Linux a une solide réputation en tant que système d'exploitation sécurisé, mais comme tout autre système d'exploitation, il peut être vulnérable aux vulnérabilités s'il n'est pas configuré correctement. Se fier uniquement aux paramètres par défaut ne suffit pas à protéger vos données ou votre serveur contre les attaques. Il existe un ensemble d’étapes rapides qui peuvent être facilement mises en œuvre pour améliorer la sécurité sans avoir besoin d’outils complexes ou d’une expertise avancée. Dans ce guide, nous décrivons les étapes de base recommandées par les experts en sécurité pour sécuriser votre distribution contre les menaces courantes.
Installez-vous de nombreuses applications différentes sur votre machine Linux ? Craignez-vous que l’une de ces applications contienne un virus ou un logiciel malveillant susceptible de voler vos données ? Eh bien, voici cinq pratiques de sécurité que je suis personnellement pour protéger ma machine Linux contre ces menaces.
Linux est un système d’exploitation relativement sécurisé, mais il n’est pas exempt de virus. C'est particulièrement vrai pour quelqu'un comme moi qui installe et évalue différentes applications et logiciels. Mes risques de sécurité sont plus élevés, car je pourrais accidentellement installer un programme avec des privilèges sudo, ce qui pourrait compromettre mon système. Heureusement, avec près d'une décennie d'expérience dans le test de nouveaux logiciels, j'ai développé un système pour garder ma machine Linux extrêmement sécurisée et sans virus.
5. Surveillez votre activité réseau
L’une de mes plus grandes préoccupations en matière de sécurité est que mes données soient volées sur mon système. En tant que rédacteur technique, j'installe constamment différentes applications et outils sur mon appareil, et je déteste quand l'un d'entre eux a des tendances malveillantes et décide de voler des données sensibles de mon système.
Pour me protéger de ces accidents, j'utilise : Capitaine de port من Sécurité. Il s'agit d'un moniteur d'activité réseau et d'un pare-feu d'application gratuit et open source. Je peux l'utiliser pour vérifier quelles applications sont actuellement connectées à Internet, à quels serveurs elles se connectent et quelle quantité de données elles téléchargent et téléchargent. Je peux également l'utiliser pour bloquer complètement l'accès à Internet de toute application.
ملاحظة
Sur Ubuntu et ses distributions, vous devrez télécharger Portmaster sous forme de fichier DEB, puis l'installer.
Prenons par exemple une application de calculatrice simple que vous avez peut-être téléchargée. Le capitaine du port peut me dire si c'est en ligne, ce qui est bizarre ! Mais en même temps, il peut également me dire s'il télécharge des données - ce qui est dérangeant - ou s'il télécharge des données - ce qui est compréhensible, en particulier pour les tâches de conversion de devises ! Ainsi, même si avoir une application de calculatrice connectée à Internet est une préoccupation, Portmaster m'aide à comprendre ce qu'elle fait et à prendre une décision éclairée au lieu de m'inquiéter.
Bien sûr, vous pouvez simplement utiliser le terminal pour contrôler vos applications au niveau du réseau, mais Portmaster facilite cela avec une interface graphique élégante et moderne.
En plus de Portmaster, j'utilise également les outils de la barre des tâches pour surveiller en permanence le trafic réseau. J'utilise personnellement l'environnement de bureau KDE Plasma et l'outil Network Monitor. Mais si vous utilisez GNOME, vous pouvez utiliser Extension Vitals GNOME Et obtenir le même travail.
L’idée ici est de jeter un coup d’œil rapide sur le trafic réseau actuel. J'ai généralement une idée de ce à quoi ressemble l'activité réseau normale : des pics de téléchargement pendant la navigation et des pics de téléchargement pendant le téléchargement de fichiers. Si je remarque une activité réseau importante pendant que je ne l'utilise pas ou pendant que je tape dans un éditeur de texte, je sais immédiatement que quelque chose ne va pas et qu'il est temps de rendre visite au Portmaster pour résoudre le problème.
