~siretart/cryptsetup/debian

« back to all changes in this revision

Viewing changes to debian/README.Debian

  • Committer: Reinhard Tartler
  • Date: 2008-08-06 13:15:36 UTC
  • Revision ID: siretart@tauware.de-20080806131536-52nd1v52wo7ft4zt
import cryptsetup_1.0.6-4.dsc

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
1
Cryptsetup for Debian
2
2
---------------------
3
3
 
 
4
   Table of Contents
 
5
 
 
6
   1. Introduction into Cryptsetup for Debian
 
7
 
 
8
   2. Encrypted swap partition(s)
 
9
 
 
10
   3. Insecure mode/owner for keys
 
11
 
 
12
   4. Cryptsetup and udev
 
13
 
 
14
   5. The 'check' option
 
15
 
 
16
   6. Cryptsetup and Splashy
 
17
 
 
18
   7. Credits
 
19
 
 
20
 
 
21
1. Introduction into Cryptsetup for Debian
 
22
------------------------------------------
 
23
 
4
24
 Cryptsetup is a command-line interface for configuring encrypted block
5
25
devices via dm-crypt, a kernel device-mapper target.
6
26
The Debian cryptsetup package provides the initscript /etc/init.d/cryptdisks
11
31
encrypted device that follows the LUKS standard and for putting a file system
12
32
onto the encrypted device. See man luksformat(8) for more information.
13
33
 
14
 
For instructions about how to encrypt your swap partition(s), see
15
 
        /usr/share/doc/cryptsetup/CryptoSwap.HowTo
16
 
 
17
 
For instructions about how to encrypt your root filesystem, see
18
 
        /usr/share/doc/cryptsetup/CryptoRoot.HowTo
19
 
 
20
 
 
21
 
Insecure mode/owner for keys
22
 
----------------------------
 
34
 If you wish to perform a Debian installation to an encrypted root, you might
 
35
be interested in using a version of Debian Installer with partman-crypto,
 
36
which will install the system and setup cryptsetup and initramfs-tools.
 
37
 
 
38
 For instructions about how to encrypt your root filesystem and integrate
 
39
cryptsetup into initramfs on a running system, see
 
40
        /usr/share/doc/cryptsetup/README.initramfs.gz.
 
41
 
 
42
For instructions about how to encrypt your swap partition(s), see below.
 
43
 
 
44
 
 
45
2. Encrypted swap partition(s)
 
46
------------------------------
 
47
 
 
48
 An encrypted swap partition prevents spying on plaintext secrets (passwords)
 
49
that may be written to disk when memory is swapped to disk.
 
50
 
 
51
 To encrypt your swap partitions, you'll first have to deactivate your swap:
 
52
 
 
53
swapoff -a
 
54
 
 
55
 You'll have to add an entry for every swap partition in /etc/crypttab. Be
 
56
sure toeplace the source device (here /dev/hda9) with your swap devices:
 
57
# <target name> <source device> <key file>      <options>
 
58
cswap1          /dev/hda9       /dev/random     swap,cipher=aes-cbc-essiv:sha256,size=256,hash=sha256
 
59
 
 
60
 Now you need to change the swap devices in /etc/fstab to the encrypted swap
 
61
device names (/dev/mapper/cswap1 in this example).
 
62
 
 
63
# <file system> <mount point>   <type>  <options>     <dump>  <pass>
 
64
/dev/hda9        none           swap    sw            0       0
 
65
 
 
66
becomes 
 
67
 
 
68
# <file system> <mount point>   <type>  <options>     <dump>  <pass>
 
69
/dev/mapper/cswap1  none        swap    sw            0       0
 
70
 
 
71
 
 
72
 Finally, you need to start the cryptsetup swap devices and reactivate swap:
 
73
 
 
74
/etc/init.d/cryptdisks start
 
75
swapon -a
 
76
 
 
77
 That's it! You have a crypted swap device. Note that /dev/random as source
 
78
for your keyfile in /etc/crypttab might not generate enough random bytes.
 
79
If you're in doubt, you can use the (less secure) device /dev/urandom instead.
 
80
 
 
81
 Read the crypttab(5) manpage for more information, for example options to use
 
82
a different encryption algorithm than the default.
 
83
 
 
84
 
 
85
3. Insecure mode/owner for keys
 
86
-------------------------------
23
87
 
24
88
 Any key that is stored somewhere to be used with cryptsetup should have the
25
89
mode 400 (-r--------) and owner/group root. This way only root has permissions
44
108
links instead of /dev/sdg2 as the link will work no matter in which order the
45
109
media is inserted and detected.
46
110
 
47
 
Cryptsetup and udev
48
 
-------------------
 
111
 
 
112
4. Cryptsetup and udev
 
113
----------------------
49
114
 
50
115
 As a workaround for some yet-to-be-fixed race condition in kernel,
51
116
device-mapper or udev, cryptsetup currently runs udevsettle.
58
123
 Therefore cryptsetup should be detached directly after invocation in this
59
124
case, so that it runs asynchronously.
60
125
 
61
 
The 'check' option
62
 
------------------
 
126
 
 
127
5. The 'check' option
 
128
---------------------
63
129
 
64
130
 The 'check' option in crypttab allows to configure checks to be run against
65
131
the target device after cryptsetup has been invoked.
85
151
 
86
152
 See man crypttab(5) for more information about the checksystem.
87
153
 
88
 
 -- Jonas Meurer <mejo@debian.org>, Sun, 30 Jul 2006 21:53:56 +0200
 
154
6. Cryptsetup and Splashy
 
155
-------------------------
 
156
 
 
157
 Splashy support in cryptsetup is currently somehow limited. Splashy is known
 
158
to freeze at the password dialog for encrypted non-root filesystems. Only the
 
159
password dialog for the encrypted root filesystem works.
 
160
 
 
161
 It seems like splashy freezes for any input dialog in initscripts while
 
162
input dialogs at initramfs stage seem to work. This leads to the assumption
 
163
that the bug is somewhere in splashy and neither in cryptsetups initscripts
 
164
nor in askpass, the keyscript that is responsible for cryptsetups passphrase
 
165
input dialogs.
 
166
 
 
167
7. Credits
 
168
----------
 
169
 
 
170
 People who contributed to documentation for the Debian cryptsetup package:
 
171
 
 
172
Jonas Meurer <jonas@freesources.org>
 
173
David Härdeman <david@hardeman.nu>
 
174
Bastian Kleineidam <calvin@debian.org>
 
175
Michael Gebetsroither <michael.geb@gmx.at>
 
176
 
 
177
 -- Jonas Meurer <mejo@debian.org>, Sun, 27 Jul 2008 17:02:56 +0200