Les données de n'importe quel programme en cours d'exécution peuvent se retrouver dans le swap, donc votre espace de swap doit également être chiffré. À moins que vous ne souhaitiez mettre votre système en veille prolongée, l'espace d'échange peut être chiffré avec une clé aléatoire générée à chaque démarrage. C'est le cas par défaut si vous sélectionnez le chiffrement intégral du disque lors de l'installation, mais pas si vous chiffrez simplement plus tard votre répertoire personnel. Si votre espace d'échange n'est pas déjà chiffré, configurez-le avec `ecryptfs-setup-swap. Si vous souhaitez disposer à la fois d'un espace d'échange et d'une mise en veille prolongée, consultez Activer la mise en veille prolongée avec échange chiffré dans la documentation de la communauté Ubuntu.
De nombreux programmes placent des fichiers temporaires dans /tmp . La meilleure façon de gérer cela est de mettre /tmp sur le système de fichiers sauvegardé en mémoire tmpfs au lieu de le laisser sur un système de fichiers sauvegardé sur disque. Il y a aussi un léger avantage en termes de performances. Voir cet article pour savoir comment procéder.
Au-delà de cela, les données privées peuvent se retrouver dans divers endroits qui ne sont pas votre zone de stockage privée. Vous devez décider en fonction de ce que vous considérez comme confidentiel s'il vaut la peine de chiffrer ces zones. Voici quelques endroits remarquables :
- Si vous recevez des e-mails localement (au lieu de les récupérer à partir d'un serveur POP ou IMAP), ils arrivent en
/var/mail. Si vous envoyez du courrier en utilisant la méthode unix traditionnelle (sendmail), il transite par/var/spool/postfix(ou quel que soit votre MTA). Si vous ne comprenez pas ce paragraphe, il ne s'applique pas à vous. - Si vous configurez des tâches récurrentes, elles sont stockées dans
/var/spool/cron. - Lorsque vous imprimez quelque chose, il transite en
/var/spool/cups. - Le système se connecte sous
/var/logpeut contenir des données que vous préférez garder privées, telles que des erreurs de réseau provenant de sites auxquels vous avez essayé de vous connecter ou à partir desquels. - Votre configuration système en
/etcpeut contenir quelques informations confidentielles telles que les mots de passe du FAI ou du Wi-Fi.
Si vous cryptez votre répertoire personnel avec ecryptfs, sachez qu'il ne sera pas monté si vous vous connectez à distance avec SSH alors que vous n'êtes pas connecté localement, donc si vous le faites, votre fichier de clé publique SSH (~/.ssh/authorized_keys ) doit être présent à la fois sous forme chiffrée et en texte clair.
Cela dépend de ce que vous comptez sécuriser. Si tout ce que vous voulez garder en sécurité réside dans /home/, alors vous êtes en or. Sinon, non.
Par exemple, /var/spool/mail/ contient l'e-mail système envoyé à votre utilisateur. /var/spool/cron/ contient vos crontabs. Et si vous craignez qu'un acteur malveillant avec un accès local (scénario "evil maid") ne perturbe votre sécurité, alors ce n'est certainement pas suffisant.
Le cryptage Homedir est pratique et simple, et il vous permet de protéger vos affaires personnelles de votre grande sœur. Mais ce n'est pas un chiffrement de disque entier, ce qui est probablement ce que vous voulez si vous posez cette question.
Les tentatives de connexion infructueuses sont limitées si cela est fait via PAM, mais les attaques par force brute contre votre cryptage seraient de toute façon hors ligne, donc votre système d'exploitation n'en tient pas compte.