4. Vérifiez les applications (ou outils) avant de les installer.
Bien qu'un outil de surveillance réseau puisse vous aider à vérifier si des applications volent des données de votre système, il ne vous protège pas en premier lieu contre l'installation d'applications malveillantes. Pour cette raison, je privilégie le téléchargement d'applications depuis le dépôt officiel de ma distribution. Ces packages sont vérifiés par les responsables de la distribution, puis mis à votre disposition. Donc, si vous faites confiance à votre distribution, vous n’avez pas à remettre en question les applications qu’elle distribue.
Cependant, toutes les applications ne sont pas toujours disponibles dans les référentiels officiels. C'est à ce moment-là que je me penche sur les options de conteneurs comme Flatpak. Ces applications fonctionnent dans un environnement de test, ce qui les rend généralement sûres à utiliser, mais ne leur faites pas aveuglément confiance. Certaines applications nécessitent un accès étendu au système, ce qui peut présenter des risques de sécurité. Par conséquent, vérifiez toujours les autorisations de l'application avant de l'installer, assurez-vous qu'elles sont nécessaires, puis appuyez sur le bouton d'installation. Pour les Flatpaks, vous pouvez généralement : Visitez Flathub électroniquement pour consulter sa cote de sécurité.
Parfois, j'ai également besoin de télécharger des éléments à partir de référentiels externes tels que les archives de packages personnels (PPA) et le référentiel d'utilisateurs Arch (AUR). Ici, je suis une règle simple : la célébrité signifie un examen minutieux. Si des milliers d'utilisateurs installent une application à partir d'un référentiel AUR, de nombreux regards seront tournés vers elle pour vérifier la présence de code potentiellement malveillant. Cependant, si vous ne savez pas à quel point une application est populaire, vous pouvez simplement la rechercher sur Reddit ou sur le forum officiel de votre distribution et voir ce que les autres en pensent.
La partie délicate est lorsque vous devez installer un script ou un outil aléatoire, comme des widgets de bureau ou des thèmes personnalisés à partir de GitHub. Ici, je vérifie combien de personnes regardent le projet et combien d'étoiles il a. En général, quelques-uns, voire des centaines, suffisent à me donner confiance, car la plupart de ces personnes sont des développeurs qui examinent le code et non des utilisateurs réguliers.
S'il s'agit d'un petit script avec quelques centaines de lignes de code, vous pouvez effectuer vous-même un audit de sécurité. Vous pouvez utiliser Gémeaux 2.5 Pro (connu pour ses prouesses en programmation) pour relire l'application pour vous. Ouvrez simplement la page de script sur GitHub et dans l'URL, remplacez github par uithub. Cela vous montrera la structure complète du référentiel et le contexte du code, et vous pouvez maintenant le copier et le coller dans Gemini 2.5 Pro et demander un audit. Par exemple, ce lien :
https://github.com/vinceliuice/Mojave-gtk-theme
devient :
https://uithub.com/vinceliuice/Mojave-gtk-theme
Avertissement
Les étudiants en IA et en LLM sont toujours sujets aux erreurs et aux hallucinations. Alors, ne faites pas aveuglément confiance à ce que l’IA vous dit sur le code. Si vous remarquez quelque chose, consultez un expert avant de prendre une décision.
3. Vérifiez régulièrement les applications installées.
J’ai commis une erreur par le passé : je pensais que les logiciels qui étaient autrefois sécurisés le restent pour toujours. J'étais un grand fan de Stacer pour la surveillance du système. Il est livré avec une interface utilisateur élégante et moderne et fournit des statistiques système complètes. Cependant, jusqu’à récemment, j’ignorais que la demande avait été officiellement abandonnée depuis deux ans.
Ceci est important car les programmes obsolètes ne reçoivent pas de correctifs de sécurité. Si quelqu’un découvre une vulnérabilité de sécurité demain, il n’y aura pas de développeur pour la corriger. J'ai supprimé à contrecœur Stacer de mon système même s'il fonctionnait parfaitement.
