.\" -*- coding: UTF-8 -*-
'\" t
.\" Title: crypttab
.\" Author: [see the "AUTHOR" section]
.\" Generator: DocBook XSL Stylesheets vsnapshot
.\" Date: 2024-02-26
.\" Manual: cryptsetup manual
.\" Source: cryptsetup 2:2.7.0-1
.\" Language: English
.\"
.\"*******************************************************************
.\"
.\" This file was generated with po4a. Translate the source file.
.\"
.\"*******************************************************************
.TH CRYPTTAB 5 "26. Februar 2024" "cryptsetup 2:2\&.7\&.0\-1" Cryptsetup\-Handbuch
.ie \n(.g .ds Aq \(aq
.el .ds Aq '
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH BEZEICHNUNG
crypttab \- statische Informationen über verschlüsselte Dateisysteme
.SH BESCHREIBUNG
.sp
Die Datei /etc/crypttab enthält beschreibende Informationen über
verschlüsselte Geräte\&. crypttab wird von Programmen nur gelesen
(z\&.B\&. \fBcryptdisks_start\fP und \fBcryptdisks_stop\fP) und nicht geschrieben;
es ist die Aufgabe des Systemadministrators, diese Datei korrekt zu
erstellen und zu warten\&. crypttab\-Einträge werden der Reihe nach
behandelt, daher ist ihre Reihenfolge wichtig (Abhängigkeiten müssen zuerst
aufgeführt werden).
.sp
Jedes verschlüsselte Gerät wird auf einer getrennten Zeile
beschrieben\&. Felder auf jeder Zeile werden durch Tabulatoren oder
Leerzeichen getrennt\&. Zeilen, die mit »#\*« beginnen, sind Kommentare und
leere Zeilen werden ignoriert\&. Oktale Sequenzen \e0\fInum\fP innerhalb eines
Feldes werden dekodiert, was für Werte verwandt werden kann, die Leerzeichen
oder besondere Zeichen enthalten\&. Ein Rückwärtsschrägstrich, der keine
oktale Abfolge einleitet, führt zu nicht definiertem Verhalten.
.sp
Das erste Feld, \fIZiel\fP, beschreibt den gemappten Gerätenamen\&. Es muss ein
einfacher Dateiname ohne Verzeichniskomponente sein\&. Ein gemapptes Gerät,
das Daten aus dem oder in das \fIQuellgerät\fP ver\- bzw. entschlüsselt, wird
durch \fBcryptsetup\fP unter /dev/mapper/target erstellt\&.
.sp
Das zweite Feld, \fIQuellgerät\fP, beschreibt entweder eine blockorientierte
Spezialdatei oder eine Datei, die die verschlüsselten Daten
enthält\&. Anstatt das \fIQuellgerät\fP explizit anzugeben, wird auch die UUID
(bzw\&. LABEL, PARTUUID und PARTLABEL) mittels »UUID=«
(bzw\&. »LABEL=«, »PARTUUID=« und
»PARTLABEL=«) unterstützt\&.
.sp
Das dritte Feld, \fISchlüsseldatei\fP, beschreibt die Datei, die als Schlüssel
für die Entschlüsselung der Daten auf dem \fIQuellgerät\fP verwandt werden
soll\&. Im Falle eines \fISchlüsselskripts\fP wird der Wert dieses Feldes als
Argument an das Schlüsselskript übergeben\&. Beachten Sie, dass die
\fIgesamte\fP Schlüsseldatei als die Passphrase verwandt werden wird; der
Passphrase darf \fIkein\fP Zeilenumbruch folgen\&.
.sp
Sie kann auch ein Gerätename sein (z\&.B\&. /dev/urandom)\&. Beachten Sie
allerdings, dass LUKS einen dauerhaften Schlüssel benötigt und daher
Schlüssel aus zufälligen Daten \fInicht\fP unterstützt\&.
.sp
Falls als \fISchlüsseldatei\fP die Zeichenkette \fInone\fP übergeben wird, dann
wird eine Passphrase interaktiv von der Konsole eingelesen\&. In diesem Fall
könnten die Optionen \fBcheck\fP, \fBcheckargs\fP und \fBtries\fP nützlich sein\&.
