Sicurezza per Linux desktop: app semplici da usare subito

Sicurezza per Linux desktop. Linux è un sistema sicuro, ma questo non significa che non serva qualche attenzione in più. Vediamo strumenti semplici, con interfaccia grafica, pensati per migliorare la sicurezza del tuo desktop Linux. Soluzioni concrete, che non richiedono il terminale e sono accessibili anche a principianti.

Sicurezza per Linux desktop. Chi passa a Linux spesso lo fa anche per motivi legati alla sicurezza e alla privacy. Linux, per sua natura, espone meno superficie agli attacchi rispetto ad altri sistemi. Ma questo non significa che sia invulnerabile, soprattutto in un'epoca in cui minacce sempre più complesse e mirate colpiscono anche i desktop, spesso attraverso l’elemento più debole: l’utente.

Ne ho parlato in modo approfondito in Linux Antivirus 2025. Le poche scelte possibili.

Se la sicurezza per Linux desktop. è un tema di tuo interesse, ti segnalo che questo articolo è parte di una serie che trovi qui nel blog sotto il percorso tematico Privacy e sicurezza di Linux.

Ogni applicazione indicata è progettata per l’uso quotidiano con ambienti desktop comuni (GNOME, KDE, XFCE, Cinnamon, ecc.) e mira a presentare funzioni di sicurezza in modo chiaro e accessibile. Sono tutte disponibili nei repository ufficiali oppure tramite i formati alternativi Snap, Flatpak e AppImage. Questo garantisce installazione semplice nelle distribuzioni preferite dai principianti e non come Ubuntu, Linux Mint e simili.

Cifratura del disco o della home: proteggere i dati anche a computer spento

Una delle misure più efficaci per la sicurezza dei propri dati è la cifratura del disco o della cartella home. Questo tipo di protezione entra in gioco prima ancora dell’avvio del sistema operativo: se qualcuno accede fisicamente al computer (ad esempio in caso di furto), non potrà leggere i dati senza conoscere la password di cifratura.

La cifratura può quindi fare la differenza su portatili e dispositivi esterni, come chiavette USB o dischi esterni. In caso di furto o smarrimento, senza la password di sblocco, è impossibile accedere ai dati anche smontando fisicamente il disco per collegarlo ad un dispositivo di copia.

Se usi un notebook per lavoro o con dati personali, è consigliabile abilitare la cifratura completa del disco (LUKS) già in fase di installazione.

Se invece usi spesso hard disk o chiavette USB, valuta la creazione di volumi cifrati con strumenti come VeraCrypt o Cryptomator (che tratteremo più avanti).

La sola cifratura della home directory, anche se meno completa, può comunque proteggere email, documenti e file personali, ma non impedisce l’accesso ad altri dati come configurazioni di sistema, cache del browser, ecc. Per questo, la cifratura dell’intero disco è preferibile, soprattutto se il computer esce spesso di casa.

Molte distribuzioni semplificate, come Ubuntu, Linux Mint, Zorin OS, offrono l’opzione durante l’installazione iniziale. Basta spuntare la casella corrispondente. Non serve terminale, tutto si configura da una schermata grafica del programma di installazione.

Attenzione alla cifratura in dual-boot

Attenzione però! Se hai installato Linux in dual-boot con Windows (o altri sistemi), la cifratura completa del disco può complicare o impedire l’accesso all'altro sistema operativo, soprattutto se non si configura correttamente il bootloader (GRUB) e la gestione delle partizioni.

• In questi casi, è più sicuro cifrare solo la home directory, o al limite creare un volume cifrato separato (ad esempio con VeraCrypt) da montare all’occorrenza.
• Se desideri comunque cifrare l’intero disco, considera l’uso di due dischi separati, uno per ciascun sistema operativo.

In ogni caso, prima di procedere alla cifratura, effettua un backup completo dei dati e documentati sulle modalità offerte dalla tua distribuzione. Alcuni installer (come quello di Ubuntu) offrono opzioni predefinite che potrebbero non essere adatte al dual-boot senza modifiche manuali.

Dopo l’installazione? Non per tutti

La cifratura post-installazione non è banale per i principianti, in quanto richiede strumenti come ecryptfs o LUKS da riga di comando. Inoltre, modificare una cifratura esistente o aggiungerla su sistemi già installati, anche su distribuzioni user-friendly, può causare problemi di avvio, perdita di dati o incompatibilità con l'accesso automatico all’account utente.

