- bookworm 4.18.1-1
- bookworm-backports 4.24.0-2~bpo12+1
- testing 4.24.0-2
- unstable 4.25.0-1
CRYPTTAB(5) | Cryptsetup-Handbuch | CRYPTTAB(5) |
BEZEICHNUNG¶
crypttab - statische Informationen über verschlüsselte Dateisysteme
BESCHREIBUNG¶
Die Datei /etc/crypttab enthält beschreibende Informationen über verschlüsselte Geräte. crypttab wird von Programmen nur gelesen (z.B. cryptdisks_start und cryptdisks_stop) und nicht geschrieben; es ist die Aufgabe des Systemadministrators, diese Datei korrekt zu erstellen und zu warten. crypttab-Einträge werden der Reihe nach behandelt, daher ist ihre Reihenfolge wichtig (Abhängigkeiten müssen zuerst aufgeführt werden).
Jedes verschlüsselte Gerät wird auf einer getrennten Zeile beschrieben. Felder auf jeder Zeile werden durch Tabulatoren oder Leerzeichen getrennt. Zeilen, die mit »#[u00AB] beginnen, sind Kommentare und leere Zeilen werden ignoriert. Oktale Sequenzen \0num innerhalb eines Feldes werden dekodiert, was für Werte verwandt werden kann, die Leerzeichen oder besondere Zeichen enthalten. Ein Rückwärtsschrägstrich, der keine oktale Abfolge einleitet, führt zu nicht definiertem Verhalten.
Das erste Feld, Ziel, beschreibt den gemappten Gerätenamen. Es muss ein einfacher Dateiname ohne Verzeichniskomponente sein. Ein gemapptes Gerät, das Daten aus dem oder in das Quellgerät ver- bzw. entschlüsselt, wird durch cryptsetup unter /dev/mapper/target erstellt.
Das zweite Feld, Quellgerät, beschreibt entweder eine blockorientierte Spezialdatei oder eine Datei, die die verschlüsselten Daten enthält. Anstatt das Quellgerät explizit anzugeben, wird auch die UUID (bzw. LABEL, PARTUUID und PARTLABEL) mittels »UUID=<uuid>« (bzw. »LABEL=<Bezeichnung>«, »PARTUUID=<partuuid>« und »PARTLABEL=<Teilbezeichnung>«) unterstützt.
Das dritte Feld, Schlüsseldatei, beschreibt die Datei, die als Schlüssel für die Entschlüsselung der Daten auf dem Quellgerät verwandt werden soll. Im Falle eines Schlüsselskripts wird der Wert dieses Feldes als Argument an das Schlüsselskript übergeben. Beachten Sie, dass die gesamte Schlüsseldatei als die Passphrase verwandt werden wird; der Passphrase darf kein Zeilenumbruch folgen.
Sie kann auch ein Gerätename sein (z.B. /dev/urandom). Beachten Sie allerdings, dass LUKS einen dauerhaften Schlüssel benötigt und daher Schlüssel aus zufälligen Daten nicht unterstützt.
Falls als Schlüsseldatei die Zeichenkette none übergeben wird, dann wird eine Passphrase interaktiv von der Konsole eingelesen. In diesem Fall könnten die Optionen check, checkargs und tries nützlich sein.
Das vierte Feld, Optionen, ist eine optionale, durch Kommata getrennte Liste von Optionen und/oder Schalter, die den Gerätetyp ((luks, tcrypt, bitlk, fvault2 oder die Vorgabe plain) beschreiben und die Cryptsetup-Optionen, die dem Verschlüsselungsprozess zugeordnet sind. Die unterstützten Optionen werden nachfolgend beschrieben. Für einfache dm-crypt-Geräte sind die Optionen cipher, hash und size notwendig. Einige Optionen können auf aktiven Mappings mittels cryptsetup refresh [<Optionen>] <Name> geändert werden. Desweiteren können einige Optionen mittels des Schalters --persistent von Cryptsetup dauerhaft in die Metadaten der LUKS2-Kopfzeilen geschrieben werden.
Beachten Sie, dass die ersten drei Felder verpflichtend sind und dass ein fehlendes Feld zu nicht definiertem Verhalten führt.