.sp
Das vierte Feld, \fIOptionen\fP, ist eine optionale, durch Kommata getrennte
Liste von Optionen und/oder Schalter, die den Gerätetyp ((\fIluks\fP,
\fItcrypt\fP, \fIbitlk\fP, \fIfvault2\fP oder die Vorgabe \fIplain\fP) beschreiben und
die Cryptsetup\-Optionen, die dem Verschlüsselungsprozess zugeordnet
sind\&. Die unterstützten Optionen werden nachfolgend beschrieben\&. Für
einfache dm\-crypt\-Geräte sind die Optionen \fIcipher\fP, \fIhash\fP und \fIsize\fP
notwendig\&. Einige Optionen können auf aktiven Mappings mittels
\fBcryptsetup refresh [] \fP geändert
werden\&. Desweiteren können einige Optionen mittels des Schalters
\fI\-\-persistent\fP von Cryptsetup dauerhaft in die Metadaten der
LUKS2\-Kopfzeilen geschrieben werden\&.
.sp
Beachten Sie, dass die ersten drei Felder verpflichtend sind und dass ein
fehlendes Feld zu nicht definiertem Verhalten führt\&.
.SH "ÜBER VERSCHIEDENE CRYPTTAB\-FORMATE"
.sp
Bitte beachten Sie, dass es mehrere, voneinander unahbhängige Wrapper für
Cryptsetup mit ihrem eigenen \fIcrypttab\fP\-Format gibt\&. Diese Handbuchseite
deckt die Debian\-Implementierung für \fIinitramfs\fP\- und
\fISysVinit\fP\-Init\-Skripte ab\&. \fIsystemd\fP stellt seine eigene
\fIcrypttab\fP\-Implementierung bereit\&. Wir versuchen, die Unterschiede
zwischen der Implementierung von \fIsystemd\fP und unserer in dieser
Handbuchseite darzustellen, im Zweifelsfall prüfen Sie aber besser die
Handbuchseite \fBcrypttab\fP(5) von \fIsystemd\fP, z\&.B\&. online unter
\m[blue]\fB\%https://www.freedesktop.org/software/systemd/man/crypttab.html\fP\m[]\&.
.SH OPTIONEN
.PP
\fIcipher\fP=
.RS 4
Verschlüsselungsalgorithmus (für LUKS\- und TCRYPT\-Geräte ignoriert)\&. Siehe
\fBcryptsetup \-c\fP\&.
.RE
.PP
\fIsize\fP=
.RS 4
Größe des Verschlüsselungsschlüssels (für LUKS\- und TCRYPT\-Geräte
ignoriert)\&. Siehe \fBcryptsetup \-s\fP\&.
.RE
.PP
\fIsector\-size\fP=
.RS 4
Sektorgröße\&. Siehe \fBcryptsetup\fP(8) für mögliche Werte und den Vorgabewert
dieser Option\&.
.RE
.PP
\fIhash\fP=
.RS 4
Hash\-Algorithmus (für LUKS\- und TCRYPT\-Geräte ignoriert)\&. Siehe
\fBcryptsetup \-h\fP\&.
.RE
.PP
\fIoffset\fP=
.RS 4
Startversatz (für LUKS\- und TCRYPT\-Geräte ignoriert)\&. Siehe \fBcryptsetup \-o\fP\&.
.RE
.PP
\fIskip\fP=
.RS 4
Am Anfang übersprungene Sektoren (für LUKS\- und TCRYPT\-Geräte
ignoriert)\&. Siehe \fBcryptsetup \-p\fP\&.
.RE
.PP
\fIkeyfile\-offset\fP=
.RS 4
Legt die Anzahl der am Anfang der Schlüsseldatei zu überspringenden Byte
fest\&.
.RE
.PP
\fIkeyfile\-size\fP=
.RS 4
Legt die maximale Anzahl der aus der Schlüsseldatei zu lesenden Byte
fest\&. Standardmäßig wird die gesamte Datei bis zum einkompilierten Maximum
eingelesen, was mit \fBcryptsetup \-\-help\fP abgefragt werden kann\&. Diese
Option wird für einfache dm\-crypt\-Geräte ignoriert, da dann die
Schlüsseldateigröße durch die Schlüsselgröße gegeben ist (Option \fIsize\fP)\&.
.RE
.PP
\fIkeyslot\fP=, \fIkey\-slot\fP=
.RS 4
Schlüsselposition (für nicht\-LUKS\-Geräte ignoriert)\&. Siehe \fBcryptsetup \-S\fP\&.
.RE
.PP
\fIheader\fP=
.RS 4
Abgetrennte Kopfzeilen\-Datei (für einfache dm\-crypt\-Geräte
ignoriert)\&. Siehe \fBcryptsetup \-\-header\fP\&.
