Chiffrer le home de son Linux

sudo apt install ecryptfs-utils cryptsetup

se déloguer du compte et se loguer en root

# ecryptfs-migrate-home -u nomuser

Entrer son mot de passe de compte

se logguer avec le compte avant le reboot pour finaliser le chiffrement

Une fois loggué, noter en dehors du PC la clé de 128 bits de votre couple identifiant / mot de passe (en cas de perte de mot de passe) :

ecryptfs-unwrap-passphrase

Puis reboot

Pour créer un nouvel utilisateur avec un home chiffré :

# adduser --encrypt-home nouvelutilisateur

Créer un volume LVM sur une partition.

https://doc.fedora-fr.org/wiki/Chiffrer_son_syst%C3%A8me_avec_Luks

Procédure à affiner

Cas où la partition /home est déjà chiffrée avec luks et son mot de passe.

0) démarrer l'ordi

1) avec le menu grub, se connecter en mode recovery ou démarrer normalement mais ne pas saisir le mot de passe de déchiffrement. Se tromper volontairement 3 fois pour arriver sur la console.

2) Entrer le mot de passe root

df -h # Voir les partitionnements et verifier que /home est absent.
umount /home # pour être sûr qu'il ne soit pas utilisé

Il faut ensuite ajouter une nouvelle clef de déchiffrement à la partition chiffrée

cryptsetup luksAddKey /dev/sda3 # saisir l'ancien mot de passe
# Puis saisir 2 fois un nouveau mot de passe (pour administration)

Puis exit pour revenir à l'écran de déchiffrement et tester le nouveau mot de passe.

Mais pour info, on peut aussi remonter la partition chiffrée à la main:

cryptsetup luksOpen /dev/sda3 sda3_crypt # sera remontée automatiquement par /etc/fstab

Et on peut se logguer !