[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ suivant ]
L'une des choses les plus difficiles dans l'écriture de documents liés à la sécurité est que chaque cas est unique. Il faut prêter attention à deux choses : la menace que constitue l'environnement et les besoins de sécurité liés à un site individuel, une machine ou un réseau. Par exemple, les exigences que l'on a pour une utilisation familiale n'ont rien de comparable aux exigences que l'on retrouve dans le réseau d'une banque. Alors que dans le premier cas, l'utilisateur aura à affronter de simples scripts d'attaque, le réseau d'une banque sera, lui, sous la menace d'attaques directes. De plus, la banque se doit de protéger l'exactitude des données de ses clients. Il faudra donc que chaque utilisateur trouve le bon compromis entre la facilité d'utilisation et la sécurité poussée à l'extrême.
Prenez conscience que cet ouvrage traite uniquement des questions liées aux logiciels. Le meilleur programme du monde ne pourra pas vous protéger contre quelqu'un qui aura un accès physique à la machine. Vous pouvez mettre la machine sous le bureau ou dans un bunker protégé par une armée. Pourtant, un ordinateur de bureau avec une bonne configuration sera beaucoup plus sûr (d'un point de vue logiciel) qu'un ordinateur protégé physiquement si son disque dur est truffé de logiciels connus pour avoir des failles de sécurité. Bien entendu, vous devez prendre en compte les deux aspects.
Ce document donne simplement un aperçu de ce qu'il est possible de faire pour accroître la sécurité du système Debian GNU/Linux. Si vous avez déjà lu des ouvrages traitant de la sécurité sous Linux, vous trouverez des similitudes avec ce document. Ce manuel ne prétend pas être l'ultime source d'informations à laquelle vous devez vous référer. Il essaye seulement d'adapter ces informations pour le système Debian GNU/Linux. D'autres distributions procèdent de manière différente pour certaines questions (le démarrage de démons est un exemple courant) ; vous trouverez dans cet ouvrage les éléments propres aux procédures et aux outils de Debian.
Le responsable actuel de ce document est Javier Fernández-Sanguino Peña.
Veuillez lui envoyer vos commentaires, ajouts et suggestions et ils seront
examinés pour une possible inclusion dans les prochaines versions de ce
manuel.
Ce manuel a été lancé en tant que HOWTO par Alexander Reelsen. Après sa publication
sur Internet, Javier Fernández-Sanguino
Peña l'a incorporé dans le Projet de Documentation Debian. Un
certain nombre de personnes ont contribué à ce manuel (la liste de toutes les
contributions est dans le journal de modifications), mais les personnes
suivantes méritent une mention spéciale car elles ont fourni des
contributions significatives (des sections, chapitres ou annexes
complets) :
Stefano Canepa ;
Era Eriksson ;
Carlo Perassi ;
Alexandre Ratti ;
Jaime Robles ;
Yotam Rubin ;
Frederic Schutz ;
Pedro Zorzenon Neto ;
Oohara Yuuma ;
Davor Ocelic.
Vous pouvez télécharger ou consulter la dernière version du manuel de
sécurisation Debian sur le site du projet de
documentation de Debian. Si vous lisez une copie depuis un autre
site, veuillez vérifier la version d'origine au cas où elle fournirait des
informations plus récentes. Si vous lisez une traduction, veuillez vérifier
que la version à laquelle se réfère cette traduction est la dernière
version disponible. Si vous notez que la version est en retard, veuillez
utiliser la version d'origine ou consultez le Journal
des modifications et historique, Section 1.6 pour voir ce qui a changé.
Si vous désirez obtenir une copie complète de ce manuel, vous pouvez
télécharger le document au format
texte ou au format
PDF depuis le site du projet de documentation Debian. Ces versions
peuvent être plus utiles si vous avez l'intention de copier le document vers
une machine portable pour lecture hors ligne ou si vous voulez l'imprimer.
Soyez prévenu que le manuel fait plus de deux cents pages et que certains des
fragments de code, à cause des outils de formatage utilisés, ne sont pas
coupés dans la version PDF et peuvent donc s'imprimer de façon incomplète.
Le document est également fourni aux formats texte, HTML et PDF dans le paquet
harden-doc.
Cependant, notez que le paquet peut ne pas être tout à fait à jour par
rapport au document fourni sur le site Debian (mais vous pouvez toujours
utiliser le paquet source pour construire vous-même une version à jour).
