5 façons de télécharger des logiciels en toute sécurité sur Linux
C'est une idée fausse courante qu'il n'y a pas de virus sous Linux. Le fait est qu'ils existent. Même s'il vous est possible de consulter les fichiers de votre programme pour trouver le fichier infecté, cela peut vous prendre des mois avant de vous rendre compte que votre système Linux a été compromis.
La confiance est une chose délicate, et vous ne devriez pas simplement la donner facilement. Ce n'est pas parce que quelque chose a été fourni sur Internet que vous pouvez lui faire confiance. Vous devez prendre certaines mesures pour protéger votre système d'exploitation et vous-même.
Les risques de sécurité liés à la négligence vont du vol d'informations et de la détection de virus, à l'accès non autorisé d'un utilisateur à votre machine Linux. Par conséquent, cet article répertorie les moyens sécurisés de télécharger des logiciels sous Linux.
1. Vérifiez la valeur de hachage
Une valeur de hachage (ou somme de contrôle) est une chaîne alphanumérique de caractères produite lorsque certaines données sont transmises via une fonction cryptographique. Il agit comme une signature numérique de votre fichier.
Pour vous assurer que vous n'avez pas téléchargé un fichier corrompu, un certain nombre de sites open source fournissent généralement un hachage attendu que vous devriez obtenir une fois le téléchargement du fichier terminé. Prenons un exemple.
Supposons que vous téléchargiez Tomcat 10, qui est un serveur Web populaire. La valeur de hachage pour la version 10.0.6 de Tomcat est:
3d39b086b6fec86e354aa4837b1b55e6c16bfd5ec985a82a5dd71f928e3fab5370b2964a 5a1098cfe05ca63d031f198773b18b1f8c7c6cdee6c90aa0644fb2f2 *apache-tomcat-10.0.6.tar.gzLa section * apache-tomcat-10.0.6.tar.gz est juste le nom du fichier. Les valeurs de 3d39 … 2f2 comprennent la valeur de hachage.
Pour obtenir cette valeur, vous devez accéder au répertoire dans lequel vous avez téléchargé le fichier d'archive et exécuter la commande suivante:
sha512sum apache-tomcat-10.0.6.tar.gzVous devriez obtenir la valeur de hachage mentionnée ci-dessus. Si vous obtenez une valeur différente, cela signifie que votre téléchargement a été corrompu et que vous devez le supprimer immédiatement.
Dans cet exemple particulier, la fonction de hachage que nous avons utilisée est sha512. C'est parce que c'est la fonction que la fondation Apache Tomcat a décidé d'utiliser pour protéger l'intégrité de leurs téléchargements.
D'autres sites peuvent utiliser différentes fonctions de hachage, telles que les fonctions populaires sha256 et sha384.
Si le site Web utilise d'autres fonctions de hachage, il vous suffit de remplacer le nom de la commande par la fonction de hachage.
sha256sum filename-of-download
sha384sum filename-of-downloadIl est également intéressant de noter que le fichier que nous avons utilisé est un fichier TAR (c'est-à-dire un fichier d'archive). Mais que faire si vous avez téléchargé un fichier binaire à la place? La bonne nouvelle est que sous Linux, vous obtiendrez le même résultat de hachage quel que soit le type de fichier.
Le mode par défaut des fonctions de hachage sous Linux est le texte. Par conséquent, pour passer en mode binaire, utilisez l'option -b comme suit:
sha256sum -b filename2. Utilisez des sites sécurisés
Obtenir vos téléchargements à partir de sites sûrs réduit considérablement le risque d'attraper des logiciels malveillants. En règle générale, vous devez toujours utiliser le site de téléchargement officiel du logiciel que vous souhaitez télécharger. Si, pour une raison quelconque, vous ne parvenez pas à trouver le site Web officiel, envisagez d'utiliser un site de confiance.
Des sites de téléchargement comme FileHorse et SourceForge sont des exemples de sites de confiance que vous pouvez visiter. Ces sites existent depuis longtemps et ont gagné la confiance de leurs utilisateurs.
3. Compilez le code source vous-même
L'une des principales raisons pour lesquelles la communauté open source existe est que vous n'avez pas à faire confiance aux grandes sociétés de logiciels et à espérer qu'elles ne font rien de non autorisé sur votre PC.
