Comment sécuriser un PC Linux : Guide complet pas à pas

Contrairement à une idée reçue, Linux n’est pas invulnérable. S’il est plus sûr que la plupart des systèmes d’exploitation grand public, il reste exposé à des failles, des erreurs humaines et des intrusions. Ce guide pratique, inspiré de sources telles que It’s FOSS, ZDNet et Linux Audit, détaille les étapes essentielles pour sécuriser votre ordinateur Linux de manière simple et efficace.

1. Maintenir le système à jour

La première défense contre les vulnérabilités consiste à garder votre système et vos logiciels à jour.

Étapes à suivre :

1. Ouvrez un terminal.
2. Exécutez la commande :

   sudo apt update && sudo apt upgrade -y

3. Pour les distributions basées sur Red Hat :

   sudo dnf update -y

4. Planifiez les mises à jour automatiques si possible. Voir Comment programmer une tâche planifiée sous Linux

Astuce : utilisez un outil comme unattended-upgrades sur Ubuntu pour automatiser le processus.

2. Configurer un pare-feu efficace

Un pare-feu filtre le trafic réseau entrant et sortant pour bloquer les connexions indésirables.

Étapes à suivre :

1. Installez le pare-feu UFW (Uncomplicated Firewall) :

   sudo apt install ufw

2. Activez-le :

   sudo ufw enable

3. Vérifiez son état :

   sudo ufw status verbose

4. Autorisez uniquement les ports nécessaires (exemple pour SSH) :

   sudo ufw allow 22/tcp

Les distributions comme Fedora utilisent firewalld, que vous pouvez gérer via firewall-cmd.

3. Sécuriser les comptes utilisateurs

Limiter les privilèges des utilisateurs réduit considérablement les risques de compromission.

Étapes à suivre :

1. Ne pas utiliser le compte “root” pour les tâches quotidiennes.
2. Créer un utilisateur standard :

   sudo adduser nom_utilisateur

3. Ajouter un utilisateur au groupe sudo si nécessaire :

   sudo usermod -aG sudo nom_utilisateur

4. Utiliser des mots de passe forts et uniques.
5. Désactiver les comptes inutilisés :

   sudo userdel nom_utilisateur

Option avancée : activer l’authentification à deux facteurs avec Google Authenticator ou Authy pour SSH.

4. Protéger le système avec AppArmor ou SELinux

Ces outils contrôlent ce que chaque application peut faire sur votre système.

Étapes à suivre :

• Ubuntu/Debian : AppArmor est souvent activé par défaut. Vérifiez avec :

  sudo aa-status

• Fedora/Red Hat : utilisez SELinux :

  sestatus

• Ne désactivez jamais ces systèmes sans raison valable.

Ces couches de sécurité limitent les dégâts si un programme est compromis.

5. Sécuriser la connexion SSH

SSH est souvent la cible principale des attaques à distance. Le renforcer est essentiel.

Étapes à suivre :

1. Modifier le port SSH :

   sudo nano /etc/ssh/sshd_config

   Changez la ligne Port 22 par un autre numéro (ex : 2222).

2. Désactiver la connexion root directe :

   PermitRootLogin no

3. Autoriser uniquement l’authentification par clé publique.
4. Installer fail2ban pour bloquer les tentatives répétées.

6. Chiffrer vos données sensibles

Le chiffrement protège vos fichiers même si votre ordinateur est volé.

Étapes à suivre :

• Activez le chiffrement du disque lors de l’installation (LUKS).
• Pour chiffrer un dossier spécifique :

  sudo apt install ecryptfs-utils

• Utilisez gpg pour chiffrer des fichiers individuels :

  gpg -c fichier.txt

7. Installer un antivirus (facultatif mais utile)

Bien que Linux soit moins exposé, un antivirus peut détecter des fichiers malveillants partagés avec d’autres systèmes.

Étapes à suivre :

1. Installez ClamAV :

   sudo apt install clamav

2. Analysez votre système :

   clamscan -r /home

Programmez des analyses régulières pour renforcer votre sécurité. Voir Comment programmer une tâche planifiée sous Linux

8. Vérifier les permissions et services actifs

Un système bien sécurisé doit limiter les services inutiles.

Étapes à suivre :

• Listez les services actifs :

  sudo systemctl list-units --type=service

• Désactivez ceux dont vous n’avez pas besoin :

  sudo systemctl disable nom_du_service

• Vérifiez les permissions des fichiers sensibles :

  ls -l /etc/shadow

9. Activer l’audit de sécurité

La journalisation permet de détecter rapidement toute activité suspecte.

Étapes à suivre :

1. Installez l’outil auditd :

   sudo apt install auditd

2. Démarrez et activez le service :

   sudo systemctl enable --now auditd

3. Consultez les logs :

   sudo ausearch -m avc -ts today

Astuce : configurez un envoi automatique d’alertes par e-mail.

10. Sauvegarder régulièrement

Une sécurité parfaite n’existe pas. La meilleure défense contre les pertes ou attaques reste la sauvegarde.

Étapes à suivre :

• Utilisez rsync ou Deja Dup pour automatiser les sauvegardes.
• Conservez une copie hors ligne ou sur un support externe.
• Testez régulièrement vos sauvegardes pour vérifier leur intégrité.

Conclusion

En suivant ces dix étapes, vous rendrez votre système Linux solide, résilient et prêt à affronter les menaces modernes. La sécurité n’est pas un état, mais un processus : maintenez vos connaissances à jour, surveillez votre système, et appliquez toujours le principe du moindre privilège.

Sources :
It’s FOSS | ZDNet | Linux Audit | HowToGeek | Help4IT | Total Security Summit