2.4 Crypter un profil utilisateur

A partir de la version 13.6, Calculate Linux permet de crypter les profils utilisateur. Les données personnelles sont alors protégées par eCryptfs, un système de fichiers qui fournit une couche de chiffrement au-dessus de n'importe quel système de fichiers conventionnel. Le chiffrement / déchiffrement est transparent. Comme les métadonnées cryptographiques sont stockées dans les entêtes des fichiers chiffrés, on peut facilement transférer un fichier d'un système à l'autre. Tout ceci est réalisé au niveau du noyau Linux, avec des performances meilleures qu'en utilisant FUSE.

Comment ça fonctionne

Le répertoire personnel d'un utilisateur dont le compte est configuré pour utiliser le cryptage ne contient que des liens symboliques pointant vers les répertoires de données chiffrées. Ces données sont stockées dans /home/.ecryptfs et triées par utilisateur, le dossier privé .Private contenant les données elles-mêmes, alors que .ecryptfs est destiné à recevoir les informations concernant le chiffrement.

A l'entrée dans la session, /home/.ecryptfs/_nom_d'utilisateur_/.Private est monté dans le répertoire home. La clé chiffrée par la phrase de passe est utilisée pour faire cette manipulation : /home/.ecryptfs/_nom_d'utilisateur_/.ecryptfs/wrapped-passphrase. Le profil est ensuite synchronisé et configuré au besoin.

A la sortie, .Private est démonté de répertoire dédié.

Vous pouvez également opter pour le chiffrement de comptes de domaine. Sachez que les données chiffrées seront stockées sur la machine locale ; c'est la copie non chiffrée qu'on trouve sur le serveur, pour assurer la sécurité des données qui subsistent dans le profil utilisateur entre deux sessions.

Configurer la sécurité d'un profil utilisateur

Pour pouvoir utiliser cette fonctionnalité, veuillez installer Calculate Linux avec le paramètre « Crypter les profils utilisateur » ; sinon, s'il s'agit d'un système déjà opérationnel, activez la variable main.cl_home_crypt_set :

cl-core-variables --set main.cl_home_crypt_set=on

Seules les données des nouveaux utilisateurs (qui n'ont pas de répertoire personnel) seront cryptées. Pour activer le chiffrement d'un compte existant, utilisez la commande ecryptfs-migrate-home, comme suit :

ecryptfs-migrate-home -u <nom_d'utilisateur>
Le mot de passe utilisateur vous sera demandé.

Pour les utilisateurs de domaine, supprimer le profil local tant que l'utilisateur n'est pas en session puis rentrer suffit.

Il est à noter que la valeur de la variable cl_home_crypt_set n'affecte pas les comptes utilisateur configurés ; en d'autres termes, si par exemple le profil est censé utiliser le cryptage alors que le système installé ne le supporte pas, le profil restera chiffré toutefois.

Restaurer les données

Si /home ne contient plus que le répertoire .ecryptfs avec des profils chiffrés, il suffit de créer un même utilisateur ayant un même mot de passe pour récupérer le profil chiffré.

Thank you!