Per questo motivo, consiglio di attivarla al momento dell’installazione.

Non ci sono problemi specifici con GTK o Qt: la cifratura agisce a livello di sistema o file system, quindi funziona in qualsiasi ambiente desktop.

🔗 Ubuntu documentation: Full Disk Encryption Howto
🔗 Informazioni su LUKS - Arch Wiki

Timeshift: punti di ripristino alla portata di tutti

Quando qualcosa va storto è importante avere la possibilità di ripristinare il sistema a uno stato precedente. Timeshift è lo strumento perfetto per farlo, anche per chi non ha dimestichezza con il terminale.

Timeshift è una delle applicazioni più semplici e potenti per creare copie di sicurezza dell'intero sistema, simili ai punti di ripristino di Windows. È particolarmente utile in caso di aggiornamenti problematici o modifiche errate alle configurazioni. È una applicazione attualmente mantenuta dal team di Linux Mint e funziona al meglio su distribuzioni basate su Ubuntu, Linux Mint e Debian, con interfaccia GTK compatibile con GNOME, Cinnamon, XFCE e MATE.

Timeshift crea istantanee del sistema operativo, salvando file di sistema, configurazioni e pacchetti installati. Ma non tocca i file personali (a meno che non lo si imposti), quindi si comporta in modo simile al “Ripristino configurazione di sistema” di Windows.

Può essere configurato per fare snapshot automatici e programmati, scegliendo se salvarli su disco locale o su un disco esterno. Il ripristino è possibile anche se il computer non si avvia più. Esegui in modalità Live una distribuzione come Linux Mint che lo prevede nell'installazione del sistema. Avvia Timeshift ed il software troverà automaticamente gli snapshot salvati all'interno del computer permettendoti di ripristinare quello desiderato con un semplice click.

Di Timeshift ho parlato approfonditamente nel tutorial sulla configurazione iniziale di Linux Mint al punto Configurare i punti di ripristino di sistema di Linux Mint con Timeshift. In ogni caso ecco un rapido riepilogo.

1. Apri Timeshift e scegli la modalità RSYNC (più flessibile per i desktop).
2. Scegli dove salvare gli snapshot: è richiesta una partizione di tipo EXT4, come quella di sistema. Ma una diversa è l’ideale se i problemi sono legati all'hard-disk.
3. Imposta se vuoi una programmazione automatica: giornaliera, settimanale o mensile. Mantieni solo gli ultimi 2 o 3 snapshot per risparmiare spazio.
4. Clicca su “Crea” per generare uno snapshot in qualsiasi momento.

Quando ripristini uno snapshot di Timeshift, una procedura effettuerà una simulazione prima di sostituire i file successivamente aggiornati. Al riavvio la configurazione sarà quella precedente. Ma ritroverai il desktop e le tue cartelle di documenti come li hai lasciati prima dell'insorgere del problema.

🔗 Sito ufficiale di Timeshift

GUFW: interfaccia grafica per il firewall UFW

Di solito, Linux è piuttosto sicuro di default, ma attivare un firewall aiuta a ridurre ulteriormente la superficie d’attacco, soprattutto per chi usa la macchina in reti pubbliche o instabili (es. Wi-Fi in luoghi condivisi).

Lo strumento ideale per chi desidera attivare un firewall in Linux senza dover usare il terminale. Si chiama GUFW, si pronuncia spesso ‘guf’ per semplicità. GUFW è infatti una interfaccia grafica per UFW, il firewall predefinito su molte distribuzioni Linux. Non richiede competenze avanzate: l’interfaccia guida l’utente nella creazione delle regole senza dover scrivere comandi.

L’interfaccia è estremamente semplice e particolarmente ben integrata in ambienti GTK (come Cinnamon, GNOME, MATE e XFCE), ma funzionante anche su KDE Plasma, pur con un aspetto meno coerente.

Basta un interruttore per attivare/disattivare il firewall e un pannello per creare regole con pochi clic. I profili predefiniti (Casa, Lavoro, Pubblica) permettono di configurare comportamenti e regole differenti in base al contesto.

Puoi anche impedire, invece che autorizzare, il traffico in entrata e/o in uscita da parte di specifiche applicazioni. Diventa comodo, grazie ai profili, prevedere ad esempio una regola nel profilo Casa, per consentire il traffico di condivisione di file torrent e per le connessioni alla rete domestica. Al lavoro o in circostanze di connessioni a reti pubbliche, potrai applicare il profilo Lavoro o Pubblico con differenti regole.