.RE
.PP
\fIverify\fP
.RS 4
Passwort überprüfen\&. Verwendet \fBcryptsetup \-y\fP\&.
.RE
.PP
\fIreadonly\fP, \fIread\-only\fP
.RS 4
Richtet ein schreibgeschütztes Mapping ein\&.
.RE
.PP
\fItries\fP=
.RS 4
Versucht das Gerät zu entsperren, bevor das Programm
fehlschlägt\&. Dies ist insbesondere nützlich, wenn eine Passphrase verwandt
wird oder ein \fISchlüsselskript\fP, das um interaktive Eingabe bittet\&. Falls
Sie Mehrfachversuche verbieten wollen, übergeben Sie »tries=1«\&. Die
Vorgabe ist »3«\&. Die Angabe von »tries=0« bedeutet, dass beliebig viele
Versuche möglich sind\&.
.RE
.PP
\fIdiscard\fP
.RS 4
Erlaubt die Verwendung von »discard«\- (TRIM\-)Anfragen für das Gerät\&.
.sp
Beginnend mit Debian 10 (Buster) wird diese Option standardmäßig zu neuen
dm\-crypt\-Geräten durch den Debian\-Installer hinzugefügt\&. Falls Sie keine
Probleme mit der Preisgabe von Zugriffsmustern (Dateisystemtyp, benutzter
Platz) haben sowie keine versteckten Truecrypt\-Datenträger innerhalb dieses
Datenträgers vorliegen, dann sollte es sicher sein, diese Option zu
aktivieren\&. Lesen Sie die nachfolgende Warnung für weitere
Informationen\&.
.sp
\fBWARNUNG\fP: Beurteilen Sie die speziellen Sicherheitsrisiken sorgfältig,
bevor Sie diese Option aktivieren\&. Beispielsweise kann das Erlauben von
»discards« bei verschlüsselten Geräten dazu führen, dass Informationen über
das chiffrierte Gerät (wie Dateisystemtyp, verwandter Platz usw.\&.)
preisgegeben werden könnten, falls die ausrangierten Blöcke später leicht
auf dem Gerät gefunden werden können\&.
.RE
.PP
\fIluks\fP
.RS 4
Erzwingt den LUKS\-Modus\&. Wenn dieser Modus verwandt wird, werden die
folgenden Optionen ignoriert, da sie durch die LUKS\-Kopfzeilen auf dem Gerät
bereitgestellt werden: \fIcipher=\fP, \fIhash=\fP, \fIsize=\fP\&.
.RE
.PP
\fIplain\fP
.RS 4
Erzwingt den einfachen Verschlüsselungsmodus\&.
.RE
.PP
\fIbitlk\fP
.RS 4
Erzwingt BITLK\- (Windows BitLocker\-kompatiblen) Modus\&. WARNUNG: Die
Unterstützung in \fIcrypttab\fP ist derzeit experimentell\&.
.RE
.PP
\fIfvault2\fP
.RS 4
Erzwingt den FileVault2\-Modus von Apple\&. Derzeit wird nur das (veraltete)
FileVault2\-Format basierend auf Core Storage und dem HFS+\-Dateisystem
(eingeführt in MacOS X 10\&.7 Lion) unterstützt; die neue Version von
FileVault basierend auf dem APFS\-Dateisystem, wie sie in neueren Versionen
von macOS verwandt wird, wird nicht unterstützt\&.
.RE
.PP
\fItcrypt\fP
.RS 4
Verwendet den TrueCrypt\-Verschlüsselungsmodus\&. Beim Einsatz dieses Modus
werden die folgenden Optionen ignoriert, da sie durch die
TrueCrypt\-Kopfzeilen bereitgestellt werden oder nicht anwendbar sind:
\fBcipher=\fP, \fBhash=\fP, \fBkeyfile\-offset=\fP, \fBkeyfile\-size=\fP, \fBsize=\fP\&.
.RE
.PP
\fIveracrypt\fP, \fItcrypt\-veracrypt\fP
.RS 4
Verwendet VeraCrypt\-Erweiterungen für das TrueCrypt\-Gerät\&. Nur nützlich im
Zusammenspiel mit der Option \fItcrypt\fP (ignoriert für
nicht\-TrueCrypt\-Geräte)\&.
.RE
.PP
\fItcrypthidden\fP, \fItcrypt\-hidden\fP
.RS 4
Verwendet versteckte TCRYPT\-Kopfzeilen (ignoriert für
nicht\-TCRYPT\-Geräte)\&.
