Le 04/12/2024 à 17:43, benoit a écrit :
Bonjour,
Salut Benoit,
Peut-on ajouter un disque amovible (USB) chiffré avec luksdans /etc/
crypttabpour ne pas devoir taper : «cryptsetup luksOpen /dev/sda1
backup»avant chaque montage ?
une piste ici:
https://unix.stackexchange.com/questions/188553/mounting-luks-from-the-command-line
Si dans /etc/crypttabj'ajoute la ligne :
backup UUID=db0684a7-8e3a-4612-81ba-3fd34122c21d none luks,discard
Mais que le disque n'est pas connecté à l'USB au démarrage que se passe-
t-il ?
Autre question, le man5 crypttabindique :
«discard
Allow discard requests to be passed through the encrypted
block device. This improves performance on SSD storage but
has security implications.»
Quelles sont les implications de sécurité ?
[...]
ça n'a pas l'air bien méchant et c'est configuré comme ça par défaut
sous Debian.
Extrait de man -s5 crypttab:
"[...]
discard
Allow using of discards (TRIM) requests for device.
Starting with Debian 10 (Buster), this option is added per default
to new dm-crypt devices by the Debian Installer. If you don't care
about leaking access patterns (filesystem type, used space) and
don't have hidden truecrypt volumes inside this volume, then it
should be safe to enable this option. See the following warning for
further information.
WARNING: Assess the specific security risks carefully before
enabling this option. For example, allowing discards on encrypted
devices may lead to the leak of information about the ciphertext
device (filesystem type, used space etc.) if the discarded blocks
can be located easily on the device later.
[...]"