Le regole consentono a specifici programmi di varia natura di accettare connessioni dall'esterno al tuo PC su specifiche porte. Ce ne sono tantissime già pronte per tanti tipi di programmi e servizi.

Aggiungine una cliccando sul segno + e sfogliando categorie e sottocategorie di regole preimpostate. Trovata quella giusta, puoi applicarla con un click su Aggiungi.

🔗 Pagina ufficiale GUFW su Launchpad
🔗 wiki.ubuntu.com/UncomplicatedFirewall

KeePassXC: gestione sicura delle password, fuori dal browser

Molti utenti, specie su browser basati su Chromium (come Chrome, Brave o Vivaldi), si affidano alla memorizzazione automatica delle password. Comoda, sì, ma molto rischiosa: se un malintenzionato accede al profilo del browser o al sistema, può potenzialmente vedere tutte le credenziali salvate.

KeePassXC è un’applicazione con interfaccia grafica (basata su tecnologia Qt, perfetta per KDE Plasma ma ottimamente funzionante ovunque, che consente di creare un archivio cifrato di tutte le proprie password e organizzarle per categorie, con la necessità di un'unica password per proteggerle tutte.

Permette di generare password sicure e di cercare e copiare rapidamente le credenziali senza esporle. Una volta avviato, è facile creare un nuovo database proteggendolo con una master password. Crea un nuovo gruppo ad esempio Email o Carte di credito e clicca su “Nuova voce”. Inserisci nome utente, password e, se vuoi, l’URL del servizio.

Integrazione con il browser

KeePassXC può integrarsi direttamente con Firefox e con i browser basati su Chromium tramite un’estensione ufficiale:

1. Installa l’estensione KeePassXC-Browser dal Chrome Web Store o da Mozilla Add-ons.
2. In KeePassXC, apri le impostazioni e attiva la voce “Abilita integrazione browser”.
3. Associa l’estensione al database. Una notifica apparirà nel browser.

Da questo momento, ogni volta che visiti un sito per cui hai salvato una password, KeePassXC ti proporrà di inserirla automaticamente, senza che venga gestita dal browser stesso.

Le password non sono più archiviate nel browser, che è uno dei bersagli più comuni in caso di compromissioni. Il database può essere spostato o salvato in cloud, mantenendo però la sicurezza grazie alla cifratura.

KeePassXC è presente in tutti i principali centri software.

🔗 Link ufficiale: keepassxc.org

Tor Browser: navigare in anonimato

Il Tor Browser è una versione modificata di Firefox che consente di navigare in modo anonimo e difficile da tracciare, sfruttando una rete cifrata chiamata Tor (The Onion Router). È pensato per chi vuole mantenere privata la propria attività online, aggirare censure o proteggersi da occhi indiscreti, soprattutto quando si è connessi a reti pubbliche.

Su molte distribuzioni (come Ubuntu, Linux Mint o Zorin OS), è presente nel centro software, un c.d. meta-pacchetto chiamato tor-browser-launcher che automatizza scaricamento e avvio. Ma è comunque facilissimo da ottenere. basta entrare nella sezione Download del sito ufficiale, scaricare la versione per Linux in un file con estensione.tar.xz. Estrai l’archivio e avvia il file start-tor-browser.desktop

Tor non si installa, funziona da sola, come una cartella portatile: puoi copiarla ovunque, anche su una chiavetta USB. L’interfaccia è quasi identica a quella di Firefox, ma con alcune protezioni attive tra cui il blocco di tracciamenti pubblicitari, la possibilità di cambiare "identità" e indirizzo IP a ogni avvio e l'inibizione all'uso di plugin pericolosi o potenzialmente insicuri.

Va detto che Tor non è il browser adatto a compiere le attività di tutti i giorni. È più lento di un browser normale, perché il traffico viene instradato su più server (per garantire l’anonimato). Inoltre difficilmente può essere utilizzato per accedere a servizi che richiedono l'identificazione, come home banking o acquisti online.

🔗 Link ufficiale: https://www.torproject.org/download/

Cryptomator: cifrare prima di salvare nel cloud

Cryptomator consente di creare “volumi cifrati” che si comportano come cartelle virtuali da proteggere con password.

Lo scopo di Cryptomator è integrarsi con gli account Dropbox, iCloud, Google Drive, Microsoft One Drive, WevDav ed altri con il massimo della privacy. Impedisce ai colossi informatici che gestiscono i rispettivi servizi e a chiunque altro, di sapere cosa hai caricato. Tanto basta per rispettare l'obbligo sancito dal GDPR di adottare misure supplementari di protezione di dati sensibili, quando questi finiscano in paesi con legislazioni più permissive di quella europea.