ÜBER VERSCHIEDENE CRYPTTAB-FORMATE¶
Bitte beachten Sie, dass es mehrere, voneinander unahbhängige Wrapper für Cryptsetup mit ihrem eigenen crypttab-Format gibt. Diese Handbuchseite deckt die Debian-Implementierung für initramfs- und SysVinit-Init-Skripte ab. systemd stellt seine eigene crypttab-Implementierung bereit. Wir versuchen, die Unterschiede zwischen der Implementierung von systemd und unserer in dieser Handbuchseite darzustellen, im Zweifelsfall prüfen Sie aber besser die Handbuchseite crypttab(5) von systemd, z.B. online unter https://www.freedesktop.org/software/systemd/man/crypttab.html.
OPTIONEN¶
cipher=<Chiffre>
size=<Größe>
sector-size=<Byte>
hash=<Hash>
offset=<Versatz>
skip=<Sprung>
keyfile-offset=<Schlüsseldatei-Versatz>
keyfile-size=<Schlüsseldateigröße>
keyslot=<Position>, key-slot=<Position>
header=<Pfad>
verify
readonly, read-only
tries=<num>
discard
Beginnend mit Debian 10 (Buster) wird diese Option standardmäßig zu neuen dm-crypt-Geräten durch den Debian-Installer hinzugefügt. Falls Sie keine Probleme mit der Preisgabe von Zugriffsmustern (Dateisystemtyp, benutzter Platz) haben sowie keine versteckten Truecrypt-Datenträger innerhalb dieses Datenträgers vorliegen, dann sollte es sicher sein, diese Option zu aktivieren. Lesen Sie die nachfolgende Warnung für weitere Informationen.
WARNUNG: Beurteilen Sie die speziellen Sicherheitsrisiken sorgfältig, bevor Sie diese Option aktivieren. Beispielsweise kann das Erlauben von »discards« bei verschlüsselten Geräten dazu führen, dass Informationen über das chiffrierte Gerät (wie Dateisystemtyp, verwandter Platz usw..) preisgegeben werden könnten, falls die ausrangierten Blöcke später leicht auf dem Gerät gefunden werden können.
luks
plain
bitlk
fvault2
tcrypt
veracrypt, tcrypt-veracrypt
tcrypthidden, tcrypt-hidden
same-cpu-crypt
submit-from-crypt-cpus
no-read-workqueue, no-write-workqueue
swap
Diese Option wird für initramfs-Geräte ignoriert.
tmp[=<Tmpfs>]
Diese Option wird für initramfs-Geräte ignoriert.
check[=<Prüfprogramm>]
Das Programm wird entweder durch einen vollständigen Pfad oder relativ zu /lib/cryptsetup/checks/ festgelegt. Falls nicht angegeben, dann wird der in /etc/default/cryptdisks gesetzte Wert für $CRYPTDISKS_CHECK verwandt (standardmäßig blkid).
Diese Option ist für das crypttab-Format von Debian spezifisch. Sie wird nicht von systemd unterstützt.
checkargs=<Argumente>
Diese Option ist für das crypttab-Format von Debian spezifisch. Sie wird nicht von systemd unterstützt.
initramfs
Diese Option ist für das crypttab-Format von Debian spezifisch. Sie wird nicht von systemd unterstützt.
noearly
Diese Option wird für initramfs-Geräte ignoriert und ist für das crypttab-Format von Debian spezifisch. Sie wird von systemd nicht unterstützt.
noauto
Diese Option wird für initramfs-Geräte ignoriert und ist für das crypttab-Format von Debian spezifisch. Sie wird von systemd nicht unterstützt.
loud
Diese Option wird für initramfs-Geräte ignoriert und ist für das crypttab-Format von Debian spezifisch. Sie wird von systemd nicht unterstützt.
quiet
Diese Option wird für initramfs-Geräte ignoriert und ist für das crypttab-Format von Debian spezifisch. Sie wird von systemd nicht unterstützt.
keyscript=<Pfad>
BESCHRÄNKUNGEN: Sämtliche Programme und Dateien, von denen das Schlüsselskript abhängt, müssen zum Ausführungszeitpunkt verfügbar sein. Für verschlüsselte Dateisysteme wie /usr oder /var muss besondere Vorsicht walten gelassen werden. Beispielsweise darf das Entsperren eines verschlüsselten /usr nicht von Programmen aus /usr/(s)bin abhängen.
Diese Option ist für das crypttab-Format von Debian spezifisch. Sie wird nicht von systemd unterstützt.
