Parlons un peu de protection et cybersécurité sous un ordinateur Linux et les meilleurs méthodes ou pratique. Vous savez vous pouvez devenir une cible d'intérêt pour des hackers que cela soit des individus malveillant ou des états et leurs organismes de renseignements. J'en suis personnellement un, en tant qu'hacktiviste. Donc j'ai élaboré des procédure de sécurisation de mon poste de travail ou j'applique de l'hygiène de base, donc on va rappeler quelques règles. Si vous êtes en mode parano, je conseil de basculer sur openBSD comme bastion de la sécurité informatique, mais c'est une solution extrème, généralement pour les serveurs critiques. Linux suffit à la plupart des tâches.
1. Ne faite confiance qu'à l'open source
Fuyez toutes les solutions propriétaires ou l'on ne peux pas auditer le système ou qu'il soit opaque dans son code source. Il peut être backdooré, donc switcher sous Linux. La règle de ce monde est l'espionnage généralisé et le vol d'information, regardé l'affaire Pegasus. Et pénétrer sur les réseaux informatiques est un sport national en particulier sous Windows. Vol de donnée, de propriété intellectuel, de secret industriel, de clé SSH pour pénétrer sur des serveurs distants, de porte-feuille de cryptomonnaie, ou d'infostealers sur des identifiants. Tous ça ce monétise. Et les logiciels propriétaires veulent s'accaparer les données souvent en traitre.
2. Faire des mises à jours régulières
L'idéal est de pouvoir patcher une CVE critique dès la publication du patch, pour cela préférer un système en rolling release sous Linux. Tel que Manjaro pour débutant, ou utilisateur avancée Arch Linux. Pour compléter vous devez faire une veille et remonter de l'information et donc des alertes quand une CVE critique apparait. Je conseil de faire des mises à jours toutes les semaines, mais si c'est que tous les mois ou alors en cas de CVE critique, cela fera l'affaire. Prenez l'habitude quand vous éteigner votre ordinateur de lancer une mise à jour avant avec la commande: pacman -Syu
3. Utiliser des sources de confiance pour les logiciels
Utiliser un paquet manager pour installer des logiciels ou les binaires sont signés par une clé PGP. Mettre à jour la base des clés régulièrement, ce qu'utilise generalement les distributions sous Linux tel que Pacman sous Arch Linux. Arch Linux utilise un dépot communautaire nommé AUR. Ou l'on trouve tous les logiciels possibles en dehors des dépôts. Il reste sur en règle générale, mais essayer de limiter leur utilisation.
4. Utilisez un mot de passe fort
Vous devez avoir une politique drastique de mot de passe en cas de vulnérabilité, la stratégie que j'ai mis en place:
- mot de passe utilisateur: 12 caractères, alpha-num + symbole
- mot de passe site web: 13 caractères, alpha-num + symbole dynamique, trouvez un moyen de changer de mot de passe sur chaques sites.
- mot de passe de chiffrement: 16 caractères, alpha-num + symbole: disque dur, gestionnaire de mot de passe ou container veracrypt
Vous devez appliquez cette stratégie, pour survivre à un brute force de votre disque dur en cas de vol ou perquisition de vos données, inclus au moins 16 caractères.
Pur gérer vos mots de passe, utiliser un gestionnaire de mot de passe comme Keepass local sur votre PC. N'utilisez pas dans le cloud!
5. N'utilisez pas Chromium
Il est très peu sécurisé, si vous voulez quelques choses de solide utilisez Librewolf: comparatif https://privacytests.org/. Si vous voulez quand même utilisez un navigateur internet classique utilisé un minimum d'extension: moteur de recherche DuckDuckGo, HTTPS Everywhere, Privacy Badger, Disconnect, Ublock Origin.
Egalement pensez à naviguer en changeant de DNS pour ceux de cloudflare 1.1.1.1 et 1.0.0.1 dans les paramètres que d'utiliser ceux du FAI qui collecte de l'information de navigation. Si vous pouvez pour sécuriser votre connexion, prenez un VPN (NordVPN ou Proton).
6. Activer votre par-feu
J'utilise ufw comme par-feu qui suffit largement à mon utilisation, avec son interface graphique gufw. Cela permet de mettre des règles en particulier sur le contrôle des ports. La plupart des distributions Linux d'active pas par defaut le par-feu.
7. Ne vous logguer pas en root
Utilisez plutôt la commande sudo
8. Utilisez un chiffrement complet du disque dur
En cas ou on vol votre PC, vous devez protégez vos données. Windows ne permet pas ça, seulement en version pro, et bitlocker est peu performant. Linux utilise dm-crypt et LUKS 2 qui sont généralement utiliser pour de la sécurité militaire sur les systèmes critiques. Car on peut paramêtrer les algorithmes de chiffrement pour prendre ce qui se fait le nec plus ultra.
9. Signer le bootloader
Mettre en place un secure boot est préférable mais pas obligatoire, cela vous evitera quelques failles de sécurité.
10. Utiliser un économiseur d'énergie en fond d'écran
Votre PC en cas d'inactivité prolongé doit ce fermer automatiquement, c'est nécessaire, si vous partez, au bout de 5 min d'inactivité, un fond d'écran bloque l'accès et demande le mot de passe. Pensez à mettre en veille au bout d'une heure d'inactivité.
11. Utilisez les logs
Installer syslog pour auditer votre PC et ces accès, escaladation de privilège, vous pouvez également regarder les logs de systemd dans journalctl
12. Monitorez vos ressources en particulier le réseau et les processus
Un programme malveillant laisse des traces, il consomme des ressources et donc doit ce lancer au démarrage et à un PID dans les processus, vous pouvez monitorez avec ps et htop les processus systèmes pour trouver des comportements anormaux. Egalement un programme malveillant cherche à communiquer avec l'extérieur par le réseau, et donc ils ouvrent des ports. Vous pouvez monitorer avec la commande ss et netstat
13. Auditer votre système
Régulièrement faites un checking du système avec les logiciels pour trouvez des malwares, rootkit, etc...
- Lynis
- YARA
- rkhunter
14. Sécuriser votre réseau informatique
Préférez votre routeur perso avec des configurations avancées en double NAT sur votre réseau informatique, cela rajoute une couche d'accès réseau et de routage, voir de protection tel que du DDoS. Prenez des constructeurs réputés, dont vous savez qu'ils corrigent les fails sur les routeurs en cas d'alerte. Ne faites pas confiance aux routeurs des FAI car les gouvernements peuvent demander des backdoors, déjà qu'ils monitore la navigation internet avec le DNS.