Ce document fait partie des documents distribués par le Projet de documentation
Debian. Les modifications introduites à ce document sont
consultables à l'aide d'un navigateur web depuis les journaux
en ligne du système de gestion de version. Vous pouvez aussi
obtenir l'intégralité du code en utilisant Subversion :
svn co svn://svn.debian.org/svn/ddp/manuals/trunk/securing-howto/
Maintenant, la partie officielle. Pour l'instant, c'est Alexander Reelsen qui a écrit la plupart des paragraphes de ce manuel mais, selon lui, cela devrait évoluer. Il a grandi et vécu avec les logiciels libres : « c'est une part de ma vie quotidienne et, j'espère, de la vôtre aussi ». Il encourage chacun à lui envoyer ses réactions, astuces, ajouts ou suggestions.
Si vous pensez que vous pouvez vous occuper d'une partie en particulier ou d'un paragraphe, écrivez au responsable du document. Cela sera apprécié ! En particulier, si vous trouvez une section estampillée « FIXME », qui signifie que les auteurs n'ont pas eu le temps ou les connaissances requises pour s'en occuper, envoyez-leur un courrier immédiatement.
Le thème de ce manuel fait clairement comprendre qu'il est important de tenir ce manuel à jour ; vous pouvez apporter votre pierre à l'édifice. S'il vous plaît, aidez-nous.
L'installation de Debian GNU/Linux n'est pas très difficile et vous avez sans doute été capable de l'installer. Si vous disposez déjà de connaissances concernant Linux ou d'autres systèmes UNIX et si vous êtes quelque peu familier avec les problèmes élémentaires de sécurité, il vous sera plus facile de comprendre ce manuel, car ce document ne peut pas entrer dans tous les petits détails (sans quoi cela aurait été un livre plutôt qu'un manuel). Si vous n'êtes pas si familier que cela avec ces systèmes, vous pouvez consulter Être conscient des problèmes de sécurité, Section 2.2 pour savoir où trouver des informations plus approfondies sur le sujet.
Cette section décrit toutes les choses à corriger dans ce manuel. Certains paragraphes incluent des marques FIXME ou TODO décrivant quel contenu est manquant (ou quel type de travail doit être réalisé). Le but de cette section est de décrire toutes les choses qui devraient être incluses à l'avenir dans le manuel ou les améliorations à faire (ou qu'il serait intéressant d'ajouter).
Si vous pensez que vous pouvez apporter une contribution au contenu en corrigeant tout élément de cette liste (ou des annotations dans le texte lui-même), veuillez contacter l'auteur principal (Auteurs, Section 1.1).
Ce document doit encore être mis à jour en fonction des dernières publications de Debian. La configuration par défaut de certains paquets doit être adaptée car elles ont été modifiées depuis que ce document a été écrit.
Développer les informations sur la réponse aux incidents, peut-être ajouter
quelques idées dérivées du Guide de la sécurité de Red Hat au chapitre
sur la réponse aux incidents.
Écrire sur les outils de surveillance à distance (pour vérifier la
disponibilité du système) tels que monit,
daemontools et mon. Consultez http://linux.oreillynet.com/pub/a/linux/2002/05/09/sysadminguide.html.
Envisager la rédaction d'une section sur la construction d'applications
orientées réseau pour Debian (avec des informations telles que le système de
base, equivs et FAI).
Vérifier si http://www.giac.org/practical/gsec/Chris_Koutras_GSEC.pdf
n'a pas d'informations pertinentes non traitées ici.
Ajouter des informations sur la manière de configurer un portable avec Debian
http://www.giac.org/practical/gcux/Stephanie_Thomas_GCUX.pdf.
Comment mettre en place un pare-feu en utilisant Debian GNU/Linux. La section sur les pare-feu concerne actuellement un système isolé (pas de protection d'autres machines, etc.). Comment tester la configuration.
Paramétrage d'un serveur mandataire pare-feu avec Debian GNU/Linux et faire un
état des lieux des paquets fournissant des services proxy (tels que
xfwp, ftp-proxy, redir,
smtpd, dnrd, jftpgw, oops,
pdnsd, perdition, transproxy,
tsocks). Renvoi au manuel pour toute autre information.
Considérer également que zorp est maintenant disponible comme
paquet Debian et qu'il s'agit d'un mandataire pare-feu (il existe
également des paquets Debian fournis par les auteurs).
Informations sur la configuration des services avec file-rc.
Vérifier toutes les URLs et supprimer ou corriger celles qui ne sont plus disponibles.
Ajouter des informations sur les substituts de serveurs typiques (disponibles dans Debian) qui fournissent des fonctionnalités restreintes. Par exemple :
lpr local par CUPS (paquet) ? ;
lrp distant par lpr ;
BIND par dnrd/maradns ;
Apache par dhttpd/thttpd/wn (tux?) ;
Exim/Sendmail par ssmtpd/smtpd/postfix ;
Squid par tinyproxy ;
ftpd par oftpd/vsftpd ;
etc.
