L’opération consiste à chiffrer le répertoire personnel (home) d’un utilisateur.
En quoi consiste l’opération ?
Tout simplement à protéger les données des utilisateurs d’une machine. Contrairement à de simples droits posés sur des fichiers ou des répertoires, le chiffrement de ces mêmes fichiers est bien plus sûr pour en restreindre la lecture par des personnes tierces.
Pourquoi peut-on vouloir chiffrer ses données ?
Imaginons la perte ou le vol d’un ordinateur (portable ou non). Pour la personne qui récupère cet ordinateur, il est très facile de démonter le disque dur et de lire toutes les données dessus. Les éventuels droits posés sur les fichiers ne s’appliquent que pour le système qui les définit et dans une moindre mesure pour le même type de système d’exploitation. Des droits posés par un système Windows pourront être simplement réinitialisés (et donc contournés) sur un autre Windows, et ne sont tout simplement pas pris en compte par un UNIX (Linux, etc…), et vice-versa. Il en résulte que l’on peut tout récupérer dans votre répertoire personnel confidentiel privé etc… avec tout ce que l’on trouve en cartes bancaires, mots de passe divers vers vos messageries et sites préférés, adresses email de vos correspondants, etc…
Pour une société, cela peut aussi vouloir dire les mots de passe d’accès aux serveurs, secrets de fabrications, base clients, comptabilité, etc…
Fait sous Ubuntu 10.04 LTS.
Dans un premier temps, il faut vérifier que ecryptfs-utils est installé (peut se faire via le gestionnaire de logiciels) :
aptitude install ecryptfs-utils
Ensuite, on crée un utilisateur en ligne de commande ou via le gestionnaire des utilisateurs.
Une première méthode permet de chiffrer le répertoire Private. On se connecte avec le nouvel utilisateur et on lance :
ecryptfs-setup-private
Après une déconnexion/reconnexion, on peut voir un répertoire Private dont le contenu est chiffré mais automatiquement accessible à la connexion.
La deuxième méthode permet de chiffrer l’intégralité du répertoire home de l’utilisateur. A préférer!
En cours …
Enfin une autre méthode consiste à créer une partition dédiée à /home et à la chiffrer intégralement lors de l’installation du système. Voir à chiffrer l’intégralité du disque (système comprit sauf le /boot) ;-)