Le chiffrement du répertoire personnel sur une installation LVM chiffrée est-il excessif?

J'installe à partir du CD alternatif et j'utilise le disque dur crypté LVM.

Le programme d'installation me demande maintenant si je veux chiffrer mon répertoire personnel, est-ce exagéré?

C'est exagéré pour la plupart des systèmes. Par «LVM chiffré», vous voulez probablement dire «LUKS» ( Linux Unified Key Setup ).

Le chiffrement du répertoire personnel vous protège contre:

• d'autres utilisateurs du même système accédant à vos fichiers
• vol de données lorsque la machine est volée / perdue

Mais pas de:

• Modification des paramètres système ou des fichiers (y compris les fichiers binaires) en dehors du répertoire personnel des utilisateurs. De cette façon, l'administrateur (ou toute personne disposant d'un accès physique et d'un LiveCD) peut installer un programme qui copie / modifie les fichiers / paramètres dans votre répertoire personnel.

Chiffrement de votre système à l'aide de LUKS (chiffrement complet du disque dans le cas du programme d'installation alternatif):

• vol de données lorsque la machine est volée / perdue
• intégrité des données: toute personne qui ne connaît pas votre phrase secrète LUKS ne peut pas modifier vos paramètres système ou vos fichiers, bien que vous ne soyez toujours pas protégé contre une attaque maléfique .

Donc, si vous êtes le seul utilisateur du système, le chiffrement de votre répertoire personnel n'ajoute pas de protection significative et ne fera qu'aggraver les performances. Vous ne devriez pas non plus le faire si vous partagez votre machine avec des personnes de confiance et que votre ordinateur ne contient pas d'informations top secrètes. Un dernier cas: si vous partagez la machine et que plusieurs systèmes d'exploitation sont installés sur la machine et que vous êtes le seul à connaître la phrase secrète, il n'est toujours pas nécessaire de crypter votre répertoire personnel.

Que ce soit exagéré ou non dépend de votre situation. Un répertoire personnel chiffré protégera vos données personnelles des autres utilisateurs du système ainsi que des intrus extérieurs. De plus, chaque niveau de cryptage supplémentaire rend plus difficile l'attaque d'un attaquant. Sur mon lecteur de sauvegarde, qui contient des images de machines clientes, dont certaines contiennent des numéros de carte de crédit et de sécurité sociale, j'utilise un cryptage de disque complet, suivi d'un répertoire personnel chiffré avec un mot de passe différent et un [PPP]: https://www.grc.com/ppp.htmcode. Pour les choses avec les informations personnelles des gens, je vais également les coller dans un conteneur TrueCrypt avec cryptage en cascade. C'est probablement exagéré, mais il couvre toutes les bases. Quelqu'un qui vole mon disque est verrouillé hors de tout, quelqu'un qui pirate en quelque sorte le système en cours d'exécution est verrouillé hors de mes fichiers, et quelqu'un qui accède à la console pendant que je le sauvegarde ne reçoit que le jeu de sauvegarde actuellement décrypté (ce qui est très probablement leurs propres données.)

Décider du niveau dont vous avez besoin est en grande partie une question de découvrir quelles sont les attaques possibles que quelqu'un serait susceptible de faire contre votre système et de les verrouiller. Le chiffrement complet du disque est probablement plus que suffisant pour 99% des systèmes mono-utilisateur.