~siretart/cryptsetup/debian

« back to all changes in this revision

Viewing changes to debian/crypttab.5.txt

  • Committer: Reinhard Tartler
  • Date: 2008-06-13 19:35:34 UTC
  • Revision ID: siretart@tauware.de-20080613193534-oeqhbxi7r0q4lk51
import cryptsetup_1.0.6-2.dsc

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
CRYPTTAB(5)
2
 
===========
3
 
Michael Gebetsroither <michael.geb@gmx.at>
4
 
 
5
 
 
6
 
NAME
7
 
----
8
 
crypttab - static information about crypted filesystems
9
 
 
10
 
 
11
 
SYNOPSIS
12
 
--------
13
 
*crypttab*::
14
 
'<target device>' '<source device>' '<key file>' '<options>'
15
 
 
16
 
    
17
 
DESCRIPTION
18
 
-----------
19
 
The file *crypttab* (usually located at */etc/crypttab*) contains descriptive information about encrypted filesystems.
20
 
*crypttab* is only read by programs, and not written; it is the duty of the system administrator to properly create and maintain this file.
21
 
Each filesystem is described on a separate line; fields on each line are separated by tabs or spaces. Lines starting with "'#'" are comments, empty lines are ignored.
22
 
The order of records in *crypttab* is important because the */etc/init.d/cryptdisks* script sequentially iterates through *crypttab* doing its thing.
23
 
Note that all four fields are mandatory and that a missing field will lead to unspecified behaviour.
24
 
 
25
 
The first field 'target device' describes the mapped 'device name'.
26
 
It must be a plain filename without any directories.
27
 
A mapped device */dev/mapper/*'device name' will be created by *cryptsetup(8)* crypting data from and onto the 'source device'.
28
 
 
29
 
The second field 'source device' describes either the block special device or file (which will be automatically mounted as a loop device) that should hold the encrypted data.
30
 
 
31
 
The third field 'key file' describes the file to use for decrypting the encrypted data of the 'source device'.
32
 
 
33
 
It can also be a device name (eg. */dev/random*, which is useful for encrypted swap devices).
34
 
Warning: luks does not support random data keys (like */dev/random*), it requires a persistent key.
35
 
 
36
 
If the 'key file' is the string *none*, the key data (ie. a password) will be read interactively from the console.
37
 
In this case, the options precheck, check, checkargs and tries may be useful.
38
 
 
39
 
The fourth field 'options' describes the cryptsetup options associated with the encryption process. At minimum, the field should contain the string *luks* or the 'cipher', 'hash' and 'size' options.
40
 
 
41
 
Options are in the format: 'key'='value'[,'key'='value' ...] The following options are supported:
42
 
 
43
 
 
44
 
OPTIONS
45
 
-------
46
 
*cipher*=<cipher>::
47
 
Encryption algorithm. See *cryptsetup -c*.
48
 
 
49
 
*size*=<size>::
50
 
Encryption key size. See *cryptsetup -s*.
51
 
 
52
 
*hash*=<hash>::
53
 
Hash algorithm. See *cryptsetup -h*.
54
 
 
55
 
*offset*=<offset>::
56
 
Start offset. Uses *cryptsetup -o*.
57
 
 
58
 
*skip*=<skip>::
59
 
Skip sectors at the beginning. Uses *cryptsetup -p*.
60
 
 
61
 
*verify*::
62
 
Verify password. Uses *cryptsetup -y*.
63
 
 
64
 
*readonly*::
65
 
The backing device is read-only (eg: a dvd).
66
 
 
67
 
*luks*::
68
 
Use device with luks extensions.
69
 
 
70
 
*swap*::
71
 
Run *mkswap* on the created device.
72
 
 
73
 
*tmp*=<tmpfs>::
74
 
Run *mkfs* with filesystem type <tmpfs> on the created device. Default is ext2.
75
 
 
76
 
*precheck*=<precheck>::
77
 
Check the source device by suitable program; if the check fails, the device is
78
 
not created; <precheck> is a script to check the source device. The source
79
 
device is given as an argument to the script.
80
 
 
81
 
*check*=<check>::
82
 
Check the content of the device by a suitable program; if the check fails, the
83
 
device is removed. If a program is provided as an argument, it is run, giving
84
 
the decrypted volume (target device) as the first argument, and the value of the
85
 
checkargs option as the second argument. Cryptdisks searches for the given program
86
 
in /lib/cryptsetup/checks/. Default is vol_id.
87
 
 
88
 
*checkargs*=<arguments>::
89
 
Give <arguments> as the second argument to the check script. See description for
90
 
