Chiffrer le home de son Linux

sudo apt install ecryptfs-utils cryptsetup

se déloguer du compte et se loguer en root

# ecryptfs-migrate-home -u nomuser

Entrer son mot de passe de compte

se logguer avec le compte avant le reboot pour finaliser le chiffrement

Une fois loggué, noter en dehors du PC la clé de 128 bits de votre couple identifiant / mot de passe (en cas de perte de mot de passe) :

ecryptfs-unwrap-passphrase

Puis reboot

Pour créer un nouvel utilisateur avec un home chiffré :

# adduser --encrypt-home nouvelutilisateur

Créer un volume LVM sur une partition.

https://doc.fedora-fr.org/wiki/Chiffrer_son_syst%C3%A8me_avec_Luks

Procédure à affiner

Une fois le /home chiffré avec Luks et son mot de passe :

- se connecter en root (mode recovery)

df -h # Voir les partitionnements et surtout celle du /home
fuser -mvk /home # kill tous les process utilisant home
umount /home
cryptsetup close /dev/mapper/sda2_crypt # ou autre à adapter

Reste à ajouter une nouvelle clef de déchiffrement

cryptsetup luksAddkey /dev/sda2 # saisir l'ancien mot de passe

Entrer le mot de passe de déchiffrement

Entrer une nouvelle clef de déchiffrement pour administration.

On peut ensuite remonter la partition chiffrée :

cryptsetup luksOpen /dev/sda2 sda2_crypt # sera remontée automatiquement par /etc/fstab

On saisit un des mots de passe.

Et on peut se logguer !