Ubuntu et Linux en général sont des systèmes plus sûrs que Windows cependant on peut toujours améliorer leur sécurité. Je vais ici développer quelques exemples que j’ai moi même mis en œuvre pour mon installation.

La base: Le pare-feu

Dans le noyau d’Ubuntu il existe un composant appelé Netfilter qui permet d’effectuer un filtrage des connexions entrantes et sortantes assez efficaces à l’aide notamment de l’outil IPTables. IPTables est un outil en ligne de commande qui peut paraître assez rebutant pour les débutants mais qui reste indispensable afin de bien sécuriser son poste. Premièrement on va interdire toutes les connexions entrantes à l’aide de la commande suivante:

iptables -P INPUT DROP

Ensuite au fur et à mesure des installations de programmes et de l’utilisation que l’on va faire de la machine il faudra autoriser certaines connexions. Pour ce faire il faut prendre en compte l’interface sur laquelle auront lieu les connexions ainsi que le port qu’elles vont utiliser:

iptables -A INPUT -p tcp -i mon_interface --dport mon_port -j ACCEPT

Exemple pour le traffic Web entrant:

iptables -A INPUT -p tcp -i wlan0 --dport 80 -j ACCEPT

Une autre étape importante est d’autoriser le trafic sur l’interface locale « lo » afin d’assurer le bon fonctionnement du système et des porgrammes:

iptables -I INPUT 2 -i lo -j ACCEPT

Si cette façon de configurer le pare feu vous semble trop compliquée sachez qu’il existe un méthode plus simple: ufw et son interface graphique Gufw. Ce qui est intéressant c’est que ufw générera automatiquement les bonnes règles à chaque installation d’un programme. Pour l’utiliser il suffit de l’activer:

sudo ufw enable

Ou graphiquement:

Voilà pour ce qui est de la configuration basique du pare feu.

Les bloqueurs d’IP

Le pare feu ne faisant pas tout je vais vous présenter 2-3 softs assez intéressant pour renforcer la sécurité. Je vous avais déjà parlé dans un précédent billet de Moblock, ce petit outil permettant d’éviter les connexions avec des adresses IP « sensibles ». Il existe un module que j’utilise qui reprends le même principe que Moblock en l’appliquant uniquement au P2P. C’est un plug in pour Deluge le meilleur client Bittorrent pour Linux (question de point de vue…) Pour l’utiliser il suffit de l’activer dans les options de Deluge et un menu « Liste de blocage » apparaît et il suffit ensuite de cliquer sur « Vérifier et télécharger ». Attention ce n’est pas non plus fiable à 100% il est toujours impossible de rassembler toutes les IP douteuses de la planète en une fois !

Les virus

Dire que les virus ne peuvent infecter un système UNIX est faux. Il est clair que tout système étant présent sur un nombre conséquent de machines à travers le monde intéresse les éditeurs de virus ou autres malwares. Alors bien sur pour Linux il en existe très peu mais assez pour qu’une protection soit nécessaire. En plus même si un virus est inoffensif sous votre Ubuntu il le sera surement pour un Windows (si vous le deplacez par clé USB ou si vous avez un dual boot, etc…). Les sceptiques qui restent convaincus qu’il n y a pas de virus dans le monde Linux peuvent aller faire un tour sur la liste établie par Wikipédia.

Pour éviter ces bestioles donc des solutions d’antivirus existent. Certains vont crier au loup seulement je ne suis pas un puriste et pour ce qui est du choix d’un antivirus je conseillerais toujours un payant comme Kaspersky ou Eset Nod32. Mais je ne suis pas là pour faire de la pub.

Dans les dépôts officiel vous pouvez installer l’antivirus gratuit ClamAV qui dispose de plusieurs modules pour améliorer la protection (temps réel, mail,…) Sinon vous avez Avast disponible ici. Antivir d’Avira et AVG existent eux aussi en version gratuite pour les machines Linux. Pour ce qui est des antivirus commerciaux comme je l’ai dit Kaspersky, EsetNod32,

Vérouillage du poste

Si vous êtes dans un lieu ou lorsque vous vous absentez votre poste est susceptible d’être accessible à d’autres personnes vous voudrez peut être le verouiller. C’est une manouevre qu’on oublie souvent de faire lorsqu’on quitte son poste aller en réunion ou autre. Pour les distraits il y a BlueProximity. C’est un petit soft qui fonctionne avec périphérique Bluetooth. Dés qu’il détecte que le périphérique en question est éloigné du poste d’un distance fixée par l’utilisateur il vérouille automatique la machine ou lance une commande prédéfinie. Pour l’installer c’est comme d’habitude:

sudo aptitude install blueproximity

Une fois installé il va se positionner dans la barre des tâches. Pour le paramétrer un clic droit puis « Préférences ». On recherche les périphérique disponibles puis on clique sur « Use selected device »

Ensuite on règle la distance qui déclenchera l’action désirée dans « Proximity details » et Locking. Et voilà votre PC sera protégé des actions extérieures chaque fois que vous partirez!

J’espère que cet article vous aura été utile pour sécurisé votre machine. Il faut savoir qu’il existe encore beaucoup d’autres solution de sécurisation… Pour ceux là Google est votre ami et j’en parlerai surement dans un prochain billet.