n’est pas reconnu;
3 l’excecution d’une programme a échoué;
100 l’utilisateur n’a pas assez de privilège;
101 il y a un échec de le securité dans l’installation.
EXEMPLES
Si vous voulez construire un nouveau système de fichiers chiffré dirigé
par cryptmount, vous pouvez utiliser le programme ’cryptmount-setup’
compris avec ce paquet, qui permet au super-utilisateur d’établir
interactivement une cible basique.
Autrement, imaginez que l’on veuille construire un nouveau système de
fichiers chiffré, que l’on appellera «opaque». Si on a une partition
libre du disque dur, par exemple /dev/hdb63, on peut utiliser cette
partition directement pour contenir le système de fichiers. Sinon, on
peut conserver le système de fichiers chiffré dans un fichier
ordinaire, si on reserve de l’espace-disque avec par exemple la
commande suivante:
dd if=/dev/zero of=/home/opaque.fs bs=1M count=512
et ensuite, on doit remplacer toutes les instances de «/dev/hdb63» dans
ce qui suit par «/home/opaque.fs».
D’abord, on doit créer un inscription dans /etc/cryptmount/cmtab, qui
décrit le chiffrage qui sera utilisé pour protèger le système de
fichiers, ainsi:
opaque {
dev=/dev/hdb63 dir=/home/crypt
fstype=ext2 mountoptions=defaults cipher=twofish
keyfile=/etc/cryptmount/opaque.key
keyformat=builtin
}
Ici, on utilisera l’algorithme "twofish" pour chiffrer le système de
fichiers lui-même, et le gestionnaire intégré ("builtin") va conserver
le securité de la clef de déchiffrage dans /etc/cryptmount/opaque.key.
Pour générer une clef de déchiffrage secrète (dans
/etc/cryptmount/opaque.key), on peut exécuter, en tant que super-
utilisateur:
cryptmount --generate-key 32 opaque
Cette commande produit une clef de 32 octets (256 bits), et on sait que
le chiffre Twofish accepte les clefs de 256 bits.
Si on exécute la commande suivante, en tant que super-utilisateur:
cryptmount --prepare opaque
on doit produire le mot de passe qu’on a donné lors de l’écriture du
/etc/cryptmount/opaque.key. Ceci permet à cryptmount de préparer une
cible device-mapper (/dev/mapper/opaque).
Maintenant, les outils standards sont disponibles pour mettre un
système de fichiers sur /dev/mapper/opaque:
mke2fs /dev/mapper/opaque
Après avoir exécuté
cryptmount --release opaque
mkdir /home/crypt
le système de fichiers chiffré est prêt.
Les utilisateurs ordinaires pouvent monter le système de fichiers en
tapant
cryptmount -m opaque
ou
cryptmount opaque
et pouvent démonter avec
cryptmount -u opaque
cryptmount maintenit un rapport sur lequel utilisateur a monté chaque
cible de manière à interdir à tout autre utilisateur (sauf le super-
utilisateur) de démonter ce système de fichiers.
MODIFIER MOT DE PASSE
Après avoir utilisé un système de fichiers pendant un certain temps, on
peut vouloir changer le mot de passe. Par exemple, si on a une cible
appelée "opaque", on peut exécuter:
cryptmount --change-password opaque
On doit donner l’ancien mot de passe, et ensuite choisir un nouveau mot
de passe qui va chiffrer la clef d’accès pour le système de fichiers.
(Le système de fichier lui-même n’est pas modifié.)
SYSTEMES DE FICHIERS ‘LUKS’
On peut utiliser cryptmount pour accèder facilement les systèmes de
fichiers en format LUKS crée avec le paquet cryptsetup.
Si on a déjà construi un partition LUKS, on doit seulment mettre un
autre cible dans /etc/cryptmount/cmtab. Par example, si le partition
/dev/hdb62 sur le disque dur contient un système de fichiers du type
‘ext3’, chiffrée avec LUKS, on peut ecrire:
LUKS {
keyformat=luks
dev=/dev/hdb62 keyfile=/dev/hdb62
dir=/home/luks-dir fstype=ext3
}
Après avoir faire ça, c’est possible de monter cette système de
fichiers sous /home/luks-dir avec
cryptmount LUKS
FICHIERS
/etc/cryptmount/cmtab - fichier de configuration
/etc/cryptmount/cmstatus - rapport sur les cibles montées
VOIR AUSSI
cmtab(5), cryptmount-setup(8), cryptsetup(8), mount(8),
BOGUES
L’auteur accueille les suggestions constructives à
<rwpenney@users.sourceforge.net>
COPYRIGHT NOTICE
cryptmount est Copyright 2005-2009 RW Penney
et il n’y a point de garantie. Les termes de sa licence sont décrits
dans le fichier "COPYING" dans le paquet source de cryptmount.
TRADUCTION
RW Penney, 2006-2009, avec beaucoup d’assistance de mon épouse.