crypttab - статическая информация о шифрованной файловой системе
СИНТАКСИС
crypttab
ИМЯ УСТРОЙСТВО КЛЮЧИ ОПЦИИ
ОПИСАНИЕ
Файл /etc/crypttab содержит описательную информацию о зашифрованных томах. Каждый том описан в отдельной строке; колонки в каждой строке разделены табулятором или пробелами. Строки начинающиеся с ``#'' - комментарии, пустые строки игнорируются. Порядок записей в crypttab важен, потому, что скрипт /etc/init.d/boot.crypto последовательно перебирает записи crypttab. Все четыре колонки обязательны, потеря или лишние колонки приведут к непредсказуемому поведению.
*
Первая колонка, ИМЯ определяет отображаемое имя устройства. Это должно быть имя файла без других директорий. Устройство /dev/mapper/ИМЯ будет создано cryptsetup(8) зашифрованные данные из него на УСТРОЙСТВО.
Для актуального монтирования этих устройства нужно прописать в /etc/fstab.
*
Вторая колонка УСТРОЙСТВО определяет специальное блочное устройство, которое содержит зашифрованные данные.
*
Третья колонка КЛЮЧ определяет файл, содержащий бинарный ключ используемый для дешифровки зашифрованных данных УСТРОЙСТВА. Файл ключа может быть также уменем устройства (таким как /dev/urandom, которое используется для шифрования зашифрованных устройств подкачки).
Если КЛЮЧ стока none, ключевые данные (такие как пароль или парольная фраза) бедет прочитана интерактивно из консоли. В этом случае опции precheck, check, checkargs и tries могут использоваться.
Внимание: luks не поддерживает множество потоков (вроде /dev/urandom), ему необходимы ключи фиксированного размера.
*
Четвертое поле ОПЦИИ определяет опции cryptsetup ассоциированные с процессом шифрования. Как минимум, поле должно содержать строку luks или опции cipher, hash и size.
Опции имеют следующий формат: ключ=значение[,ключ=значение ...]
ОПЦИИ
cipher= <cipher>
Алгоритм шифрования. Смотрите cryptsetup -c.
size= <size>
Размер ключа шифрования. Смотрите cryptsetup -s.
hash= <hash>
Хэш-алгоритм. Смотрите cryptsetup -h.
verify
Проверка пароля. Смотрите cryptsetup -y.
readonly
Ограничить устройство только чтением.
luks
Использование устройства с расширением luks
swap
Запускаем mkswap для создания устройства.
tmp
Запускаем mkfs на созданном устройстве. Использутся файловая система определенная в /etc/fstab. Если /etc/fstab не содержит mapped устройств, ext2 используется для авварийного режима.
check[=<program>]
Проверяет содержимое отображаемого устройства соответствующей программой; если проверка неуспешна устройство удаляется. Указанная программа запускает данный расшифрованный том (/dev/mapper/NAME) как первый и значение из опции checkargs как второй аргумент. Зашифрованные диски находятся для данной программы в /lib/cryptsetup/checks/. Если программы не определены, используется vol_id.
checkargs=<argument>
Принимает <аргумент> как второй аргумент для скрипта проверки
precheck=<program>
Проверяют исходное устройство соответствующей программой; если проверка неуспешна устройство не создается; <precheck> - скрипт проверки исходного устройства Исходное устройство как аргумент для данного скрипта. Смотрите также опцию check.
tries=<num>
Запрос парольной фразы можно <число> раз если введенная парольная фраза была записана. По умолчанию - 3. Работает только для томов LUKS.
timeout=<sec>
Задержка перед вводом интерактивного пароля после <сек> секунд.
loop
Всегда подключать петлевое устройство перед отображением устройства. Нормально петлевое устройство автоматически только для файлов образов. Используется, если размер блока физического устройства не совпадает с размером блока содержащейся на нем файловой системой.
noauto
Заставляет boot.crypto пропускать эту запись в течении загрузки. Для активации этого тома позже используйте: /etc/init.d/boot.crypto start <name>
noearly
boot.crypto вызывается два раза. Первый раз как boot.crypto-early перед LVM и установкой MD и второй раз как boot.crypto после монтирования локальных файловых систем. Эта опция пропускает установку устройств во время первого запуска. Это может быть нужно для шифрованных файловых контейнеров созданных в локальной файловой другими, кроме root.
pseed=<string>
Устанавливает строку, которая добавляется к парольной фразе после хэширования. Используя другие места для томов с другими парольными фразой усложняют атаки по словарю. Используйте для совместимости с loop-AES.
itercountk=<num>
Шифрует хэшированный пароль <число> тысяч раз используя AES-256. Используйте для совместимости с loop-AES.
keyscript=<path>
Вызывает <path> и использует выведенную парольную фразу или ключ. Если <path> не абсолютный, предполагается /lib/cryptsetup/scripts. Аргумент переданный для указанной программы только значение ключа колонки. keyscript также работает в initrd? если указанная программа там также содержится. Для использования вывода как необработанного ключа hash=plain как cryptsetup не хэширует это при вводе. Примечательно то, что использование keyscript не поддерживается в YaST как обновления дистрибутива будут проблемными, когда используются защищенные разделы.
loud, ssl, gpg, keyscript
не поддерживаются. Перечислил их потому, как они поддерживаются Debian.
СКРИПТЫ ПРОВЕРКИ
check scripts are installed in /lib/cryptsetup/checks/ and are called either before (precheck option) or after (check option) the dm-crypt target is set up.
Скрипты проверки установлены в /lib/cryptsetup/checks/ и вызываваются также перед (опция precheck) или после (опция check) того как настроится dm-crypt.
vol_id
Проверки для всех известных файловых систем. Поддерживает как аргумент тип файловой системы через <checkargs>:
*
нет checkargs успешно, если на устройстве исправны другие файловые системы.
*
``none'' успешно, если не найдено на устройстве не найдено других файловых систем.
*
``ext3'', ``xfs'', ``swap'' и др. успешен, если на устройстве найдены указанные системы.
ПРИМЕРЫ
Зашифрованное устройство подкачки
cswap /dev/sda6 /dev/random swap
Зашифрованный luks том с возможностью ввода пароля
cdisk0 /dev/hda1 none luks
Зашифрованный luks том с возможностью ввода пароля, используя определяемые скрипты проверки, без попытки
Руководство конвертировано в asciidoc Michael Gebetsroither <michael.geb@gmx.at>. Изначально написано Bastian Kleineidam <calvin@debian.org> для дистрибутива Debian для cryptsetup. Улучшено Jonas Meurer <jonas@freesources.org>. Модифицировано для SUSE Linux Ludwig Nussel <ludwig.nussel@suse.de>.Части этого руководства были взяты и адаптированы из руководства fstab(5).