.RE
.PP
\fIsame\-cpu\-crypt\fP
.RS 4
Führt die Verschlüsselung auf der gleichen CPU durch, auf der auch die E/A
eingereicht wurde\&.
.RE
.PP
\fIsubmit\-from\-crypt\-cpus\fP
.RS 4
Deaktiviert das Abladen von Schreibaktionen auf einen separaten Thread nach
der Verschlüsselung\&.
.RE
.PP
\fIno\-read\-workqueue\fP, \fIno\-write\-workqueue\fP
.RS 4
Umgeht die interne Arbeitswarteschlange von dm\-crypt und verarbeitet Lese\-
oder Schreibanfragen synchron\&.
.RE
.PP
\fIswap\fP
.RS 4
Führt \fBmkswap\fP auf dem erstellten Gerät aus\&.
.sp
Diese Option wird für \fIinitramfs\fP\-Geräte ignoriert\&.
.RE
.PP
\fItmp\fP[=]
.RS 4
Führt \fBmkfs\fP mit dem Dateisystem (oder ext4, falls nicht
angegeben) auf dem erstellten Gerät aus\&.
.sp
Diese Option wird für \fIinitramfs\fP\-Geräte ignoriert\&.
.RE
.PP
\fIcheck\fP[=]
.RS 4
Überprüft den Inhalt des Zielgerätes mit einem geeigneten Programm; falls
die Überprüfung fehlschlägt, wird das Gerät sofort geschlossen\&. Das
Programm wird mit dem entschlüsselten Datenträger (Zielgerät) als erstes
Positionsargument und, falls die Option \fIcheckargs\fP verwandt wird, seinem
Wert als zweites Argument ausgeführt\&. Siehe den Abschnitt CHECKSCRIPTS für
weitere Informationen.
.sp
Das Programm wird entweder durch einen vollständigen Pfad oder relativ zu
/lib/cryptsetup/checks/ festgelegt\&. Falls nicht angegeben, dann wird der
in /etc/default/cryptdisks gesetzte Wert für $CRYPTDISKS_CHECK verwandt
(standardmäßig blkid)\&.
.sp
Diese Option ist für das \fIcrypttab\fP\-Format von Debian spezifisch\&. Sie
wird nicht von \fIsystemd\fP unterstützt\&.
.RE
.PP
\fIcheckargs\fP=
.RS 4
Übergibt als das zweite Argument an das
Überprüfungsskript\&. Siehe den Abschnitt CHECKSCRIPTS für weitere
Informationen\&.
.sp
Diese Option ist für das \fIcrypttab\fP\-Format von Debian spezifisch\&. Sie
wird nicht von \fIsystemd\fP unterstützt\&.
.RE
.PP
\fIinitramfs\fP
.RS 4
Der Initramfs\-Hook verarbeitet das Wurzelgerät, sämtliche
Wiederaufnahmegeräte und alle Geräte, bei denen die Option \fIinitramfs\fP
gesetzt ist\&. Diese Geräte werden innerhalb der Initramfs\-Stufe beim
Systemstart verarbeitet\&. Dies erlaubt beispielsweise die Verwendung einer
Entsperrung aus der Ferne mit Dropbear\&.
.sp
Diese Option ist für das \fIcrypttab\fP\-Format von Debian spezifisch\&. Sie
wird nicht von \fIsystemd\fP unterstützt\&.
.RE
.PP
\fInoearly\fP
.RS 4
Die Cryptsetup\-Init\-Skripte werden während des Systemstarts zweimal
aufgerufen \- einmal bevor LVM, RAID usw\&. gestartet werden und dann erneut
danach\&. Manchmal müssen Sie Ihre verschlüsselten Platten in einer
bestimmten Reihenfolge entschlüsseln\&. Mit dieser Option wird das Gerät
während des ersten Aufrufs der Cryptsetup\-Init\-Skripte ignoriert\&.
.sp
Diese Option wird für \fIinitramfs\fP\-Geräte ignoriert und ist für das
\fIcrypttab\fP\-Format von Debian spezifisch\&. Sie wird von \fIsystemd\fP nicht
unterstützt\&.
.RE
.PP
\fInoauto\fP
.RS 4
Ignoriert das Gerät während des Systemstartes komplett\&. Es ist weiterhin
möglich, Geräte manuell mit cryptdisks_start zuzuordnen\&.
.sp
Diese Option wird für \fIinitramfs\fP\-Geräte ignoriert und ist für das
\fIcrypttab\fP\-Format von Debian spezifisch\&. Sie wird von \fIsystemd\fP nicht
unterstützt\&.
.RE
.PP
\fIloud\fP
.RS 4
Ausführliche Ausgabe\&. Warnungen werden ausgegeben, falls ein Gerät nicht
existiert\&. Diese Option setzt die Option \fIquite\fP außer Kraft\&.
.sp
Diese Option wird für \fIinitramfs\fP\-Geräte ignoriert und ist für das
\fIcrypttab\fP\-Format von Debian spezifisch\&. Sie wird von \fIsystemd\fP nicht
unterstützt\&.
.RE
.PP
\fIquiet\fP
.RS 4
Knappe Ausgabe\&. Warnungen werden nicht ausgegeben, falls ein Gerät nicht
existiert\&. Diese Option setzt die Option \fIloud\fP außer Kraft\&.
.sp
Diese Option wird für \fIinitramfs\fP\-Geräte ignoriert und ist für das
\fIcrypttab\fP\-Format von Debian spezifisch\&. Sie wird von \fIsystemd\fP nicht
unterstützt\&.
.RE
.PP
\fIkeyscript\fP=
.RS 4
Das unter dem angegebenen Pfad existierende Programm wird mit dem Wert des
\fIdritten Feldes\fP als einziges Argument ausgeführt\&. Die Standardausgabe
des Schlüsselskripts wird an Cryptsetup als Entschlüsselungsschlüssel
weitergegeben\&. Sein Exit\-Status wird derzeit ignoriert, allerdings sollte
diesbezüglich keine Annahme getroffen werden\&. Wird dies in der Initramfs
verwandt, muss das Programm entweder abgeschlossen sein (d\&.h\&. nicht von
irgendwelchen Programmen abhängen, die in einer Initramfs\-Umgebung nicht
vorhanden sind) oder die Abhängigkeiten müssen auf irgendwelche andere Weise
zu dem Initramfs\-Abbild hinzugefügt werden\&. Das Programm wird entweder
durch einen vollständigen Pfad oder relativ zu /lib/cryptsetup/scripts/
festgelegt\&.
.sp
BESCHRÄNKUNGEN: Sämtliche Programme und Dateien, von denen das
Schlüsselskript abhängt, müssen zum Ausführungszeitpunkt verfügbar
sein\&. Für verschlüsselte Dateisysteme wie /usr oder /var muss besondere
Vorsicht walten gelassen werden\&. Beispielsweise darf das Entsperren eines
verschlüsselten /usr nicht von Programmen aus /usr/(s)bin abhängen\&.
.sp
Diese Option ist für das \fIcrypttab\fP\-Format von Debian spezifisch\&. Sie
wird nicht von \fIsystemd\fP unterstützt\&.
.sp
WARNUNG: Ist Systemd das Init\-System, dann könnte diese Option ignoriert
werden\&. Zum Zeitpunkt der Erstellung dieses Textes (Dezember 2016)
unterstützt das Cryptsetup\-Hilfsprogramm die Schlüsselskript\-Option von
/etc/crypttab nicht\&. Derzeit ist die einzige Möglichkeit, Schlüsselskripte
zusammen mit Systemd zu verwenden, die Verarbeitung der entsprechenden
Geräte in der Initramfs zu erzwingen\&. Siehe die Option »initramfs« für
weitere Informationen\&.
.sp
Alle Felder der entsprechenden Crypttab\-Einträge sind für das
Schlüsselskript als exportierte Umgebungsvariablen verfügbar:
.PP
CRYPTTAB_NAME, _CRYPTTAB_NAME
.RS 4
Der Name des Ziels (nach bzw\&. vor der Dekodierung von Oktalabfolgen)\&.
.RE
.PP
CRYPTTAB_SOURCE, _CRYPTTAB_SOURCE
.RS 4
Das Quellgerät (nach bzw\&. vor der Dekodierung von Oktalabfolgen und
Geräteauflösung)\&.
.RE
.PP
CRYPTTAB_KEY, _CRYPTTAB_KEY
.RS 4
Der Wert des dritten Feldes (nach bzw\&. vor der Dekodierung von
Oktalabfolgen)\&.
.RE
.PP
CRYPTTAB_OPTIONS, _CRYPTTAB_OPTIONS
.RS 4
Eine Liste von exportierten Crypttab\-Optionen (nach bzw\&. vor der
Dekodierung von Oktalabfolgen)\&.
.RE
.PP
CRYPTTAB_OPTION_