Lorsque vous téléchargez des fichiers binaires, vous avez donné un certain pouvoir à celui qui a compilé le code. Mais si vous avez accès au code source, vous pouvez reprendre le pouvoir entre vos propres mains.
Avec l'open source, vous pouvez vérifier indépendamment que le logiciel fait exactement ce que son auteur dit. Le seul inconvénient est que vous devez avoir des compétences en programmation supérieures à la moyenne. Vous aurez également besoin d'être bien appris dans le domaine donné.
Vous pouvez également décider d'être stratégique et de ne consulter que les fichiers clés qui vous intéressent.
Par exemple, supposons que vous ayez du code source C cloné à partir d'un référentiel GitHub . Voici comment vous le compileriez vous-même.
Exécutez la commande ci-dessous pour installer le package build-essential . Le package contient des outils importants nécessaires lors de la création de logiciels sous Linux.
sudo apt-get install build-essentialCompilez maintenant le code C à l'aide du compilateur gcc.
gcc program-name.c -o program-nameAprès la compilation, vous pouvez exécuter le programme en tapant:
./program-name4. Utilisez un gestionnaire de packages officiel
Le moyen le plus simple d'installer, de mettre à jour et de désinstaller des logiciels consiste à utiliser un gestionnaire de packages. Il existe un certain nombre d'entre eux tels que pacman, dpkg, DNF et APT. Les gestionnaires de packages travaillent directement avec les référentiels de logiciels officiels et les magasins d'applications.
Les gestionnaires de colis font beaucoup de travail pour vous. Ils gèrent les opérations standard telles que la gestion des dépendances dont le logiciel a besoin, la garantie de l'intégrité et de l'authenticité du téléchargement et la gestion des versions.
Une autre bonne chose est que votre distribution est généralement livrée avec un gestionnaire de paquets pré-installé. Par exemple, Debian 10 est livré avec APT et les systèmes basés sur Arch sont livrés avec pacman.
5. Recherche personnelle
Le monde du logiciel est un endroit en constante évolution et suivre les tendances en matière de sécurité est un aspect clé pour vous protéger. Il existe plusieurs options d'installation parmi lesquelles vous pouvez choisir dans différents scénarios. Par exemple, installer un logiciel sur une machine virtuelle ou utiliser la conteneurisation d'applications.
La conteneurisation des applications est une tendance particulièrement intéressante car elle garantit que vos applications s'exécutent de la même manière dans différents environnements d'exécution.
Être capable d'isoler l'exécution du cœur du logiciel et des dépendances de l'infrastructure sous-jacente offre une sécurité sans précédent. Par exemple, vous ne devez vous soucier de vérifier la sécurité de vos dépendances qu'une seule fois, puis vous attendre à ce que cela résonne dans différents environnements.
Il est également recommandé de consulter les revues de logiciels et de suivre les discussions sur GitHub. Les revues de logiciels vous donnent une bonne idée de ce à quoi vous devez vous attendre après un téléchargement, du comportement inattendu que les utilisateurs ont pu observer et de leurs recommandations.
Les discussions sur GitHub peuvent également vous informer des mesures proactives à prendre après / pendant l'installation du logiciel. Vous pouvez également obtenir une foule d'autres considérations de sécurité non incluses dans la documentation officielle.
Vous devriez également prendre note des fourchettes avec de nombreux contributeurs sur GitHub. Des changements de protocole peuvent être en cours et votre incapacité à vous tenir au courant de ces mises à jour compromettra votre sécurité.
Recommandations et bonnes pratiques
Il est toujours recommandé de mettre à jour d'abord les packages et la liste des référentiels de votre système avant de télécharger tout logiciel majeur. Chaque gestionnaire de packages, pacman dans Arch Linux par exemple, vous offre la possibilité d'installer, de mettre à jour et de supprimer des packages.
Après vous être assuré que les packages installés sont à jour, vous pouvez continuer et télécharger le logiciel dont vous avez besoin. Dans la mesure du possible, si vous pouvez télécharger un package à l'aide de votre gestionnaire de packages, faites-le. C'est le moyen le plus simple et le plus sûr d'installer et de mettre à jour des logiciels sous Linux.