Concepts
Les quelques idées qui structurent LFSi. Dix minutes de lecture pour tout comprendre.
Tout part des sources
LFSi ne distribue aucun binaire opaque. Chaque logiciel — du noyau à la moindre application — est compilé depuis son code source, lui-même téléchargé depuis le dépôt officiel, vérifié (empreinte sha256, signature) et patché de façon tracée. Chaque artefact produit est accompagné de :
- une SBOM (Software Bill of Materials) : la liste exacte de ses composants ;
- un manifeste d'empreintes signé : la preuve de ce qui a été construit, et comment.
Vous pouvez donc toujours répondre à la question : « qu'est-ce qui tourne sur ma machine, et d'où ça vient ? »
Deux couches étanches : la base et les applications
| Couche | Contenu | Qui y touche ? |
|---|---|---|
| Système de base | Noyau, systemd, bibliothèques, outils cœur, sécurité | Uniquement les mises à jour signées LFSi |
| Applications | Serveurs web, bases de données, etc. (/opt/apps) |
Le gestionnaire app |
Installer ou retirer une application ne modifie jamais le système de base. C'est ce qui rend LFSi stable et prévisible dans le temps.
Les zones réseau
Le trafic est organisé en zones de confiance, chacune avec son pare-feu fermé par défaut :
- admin — l'administration (interface web, SSH). La plus protégée.
- service — les applications exposées aux utilisateurs.
- backup — les sauvegardes, isolées.
- (+ vos zones personnalisées, comme une DMZ)
Règle d'or : seule la zone admin peut initier des connexions vers les autres. Une machine compromise côté service ne peut pas « remonter » vers l'administration. Voir Réseau & zones.
Les rôles : qui fait quoi ?
| Rôle | Accès |
|---|---|
| Administrateur LFSi | Tout : système et applications. Web et console (menu d'administration). |
| Opérateur | Exploitation courante : paquets et services, via le web. |
| Administrateur applicatif | Uniquement ses applications attribuées (configuration, redémarrage, journaux), uniquement par le web — jamais la console, jamais le système. |
| Auditeur | Lecture seule + lancement des contrôles de conformité. |
| root | « Brise-glace » : dernier recours, console physique uniquement, usage tracé. |
À noter : le nom du compte administrateur LFSi est celui que vous choisissez à l'installation — aucun nom imposé.
La console sans danger
Sur LFSi, l'administrateur ne se connecte pas à un shell libre : sa session console est un menu d'administration. Toutes les opérations s'y font de façon guidée, et la session ne se quitte que par l'option « Quit ». Résultat : pas de commande hasardeuse, pas de dérive de configuration — et chaque action est journalisée.
La conformité, par niveaux
LFSi est durcie selon deux référentiels reconnus : CIS (Center for Internet Security) et DISA STIG.
- À l'installation : le socle est appliqué (CIS niveau 1, STIG catégorie I) et un rapport de conformité est généré.
- Ensuite : vous montez en exigence à votre rythme, depuis l'interface web (CIS L2, STIG CAT II/III).
- Tout écart est soit corrigé, soit documenté comme exception — rien n'est passé sous silence.
Voir Conformité CIS/STIG.
Les mises à jour signées
Une mise à jour LFSi (système ou application) est un bundle signé : il est vérifié avant d'être appliqué, l'application est atomique et réversible (rollback). Deux canaux :
- en ligne, via votre abonnement (jeton sécurisé géré dans l'interface) ;
- hors ligne, par import d'un bundle — pour les environnements isolés.
LFSi — Linux From SourcITEC. © SourcITEC — LFSi team.