Ceux qui recherchent un moyen simple et universel de crypter le dossier de départ sous Linux n’ont pas besoin de chercher plus loin qu’EcryptFS. Lorsqu’ils sont correctement configurés, les utilisateurs peuvent crypter et décrypter de manière transparente leur privé sans trop d’effort.
ALERTE SPOILER: faites défiler vers le bas et regardez le didacticiel vidéo à la fin de cet article.
Table des matières
Installez EcryptFS
Avant que tout cryptage puisse commencer, vous devez installer l’outil de cryptage. Il est très populaire, fonctionne sur presque toutes les distributions Linux et est facile à utiliser. Vous devez avoir besoin d’exécuter Ubuntu, Debian, Arch Linux, Fedora, OpenSUSE pour l’installer ou vous pouvez le construire à partir des sources si vous exécutez une autre distribution.
Ubuntu
sudo apt install ecryptfs-utils
Debian
sudo apt-get install ecryptfs-utils
Arch Linux
sudo pacman -S ecryptfs-utils
Feutre
sudo dnf install ecryptfs-utils
OpenSUSE
sudo zypper install ecryptfs-utils
Autres Linux
Vous ne trouvez pas de package installable d’EcryptFS sur votre système d’exploitation Linux? Si c’est le cas, vous devrez télécharger le code source et installez le logiciel manuellement. Si vous rencontrez des difficultés pour créer le logiciel, consultez le Page de documentation EcryptFS.
Crypter le dossier personnel
Au cours de ce processus de cryptage, nous créerons un utilisateur temporaire. Cet utilisateur ne sera pas permanent. À la fin de ce tutoriel, nous le supprimerons complètement. La création d’un compte de super-utilisateur temporaire est importante car il n’est pas possible de crypter un annuaire d’utilisateurs tout en étant connecté.
Créer un nouvel utilisateur
Pour créer un nouvel utilisateur, ouvrez un terminal, connectez-vous au compte root.
su
ou
sudo -s
Maintenant que le shell est root, utilisez useradd pour créer le compte temporaire. Assurez-vous d’ajouter -M pour vous assurer que le système ne crée pas de nouveau répertoire personnel.
useradd -M encrypt-admin
Useradd créera un nouvel utilisateur, mais il n’a pas de mot de passe. À l’aide de passwd, attribuez à encrypt-admin un nouveau mot de passe UNIX.
passwd encrypt-admin
Encrypt-admin est prêt à être utilisé, mais ne pourra pas accéder aux commandes root et les exécuter. Pour permettre à l’utilisateur d’exécuter des commandes root, nous devons l’ajouter au fichier sudoers. À l’aide de visudo, modifiez le fichier de configuration sudo.
EDITOR=nano visudo
Dans l’éditeur de texte Nano, faites défiler vers le bas et recherchez «# Spécification des privilèges utilisateur». En dessous, vous devriez voir «root ALL = (ALL: ALL) ALL». Appuyez sur Entrée sur le clavier sous cette ligne et écrivez ce qui suit dans Nano.
encrypt-admin ALL=(ALL:ALL) ALL
Enregistrez le fichier visudo en appuyant sur Ctrl + O, puis fermez avec Ctrl + X.
Démarrer le chiffrement
Pour démarrer le processus de cryptage, déconnectez-vous du nom d’utilisateur sur lequel vous prévoyez de démarrer le cryptage. Sur l’écran de connexion, appuyez sur Alt + Ctrl + F1. Si cette combinaison de boutons ne fonctionne pas, essayez F2 à F6.
À l’aide de l’invite TTY, écrivez encrypt-admin dans l’invite de connexion, suivi du mot de passe défini précédemment. Ensuite, utilisez EncryptFS pour démarrer le chiffrement.
Remarque: remplacez «votre nom d’utilisateur» par le nom du compte d’utilisateur dont vous venez de vous déconnecter. Pour crypter plusieurs comptes d’utilisateurs, exécutez cette commande plusieurs fois.
sudo ecryptfs-migrate-home –u yourusername
La commande ci-dessus fera migrer votre utilisateur vers un dossier de départ chiffré. À partir de là, vous pouvez vous déconnecter du compte administrateur temporaire en toute sécurité et revenir à l’utilisateur normal. Déconnectez-vous de la console TTY avec:
exit
L’écriture de la commande de sortie devrait instantanément revenir à l’écran de connexion d’avant. De là, appuyez sur Alt + F2 – F7 pour revenir en mode graphique.
Supprimer le compte utilisateur
EcryptFS est entièrement configuré sur Linux, il est donc temps de se débarrasser du compte encrypt-admin. Commencez par le supprimer du fichier sudoers. Ouvrez un terminal et modifiez visudo.
sudo -s EDITOR=nano visudo
Faites défiler le fichier sudoers et supprimez le code ajouté précédemment dans le guide.
encrypt-admin ALL=(ALL:ALL) ALL
Enregistrez la modification du fichier sudoer dans Nano en appuyant sur Ctrl + O sur le clavier. Quittez Nano et revenez au shell du terminal avec Ctrl + X.
Encrypt-admin n’a plus la possibilité d’obtenir un accès root ou de modifier le système de quelque manière que ce soit. À ce stade, il est inoffensif et il est possible de le laisser là. Néanmoins, si vous ne souhaitez pas avoir plusieurs utilisateurs sur votre PC Linux, il peut être judicieux de le supprimer complètement. Dans le terminal, utilisez la commande userdel pour vous en débarrasser.
sudo userdel encrypt-admin
Ajouter un mot de passe de cryptage
EcryptFS est presque prêt à fonctionner. Il ne reste plus qu’à configurer un nouveau mot de passe. Ouvrez un terminal (sans utiliser sudo ou root) et entrez ajouter une nouvelle phrase de passe. Veuillez garder à l’esprit que le cryptage est inutile sans un mot de passe sécurisé. Dirigez-vous vers strongpasswordgenerator.com et créez une phrase secrète de cryptage forte.
Remarque: vous ne souhaitez pas utiliser le générateur pour créer un nouveau mot de passe? Consultez cet article pour apprendre à créer votre propre mot de passe sécurisé à la place.
ecryptfs-add-passphrase
Lorsque «ecryptfs-add-passphrase» se termine, votre dossier personnel doit être entièrement chiffré. Pour commencer à l’utiliser, redémarrez votre PC Linux. Au redémarrage, EcryptFS exigera votre nouvelle phrase secrète pour vous connecter correctement.