[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: /etc/crypttab

Le mercredi 4 décembre 2024 à 19:31, didier gaumet <didier.gaumet@gmail.com> a écrit :

> Le 04/12/2024 à 17:43, benoit a écrit :
> 
> > Bonjour,
> 
> 
> Salut Benoit,
> 

Salut Didier,

> une piste ici:
> https://unix.stackexchange.com/questions/188553/mounting-luks-from-the-command-line
> 

En ligne de commande ça marche 

sudo cryptsetup luksOpen /dev/sdxx backup
Puis 
mount /mnt/backup
a condition d'avoir un ligne dans fstab
Mais j'aimerais que le navigateur de fichier puisse le monter automatiquement et me demande le mot de passe de déchiffrement 

> > Si dans /etc/crypttabj'ajoute la ligne :
> > backup UUID=db0684a7-8e3a-4612-81ba-3fd34122c21d none luks,discard
> > 
> > Mais que le disque n'est pas connecté à l'USB au démarrage que se passe-
> > t-il ?
> > 
> > Autre question, le man5 crypttab indique :
> > 
> > «discard
> > 
> > Allow discard requests to be passed through the encrypted
> > block device. This improves performance on SSD storage but
> > has security implications.»
> > 
> > Quelles sont les implications de sécurité ?
> 
> [...]
> 
> ça n'a pas l'air bien méchant et c'est configuré comme ça par défaut
> sous Debian.
> 
> Extrait de man -s5 crypttab:
> 
> "[...]
> discard
> Allow using of discards (TRIM) requests for device.
> 
> Starting with Debian 10 (Buster), this option is added per default
> to new dm-crypt devices by the Debian Installer. If you don't care
> about leaking access patterns (filesystem type, used space) and
> don't have hidden truecrypt volumes inside this volume, then it
> should be safe to enable this option. See the following warning for
> further information.
> 
> WARNING: Assess the specific security risks carefully before
> enabling this option. For example, allowing discards on encrypted
> devices may lead to the leak of information about the ciphertext
> device (filesystem type, used space etc.) if the discarded blocks
> can be located easily on the device later.

Je n'ai pas bien compris ce qu'est un bloc «rejeté», mais si c'est l'option par défaut dans debian, je fais confiance. ;-)



> [...]"
Reply to: