General
Une politique de contrôle d'accès restreinte (SELinux, AppArmor), certaines distributions ne vont pas assez loin dans leur intégration* Un kernel patché pour le renforcer (Grsecurity, Linux-hardened, PaX...), éventuellement compilé soi-même et récent
- Configuration renforcée du kernel par sysctl (cf. liens plus bas)
- Chiffrement intégral des disques (LUKS)
- Mise en place de mitigations diverses (sandboxing, verified boot si possible, allocateur de mémoire renforcé)
- Application des bonnes pratiques : mises à jour rapides et régulières, réduction de la surface d'attaque (installer le moins de services possibles = KISS, moindre privilège)
Guides :
- Linux Hardening Guide - madaidan (chercheur/développeur Whonix)* La documentation "sécurité" de Arch Linux, très riche en informations
- System Hardening Checklist - Whonix
- Recommandations de sécurité - ANSSI