CHECKSCRIPTS for more information.
91
 
 
92
 
*tries*=<num>::
93
 
The input of the passphrase is tried <num> times in case that it fails. If you
94
 
want to disable retries, pass tries=1. Default is 3.
95
 
For the root device, tries=0 enables infinitive retries. This is due to a
96
 
special implementation in initramfs scripts.
97
 
 
98
 
*timeout*=<sec>::
99
 
If key is "'none'", the cryptdisks script interactively prompts for a
100
 
password. The timeout option specifies the time in seconds to wait for
101
 
the password before timing out.
102
 
 
103
 
*noearly*::
104
 
Cryptdisks is invoked two times at the boot process. Once before lvm, evms,
105
 
raid, etc. are started, and once after that. Sometimes you need to start your
106
 
encrypted disks in a special order. With this option the first invokation of
107
 
cryptdisks ignores the device.
108
 
 
109
 
*noauto*::
110
 
Entirely ignore the device at the boot process. It's still possible to map the device
111
 
manually using cryptdisks_start.
112
 
 
113
 
*loud*::
114
 
Be loud. Print warnings if a device does not exist.
115
 
 
116
 
*keyscript*=<path>::
117
 
The executable at the indicated path is executed with the 'key file' from the third 
118
 
field of the crypttab as its only argument and the output is used as the key. This
119
 
also works with encrypted root filesystems via initramfs if the executable is 
120
 
self-contained (i.e. not a shell script which relies on external programs).
121
 
 
122
 
CHECKSCRIPTS
123
 
------------
124
 
*vol_id*::
125
 
Checks for any known filesystem. Supports a filesystem type as argument via
126
 
<checkargs>:
127
 
no checkargs - succeeds if any valid filesystem is found on the device.
128
 
"none" - succeeds if no valid filesystem is found on the device.
129
 
"ext3" [or any other filesystem type like xfs, swap, crypto_LUKS, whatever] - succeeds
130
 
if an ext3 [or another given] filesystem type is found on the device.
131
 
 
132
 
*un_vol_id*::
133
 
Checks for no known filesystem. Supports a filesystem type as argument via
134
 
<checkargs>:
135
 
no checkargs - succeeds if no valid filesystem is found on the device.
136
 
"ext3" [or any other filesystem type like xfs, swap, crypto_LUKS, whatever] - succeeds
137
 
if no ext3 [or another given] filesystem type is found on the device.
138
 
 
139
 
*ext2*::
140
 
Checks for a valid ext2/ext3 filesystem.
141
 
 
142
 
*xfs*::
143
 
Checks for a valid xfs filesystem.
144
 
 
145
 
EXAMPLES
146
 
--------
147
 
*Encrypted swap device*::
148
 
cswap /dev/sda6 /dev/random swap
149
 
 
150
 
*Encrypted luks disk with interactive password*::
151
 
cdisk0 /dev/hda1 none luks
152
 
 
153
 
*Encrypted ext2 disk with interactive password, retry 5 times if the check fails*::
154
 
cdisk1 /dev/sda2 none checkargs=ext2,tries=5
155
 
 
156
 
*Encrypted disk with interactive password, use a nondefault check script, no retries*::
157
 
cdisk2 /dev/hdc1 none check=customscript,tries=1
158
 
 
159
 
*Encrypted disk with interactive password and twofish as the cipher*::
160
 
cdisk3 /dev/sda3 none cipher=twofish
161
 
 
162
 
ENVIRONMENT
163
 
-----------
164
 
*CRYPTDISKS_ENABLE*::
165
 
Set to 'yes' to run cryptdisks at startup. Set to 'no' to disable cryptdisks.
166
 
 
167
 
*CRYPTDISKS_MOUNT*::
168
 
Specifies the mountpoints that are mounted before cryptdisks is invoked. Useful
169
 
for keys on removable devices, such as cdrom, usbstick, flashcard, ...
170
 
 
171
 
*CRYPTDISKS_CHECK*::
172
 
Specifies the checkscript to be run against the target device, after cryptdisks
173
 
has been invoked. The target device is passed as the first and only argument to
174
 
the checkscript. Takes effect, if the 'check' option is given in crypttab with
175
 
no value.
176
 
 
177
 
*CRYPTDISKS_PRECHECK*::
178
 
Specifies the checkscript to be run against the source device, before
179
 
cryptdisks has been invoked. The source device is given as the first and only
180
 
argument to the checkscript. Takes effect, if the 'precheck' option is given in
181
 
crypttab with no value.
182
 
 
183
 
*CRYPTDISKS_TIMEOUT*::
184
 
Specifies the time in seconds to wait for the password before timing out. Takes
185
 
effect, if the 'timeout' option is given in crypttab with no value.
186
 
 
187
 
 
188
 
SEE ALSO
189
 
--------
190
 
*cryptsetup*(8), '/etc/crypttab'
191
 
 
192
 
 
193
 
AUTHOR
194
 
------
195
 
This manual page was converted to asciidoc from Michael Gebetsroither <michael.geb@gmx.at>.
196
 
This manual page was originally written by Bastian Kleineidam <calvin@debian.org> for the Debian distribution of cryptsetup (but can be used by others). It has been improved by Jonas Meurer <jonas@freesources.org>.
197
 
Parts of this manual are taken and adapted from the fstab(5) manual page.