Maintenant, si vous ne voulez pas répéter la même erreur que moi, pensez à configurer des alertes Google pour chaque application que vous utilisez. De cette façon, vous serez immédiatement informé de toute nouveauté concernant ces applications, qu'il s'agisse de nouvelles mises à jour ou de vulnérabilités de sécurité, et vous pourrez ensuite télécharger rapidement le correctif de sécurité que les développeurs ont pu publier ou désinstaller l'application jusqu'à ce qu'ils le fassent.
Pour cette raison, la plupart des experts en sécurité conseillent de conserver certaines applications essentielles et de désinstaller celles que vous n’utilisez plus. Chaque application étend votre surface d’attaque et la microgestion de tout peut devenir une tâche ardue.
2. Activez la 2FA pour votre ordinateur de bureau
Cette astuce de sécurité n'est pas largement connue, mais vous pouvez en fait activer l'authentification à deux facteurs sur votre système Linux, de la même manière que vous sécurisez vos comptes en ligne. J’ai mis en œuvre cette astuce car j’avais un problème pratique : le mot de passe que j’utilise pour mon compte utilisateur n’est pas très fort. Comme je dois les taper fréquemment, j’utilise des phrases faciles à retenir au lieu de chaînes alphanumériques complexes de 64 caractères.
Désormais, en configurant l'authentification à deux facteurs sur ma distribution, j'ai ajouté une couche de sécurité supplémentaire pour compenser un mot de passe faible sans le rendre difficile à mémoriser. De cette façon, même si quelqu’un devine mon mot de passe, il ne pourra accéder à mon système qu’en utilisant l’appareil qui génère les jetons d’authentification.
Cependant, saisir le code de vérification à chaque fois que vous vous connectez ou utilisez sudo dans le terminal peut être un peu ennuyeux, je ne le recommande donc pas à tout le monde. En fait, la plupart des conseils de sécurité que vous essayez de mettre en œuvre peuvent avoir un impact négatif sur votre confort général, et j'ai personnellement décidé que cela ne me dérange pas.
1. Effectuez des sauvegardes régulières du système.
Alors que certaines attaques visent à voler vos données, d’autres visent à les détruire ou à les retenir en otage via un ransomware. La meilleure défense contre ce dernier type est une stratégie de sauvegarde efficace. Je maintiens un système de sauvegarde automatisé qui copie régulièrement mes fichiers essentiels vers le cloud. Si vous ne souhaitez pas l'enregistrer dans le cloud, vous pouvez également l'enregistrer sur un lecteur externe ou un stockage en réseau (NAS).
Il est important de ne pas conserver de sauvegarde de votre système sur le système lui-même. Cela garantit que mes sauvegardes sont en sécurité au cas où mon système principal serait compromis. J'ai vu beaucoup de gens conserver des sauvegardes sur le même système à partir duquel ils sauvegardent leurs fichiers. Cela passe complètement à côté de l’essentiel : si votre système est piraté ou plante, ces sauvegardes disparaîtront avec lui.
Voici donc les cinq principales choses que je fais pour protéger mon ordinateur Linux contre les virus, les piratages et les menaces de sécurité. N'hésitez pas à mettre en œuvre l'une de ces mesures de sécurité dans votre flux de travail. Cependant, si vous souhaitez des conseils et astuces essentiels, consultez notre guide du débutant sur les bases de la sécurité d'Ubuntu.
Sécuriser un système Linux ne signifie pas nécessairement entrer dans des paramètres complexes ou utiliser des outils avancés. Des étapes simples comme la mise à jour régulière de votre système, la désactivation des services inutiles et l’activation de votre pare-feu peuvent faire une grande différence dans votre niveau de protection. En effectuant ces petits changements, vous aurez davantage confiance dans l'utilisation de Linux, que vous soyez un utilisateur à domicile ou que vous gériez un serveur critique.
