web-dev-qa-db-fra.com

Comment chiffrer mon répertoire / tmp?

Après avoir lu cette question sur la fréquence à laquelle tmp est effacé , il serait préférable pour notre configuration que tmp soit crypté. Comment puis-je le chiffrer?

Mon fstab ressemble à ceci:

proc            /proc           proc    nodev,noexec,nosuid 0       0
/dev/mapper/vg_doulos-root /               ext4    errors=remount-ro 0       1
# /boot was on /dev/sda1 during installation
UUID=205a1a54-7dfa-45a6-a7e3-4a7234b3a473 /boot           ext4    defaults        0   2
/dev/mapper/vg_doulos-home /home           ext4    defaults        0       2
/dev/mapper/vg_doulos-tmp /tmp            ext4    defaults        0       2
# swap was on /dev/sda2 during installation
#UUID=705e9f69-bf95-4d44-9119-c40076d10333 none            swap    sw              0  0
/dev/mapper/cryptswap1 none swap sw 0 0

crypttab:

# <target name> <source device>         <key file>      <options>
cryptswap1 /dev/sda2 /dev/urandom swap,cipher=aes-cbc-essiv:sha256

Est-il suffisant de mettre quelque chose comme ça dans crypttab?

crypttmp /dev/mapper/vg_doulos-tmp /dev/urandom

et puis cela pour remplacer l'entrée de fichier tmp dans fstab?

/dev/mapper/crypttmp /tmp ext4 defaults 0 2

encryptiontmp
6
Avery Chan

La bonne incantation dans crypttab devrait ressembler à ceci:

crypttmp /dev/mapper/vg_doulos-tmp /dev/urandom precheck=/bin/true,tmp,size=256,hash=sha256,cipher=aes-cbc-essiv:sha256

La partie la plus importante était le precheck=/bin/true. La raison pour laquelle/tmp ne montait pas était que cryptsetup échouait à cause d'un contrôle préalable. Le vérificateur vérifie que la partition LVM a été formatée pour ext4 et refuse de continuer.

L'entrée fstab devrait ressembler à ceci:

/dev/mapper/crypttmp /tmp ext4 defaults 0 2

4
Avery Chan

En commençant par la réponse d'Avery, (sous Ubuntu 12.04), je devais spécifier le type de système de fichiers avec "tmp = ext4" pour que cela fonctionne:

/ etc/cryptsetup:

crypttmp /dev/sdb /dev/urandom precheck=/bin/true,tmp=ext4,size=256,hash=sha256,cipher=aes-cbc-essiv:sha256

/ etc/fstab:

/dev/mapper/crypttmp /tmp ext4 noatime 0 2
2
Stephen

Je pense que votre droit devrait suffire pour ajouter dans crypttab:

crypttmp  /dev/mapper/vg_doulos-tmp  /dev/urandom  tmp

et en fstab:

/dev/mapper/crypttmp  /tmp  ext4  defaults  0  0

Salue

1
Steve