web-dev-qa-db-fra.com

Secure Linux Desktop

Je cherche des astuces sur les ordinateurs de bureau Secure Linux. Sécuriser les serveurs n'est pas un problème. Les mises à jour logicielles les plus récentes ne fonctionnent que les services requis, etc. mais qu'en est-il des ordinateurs de bureau? Je pense à des détails comme Noscript pour Firefox. Aslr, tarte et similaires sont activés dans Ubuntu https://wiki.ubuntu.com/security/features Par défaut. Que dois-je changer en outre? Y a-t-il des distributions de sécurité?

40
chris

Je recommande les étapes suivantes, dans l'ordre approximatif de la priorité:

  • Activer les mises à jour automatiques. C'est le meilleur moyen de vous assurer que vous exécutez toujours la meilleure version correcte de tous les logiciels.

  • Allumez un pare-feu. Une stratégie simple suffit souvent pour les ordinateurs de bureau: à peu près parlant, permettez à toutes les connexions sortantes, bloquez toutes les connexions entrantes. C'est beaucoup plus facile que de suivre tous les services qui pourraient l'écouter et la désactiver; Il suffit de bloquer toutes les connexions entrantes par défaut ferme l'exposition.

  • Activer les sauvegardes automatiques. Configurez un système de sauvegarde pour sauvegarder automatiquement et systématiquement votre système, sans votre implication. C'est l'un des meilleurs moyens de vous assurer que vous pouvez récupérer d'un compromis. La sécurité est plus qu'une prévention; Il s'agit également de permettre une récupération rapide et fiable du compromis.

  • tilisez https partout. Installez HTTPS partout (ou forcerhttps ou équivalent) dans votre navigateur, pour vous assurer d'utiliser HTTPS (SSL/TLS) sur chaque site qui le supporte.

  • tilisez SSH. Pour toutes les connexions à distance, utilisez SSH. Créer un clavier privé. Protégez votre clé privée avec un mot de passe. Mettez votre clé publique dans le authorized_keys Fichiers de tous les comptes que vous souhaitez pouvoir vous connecter à distance. Éviter tout trafic non crypté (par exemple, telnet, ftp, imap, pop); Utilisez plutôt des variantes cryptées.

  • chiffrer le trafic e-mail. Si vous utilisez un client de messagerie avec POP ou IMAP, configurez-le pour utiliser SSL/TLS Protection (par exemple, ImPAP au lieu de IMAP), de sorte que la connexion avec le fournisseur de messagerie soit cryptée. La plupart des bons fournisseurs de messagerie offriront une option de connexion via SSL ou TLS.

  • tilisez un service de messagerie qui analyse votre email. Utilisez un bon fournisseur de messagerie avec une bonne réputation pour bloquer le spam dans le courrier électronique entrant. Bon logiciel de blocage des spams bloquera souvent de nombreuses arnaques, attaques de phishing et vers.

  • Facultatif: envisager un cryptage complet de disque. Si vous avez un ordinateur portable, vous pouvez activer le cryptage de disque complet, protéger contre la violation des données si l'ordinateur portable devrait être perdu. Truecrypt et le produit de PGP ont une bonne réputation. Si vous utilisez Linux, la plupart des distributions Linux vous permettront de configurer le cryptage complet du disque lorsque vous installez le système d'exploitation Linux.

  • Facultatif: Activer SELINUX. Activez SELINUX, si vous utilisez une distribution qui le supporte.

  • Facultatif: Harden votre navigateur. Vous pouvez envisager de modifier les paramètres de votre navigateur pour vous protéger. E.G., envisager de désactiver les cookies tiers. Envisagez d'installer Adblock Plus.

  • Facultatif: Déconnectez-vous, lorsque vous n'êtes pas présent. Chaque fois que vous laissez votre ordinateur sans surveillance, vous voudrez peut-être vous déconnecter (ou engager un économiseur d'écran protégé par mot de passe).

25
D.W.

Le problème, je pense que nous avons tous dit, c'est une menace que vous vous préoccupez. Quelqu'un qui surfe toute la journée et va à moins que des sites Web sûrs a un risque plus élevé d'être attaqué qu'une grand-mère essayant de vérifier les courriels. Mais la grand-mère a un risque plus élevé car elle ne peut pas dire la différence entre les courriels réels et les attaques de phishing.

Aussi quelque chose à considérer est le compromis avec convivialité. Je dirais que l'exécution de Lynx est intrinsèquement plus sécurisée que d'exécuter Firefox simplement parce qu'il y a moins de fonctionnalités à exploiter avec un navigateur textuel qu'un navigateur complet.

Pour la confidentialité de la paranoïa: j'aime beaucoup les CD de Tor Live pour l'Uber Paranoid. https://tails.boum.org Il permet à un utilisateur de créer une session d'utilisateur, de faire leur travail, puis de redémarrer et d'effacer toute la preuve que c'est arrivé. La vie privée et la sécurité sont deux jeux différents, mais certaines des mêmes précautions se chevauchent.

Sécurité globale: BSD est intensément sécurisée mais je pense qu'il est assez difficile de sortir de la boîte.

À mon avis, une distribution bien entretenue activement, bien entretenue, comme Ubuntu ou Centos conserve un équilibre entre la sécurité et la convivialité, mais vous donne toujours le contrôle de l'environnement pour le verrouiller aux menaces spécifiques à votre environnement.

6
Lizbeth