Il meccanismo è semplice se già hai integrato nella tua distro un servizio come quelli citati. Crea una nuova c.d. cassaforte assegnandole un nome e puntandola all'interno delle cartelle locali del servizio cloud. Dovrai indicare e confermare una password perché poi, ciò che aggiungi alla cartella viene bloccato con un potente algoritmo di cifratura e può venire sbloccato solo con quella e dall'interno di Cryptomator.

Non appena la sblocchi, e premi Rivela l'unità, questa viene montata temporaneamente in chiaro nel file system. Nel file manager gestisci il suo contenuto come in un qualunque supporto esterno.

Puoi quindi aggiungere i contenuti. Il servizio di sincronizzazione inizia a caricare nel cloud i dati cifrati ma puoi bloccare nuovamente la cassaforte senza attendere che il caricamento nella nuvola sia completo.

Cryptomator e la password creata per la cassaforte saranno l'unico modo per rimetterne in chiaro il contenuto. Per aggiungere, eliminare o modificare file e cartelle. Tu stesso non troverai altro che dati cifrati e inaccessibili nelle cartelle online del servizio.

Cryptomator si installa tramite Flatpak o pacchetti AppImage. È disponibile anche nell'App Store per iOS con acquisti in app e alla non propria modica cifra di € 14,99 nel Play Store Android. Ma il programma desktop è open-source, multi-piattaforma, niente backdoor o date di scadenza, ed è e resterà gratuito anche per l'utilizzo in team.

🔗 Link ufficiale: https://cryptomator.org/downloads/

VeraCrypt: crittografia avanzata, anche portatile

VeraCrypt è un software di crittografia che consente di proteggere file e cartelle sensibili creando dei contenitori cifrati oppure cifrando intere partizioni o dischi esterni. È una delle soluzioni più apprezzate per la protezione dei dati anche in ambito aziendale e giudiziario.

A differenza di Cryptomator, pensato per l’uso quotidiano su file singoli e cartelle in cloud, VeraCrypt è più adatto a situazioni in cui si vuole protezione completa di interi dischi e partizioni, di sistema e non.

L’interfaccia, benché non modernissima, è grafica e chiara, e consente con pochi passaggi di creare un volume cifrato come file contenitore (.hc) da montare come se fosse una chiavetta USB. Puoi montare e smontare volumi cifrati inserendo la password.

Nel suo utilizzo più semplice con VeraCrypt puoi ad esempio creare un volume da qualche

• Creare un volume da 2 GB per conservare documenti personali.
• Cifrare una chiavetta USB al volo prima di portarla fuori casa.
• Conservare file sensibili su un disco esterno condiviso, protetti da accessi non autorizzati.

• VeraCrypt è multipiattaforma (Linux, Windows, macOS).
• L’interfaccia è compatibile con qualsiasi ambiente desktop, anche se visivamente si integra meglio con Qt/KDE.
• Può essere installato da file .deb, repository di terze parti o utilizzarlo nel formato portatile AppImage che lo rendono accessibile anche su distro che non lo includono nei repository ufficiali.

Può essere usato assieme a strumenti come KeePassXC per gestire in sicurezza le chiavi e le password dei volumi cifrati.

🔗 Sito ufficiale di VeraCrypt

Firetools: sandboxing semplice con Firejail

Firejail è un programma che riduce il rischio di violazioni di sicurezza confinando in un ambiente limitato i programmi non verificati o considerati insicuri.  Tale meccanismo è definito in gergo tecnico sandboxing.

A questo tema ho già dedicato uno specifico approfondimento in La sandbox nella sicurezza informatica.

Specifici profili sono già configurati per tantissimi programmi tra cui browser, client torrent e altre applicazioni di rete, giochi e molte altre. Qualunque processo può venire isolato nella snella sandbox di Firejail.

Firejail si usa da riga di comando, avviando il programma da confinare preceduto proprio da Firejail. Scrivendo nel terminale firejail firefox, il browser viene eseguito in una sessione isolata nella sandbox di Firejail.

Ma se vuoi sperimentare senza terminale puoi installare il pacchetto firetools che include firejail, i suoi profili predefiniti ed una interfaccia grafica per modificare le impostazioni dei programmi già previsti o per creare profili personalizzati per altre applicazioni.