WARNUNG: Ist Systemd das Init-System, dann könnte diese Option ignoriert werden. Zum Zeitpunkt der Erstellung dieses Textes (Dezember 2016) unterstützt das Cryptsetup-Hilfsprogramm die Schlüsselskript-Option von /etc/crypttab nicht. Derzeit ist die einzige Möglichkeit, Schlüsselskripte zusammen mit Systemd zu verwenden, die Verarbeitung der entsprechenden Geräte in der Initramfs zu erzwingen. Siehe die Option »initramfs« für weitere Informationen.
Alle Felder der entsprechenden Crypttab-Einträge sind für das Schlüsselskript als exportierte Umgebungsvariablen verfügbar:
CRYPTTAB_NAME, _CRYPTTAB_NAME
CRYPTTAB_SOURCE, _CRYPTTAB_SOURCE
CRYPTTAB_KEY, _CRYPTTAB_KEY
CRYPTTAB_OPTIONS, _CRYPTTAB_OPTIONS
CRYPTTAB_OPTION_<Option>
CRYPTTAB_TRIED
CHECKSCRIPTS¶
blkid
un_blkid
BEISPIELE¶
# Verschlüsseltes Auslagerungsgerät cswap /dev/sda6 /dev/urandom plain,cipher=aes-xts-plain64,size=256,hash=sha1,swap # Verschlüsselte LUKS-Platte mit interaktivem Passwort, identifiziert durch seine UUID, discard aktiviert cdisk0 UUID=12345678-9abc-def012345-6789abcdef01 none luks,discard # Verschlüsselte TCRYPT-Platte mit interaktivem Passwort, discard aktiviert tdisk0 /dev/sr0 none tcrypt,discard # Verschlüsselte ext4-Platte mit interaktivem Passwort, discard aktiviert # - fünf Mal versuchen, falls die Überprüfung fehlschlägt cdisk1 /dev/sda2 none plain,cipher=aes-xts-plain64,size=256,hash=sha1,check,checkargs=ext4,tries=5,discard # Verschlüsselte Platte mit interaktivem Passwort, discard aktiviert # - verwendet ein Nicht-Standard-Überprüfungsskript # - keine Neuversuche cdisk2 /dev/sdc1 none plain,cipher=aes-xts-plain64,size=256,hash=sha1,check=customscript,tries=1,discard # Verschlüsselte Platte mit interaktivem Passwort, discard aktiviert # - Twofish als die Chiffre, RIPEMD-160 als den Hash cdisk3 /dev/sda3 none plain,cipher=twofish,size=256,hash=ripemd160,discard
UMGEBUNGSVARIABLEN¶
CRYPTDISKS_ENABLE
CRYPTDISKS_MOUNT
CRYPTDISKS_CHECK
BEKANNTE PROBLEME BEIM UPGRADE¶
Die Vorgaben der Originalautoren für die Chiffre, den Hash und die Schlüsselgröße wurden in der Vergangenheit mehrfach geändert und es wird erwartet, dass sie sich auch in der Zukunft ändern werden, beispielsweise wenn Sicherheitsprobleme auftauchen. Auf LUKS-Geräten werden die verwandten Einstellungen in den LUKS-Kopfzeilen gespeichert und müssen daher nicht in /etc/crypttab konfiguriert werden. Für einfache dm-crypt-Geräte sind überhaupt keine Informationen über die verwandte Chiffre, den Hash und die Schlüsselgröße verfügbar. Daher empfehlen wir nachdrücklich, für einfache dm-crypt-Geräte die Chiffre, den Hash und die Schlüsselgröße in /etc/crypttab zu konfigurieren, selbst wenn sie mit den aktuellen Vorgabewerten übereinstimmen.
SIEHE AUCH¶
cryptsetup(8), cryptdisks_start(8), cryptdisks_stop(8), /usr/share/doc/cryptsetup-initramfs/README.initramfs.gz
AUTOR¶
Diese Handbuchseite wurde ursprünglich von Bastian Kleineidam <calvin@debian.org> für das in der Debian-Distribution enthaltene Cryptsetup geschrieben. Sie wurde weiter von Michael Gebetsroither <michael.geb@gmx.at>, David Härdeman <david@hardeman.nu> und Jonas Meurer <jonas@freesources.org> verbessert.
ÜBERSETZUNG¶
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer.
18. Dezember 2023 | cryptsetup 2:2.6.1-4~deb1 |