Mises en pratique par la Linux Foundation et disponibles sur GitHub, ces recommandations s'adressent plus particulièrement aux administrateurs système. Le but est de limiter au maximum le risque d'une compromission d'une infrastructure. Rien n'empêche toutefois l'utilisateur lambda d'une distribution Linux d'aller y jeter un coup d'œil.
On appréciera divers niveaux de lecture avec des éléments jugés critiques pour améliorer la sécurité, tandis que d'autres sont de moindre importance. Mais il y a également le niveau dit paranoïaque où les bénéfices de sécurité sont certains mais la mise en œuvre n'est pas forcément aisée.
Les recommandations vont jusque dans le choix du matériel pour sécuriser l'environnement de démarrage avec par exemple le Secure Boot au niveau de l'UEFI (pour faire barrage aux rootkits) qui avait pourtant soulevé la controverse à ses débuts au sein de la Linux Foundation.
Pour le choix d'une distribution Linux, on retrouve ce support de l'UEFI et du Secure Boot avec aussi celui d'un chiffrement natif et complet du disque, la publication de bulletins et de correctifs de sécurité au moment opportun, ou encore l'implémentation de technologies comme SELinux, AppArmor et Grsecurity.
Le choix et la gestion des mots de passe sont évidemment évoqués, ainsi que la vérification du pare-feu afin de s'assurer que tous le ports entrants sont filtrés. La désactivation de modules permettant un accès direct et complet à la mémoire est jugée critique. Firewire et Thunderbolt sont explicitement cités.
Résumer l'ensemble des recommandations n'est pas possible. Il faudra donc faire l'effort de se rendre sur cette page. Un petit mot tout de même au niveau de la navigation Web qui est un vecteur d'attaque privilégié.
Équipé des extensions NoScript, Privacy Badger, HTTPS Everywhere voire Certificate Patrol, Firefox est recommandé pour la navigation sur des sites en rapport avec le travail. Pour le reste, ce peut être Chromium - ou Google Chrome pour les moins suspicieux - avec les extensions Privacy Badger et HTTPS Everywhere.