L'interfaccia non è certo accattivante ma appena lanci firetools, il programma mostrerà le icone di configurazione, delle statistiche e dei programmi già installati per i quali è previsto un profilo predefinito. Un doppio click sull'icona di un programma ed esso viene lanciato all'interno di firejail con il profilo predefinito.

Dalle impostazioni di configurazione puoi modificare profili incorporati o crearne di nuovi con caratteristiche interessanti che si gestiscono in modo semplice. Puoi restringere l'accesso alla tua home, ai file temporanei o a dispositivi collegati, creando apposite differenti cartelle da usare in loro sostituzione. Puoi impedire l'accesso alla rete o limitarlo ad alcuni protocolli e anche prevedere specifici server DNS che un programma deve usare.

Nella schermata successiva puoi disattivare l'accesso a microfoni e altre periferiche audio, webcam, lettori ottici e disattivare l'accelerazione grafica oltre ad impostare i moduli kernel di sicurezza da attivare per il profilo. L'ultima schermata mostra un riepilogo del profilo che viene creato per l'applicazione su cui è possibile intervenire con opportune modifiche.

Non tutte le app funzionano bene in sandbox (specialmente quelle che devono accedere a file utente o a dispositivi esterni). La protezione non è assoluta, ma aggiunge una barriera in più.

Link ufficiale

🔗 Firetools su GitHub
🔗 Firejail – Documentazione completa

Safing Portmaster: controllo avanzato del traffico in uscita

Safing Portmaster è uno strumento che aiuta a monitorare e bloccare le connessioni di rete delle applicazioni, anche quelle che tentano di connettersi in background senza consenso. È una sorta di firewall con interfaccia grafica avanzata, pensato per utenti attenti alla propria privacy e alla sicurezza. Utile per capire quali applicazioni comunicano verso l’esterno, e per bloccare o limitare quelle che non si comportano come dovrebbero.

Safing Portmaster prevede una interfaccia moderna e accessibile: puoi bloccare o consentire il traffico per ogni singolo programma. Integra un database automatico di regole consigliate come il blocco dei siti noti per tracciare gli utenti.

Puoi esaminare in tempo reale il traffico con dettagli sulle destinazioni, protocolli, porte. L’interfaccia è ben fatta e molto più comprensibile di strumenti apprezzati dai più esperti come Wireshark o iptables.

Portmaster può funzionare in due modalità:

• Silent Mode: applica regole automatiche e blocchi suggeriti.
• Interactive Mode: ti chiede cosa fare quando un’app fa una richiesta di rete insolita.

Portamster non è ancora disponibile nei repository ufficiali delle distro principali: si scarica dal sito ufficiale come pacchetto .deb o .AppImage. Attualmente gira su Ubuntu, Debian, Arch, Fedora e derivate, ma richiede privilegi di amministratore per il pieno funzionamento.

Alcune funzionalità avanzate possono confondere un principiante assoluto. È consigliato ai curiosi con un minimo di dimestichezza o a chi vuole imparare a proteggersi meglio online. È una buona introduzione alla gestione consapevole del traffico di rete.

🔗 Safing Portmaster – Sito e download
🔗 Guida introduttiva e FAQ

Conclusione: più sicurezza, senza complicarsi la vita

In questo percorso abbiamo visto che proteggere la propria postazione Linux è possibile anche senza essere esperti di sicurezza informatica. Le applicazioni che abbiamo selezionato offrono strumenti utili e, soprattutto, accessibili: sono dotate di interfaccia grafica, spesso localizzate in italiano, e si adattano a diversi ambienti desktop.

Cifratura del disco, snapshot con Timeshift, firewall con GUFW, gestori di password, browser orientati alla privacy e strumenti di sandboxing o di controllo del traffico: ogni software ha uno scopo ben preciso, ma tutti insieme compongono un arsenale di difesa alla portata della maggior parte degli utenti Linux.

Non serve installarli tutti, ma sceglierne anche solo due o tre, in base alle proprie abitudini, può fare la differenza.

Nel video ti ho mostrato rapidamente come si presentano e come si avviano: se vuoi approfondire, trovi nel blog le istruzioni per un utilizzo efficace e consapevole.
Inoltre, se ti sei perso il video precedente dedicato ai rischi reali per la sicurezza di Linux e ai pochi antivirus disponibili, ti consiglio di recuperarlo: trovi il link proprio sotto questo articolo o nella descrizione del video.