De plus amples informations concernant les correctifs spécialisés dans la sécurité du noyau dans Debian, incluant ceux montrés ci-dessus et ajouter des informations spécifiques sur la façon d'activer ces correctifs dans un système Debian.
Linux Intrusion Detection (kernel-patch-2.4-lids) ;
Linux Trustees (paquet trustees) ;
linux-patch-openswan.
Précisions sur l'arrêt de services réseaux inutiles (outre
inetd) ; c'est en partie dans la procédure de consolidation
mais pourrait être élargi un petit peu.
Informations sur le renouvellement des mots de passe ; c'est étroitement lié à la politique mise en place.
Politique de sécurité et formation des utilisateurs.
Davantage à propos de tcpwrappers, et de l'encapsulation en général ?
hosts.equiv et d'autres trous de sécurité majeurs.
Problèmes avec les serveurs de partage de fichiers tels que Samba et NFS ?
suidmanager/dpkg-statoverrides.
lpr et lprng.
Désactiver les outils GNOME qui utilisent IP.
Parler de pam_chroot (consultez http://lists.debian.org/debian-security/2002/debian-security-200205/msg00011.html)
et de son utilité pour restreindre les utilisateurs. Introduire les
informations relatives à http://online.securityfocus.com/infocus/1575.
pdmenu, par exemple, est disponible dans Debian (alors que flash
ne l'est pas).
Parler des services « chrootés », plus d'informations sur http://www.linuxfocus.org/English/January2002/article225.shtml.
Parler des programmes pour faire des « prisons » chroot.
compartment et chrootuid sont en attente dans
incoming. D'autres (makejail, jailer) pourraient aussi être présentés.
Plus d'informations concernant les logiciels d'analyse de journaux
(c'est-à-dire logcheck et logcolorise).
Routage « avancé » (la politique de trafic concerne la sécurité).
Restreindre SSH pour qu'il puisse uniquement exécuter certaines
commandes.
Utilisation de dpkg-statoverride.
Moyens sûrs de partager un graveur de CD parmi les utilisateurs.
Moyens sûrs de fournir du son en réseau en plus des possibilités d'affichage en réseau (pour que le son des clients X soit envoyé sur le périphérique de son du serveur X).
Sécurisation des navigateurs web.
Configurer FTP au travers de SSH.
Utilisation des systèmes de fichiers « loopback » chiffrés.
Chiffrement entier du système de fichiers.
Outils stéganographiques.
Configurer une autorité de clefs publiques (PKA) pour une organisation.
Utiliser LDAP pour gérer les utilisateurs. Il y a un HOWTO sur ldap+kerberos
pour Debian écrit par Turbo Fredrikson et disponible à http://www.bayour.com/LDAPv3-HOWTO.html.
Comment enlever des informations non essentielles sur les systèmes de
production tels que /usr/share/doc, /usr/share/man
(oui, sécurité par obscurité).
Plus d'informations sur lcap basées sur le fichier README des paquets (pas
encore tout à fait présent, consultez le bogue
nº 169465) et à partir de l'article de LWN : Kernel development.
Ajouter l'article de Colin sur la façon de configurer un environnement chroot
pour un système Sid complet (http://people.debian.org/~walters/chroot.html).
Ajouter des informations sur l'exécution de plusieurs senseurs
snort dans un système donné (vérifier les rapports de bogues
envoyés à snort).
Ajouter des informations sur la mise en place d'un pot de miel
(« honeypot ») avec le paquet honeyd.
Décrire la situation relative à FreeSwan (abandonné) et OpenSwan. La section VPN a besoin d'être récrite.
Ajouter une section spécifique à propos des bases de données, l'installation par défaut et sur la façon de sécuriser les accès.
Ajouter une section sur l'utilité des serveurs virtuels (Xen, Vserver, etc.).
Expliquer comment utiliser plusieurs vérificateurs d'intégrité tels que
aide, integrit ou samhain. La base est
très simple à expliquer et permet de personnaliser la configuration par
défaut.
Modifications de Javier Fernández-Sanguino Peña.
Indication que le document n'est pas mis à jour avec les dernières versions.
Mise à jour des liens vers l'emplacement actuel des sources.
Mise à jour des renseignements de sécurité pour les publications les plus récentes.
Lien vers des renseignements pour les développeurs sur les sources en ligne au lieu de les garder dans ce document pour éviter les doublons.
Correction de l'exemple de script en annexe.
Correction d'erreurs de référence.
Modifications de Javier Fernández-Sanguino Peña.
Modification de la référence au site web de Log Analysis car il n'est plus disponible.
Modifications de Javier Fernández-Sanguino Peña.
Modification de la section indiquant comment choisir un système de fichiers. ext3 est maintenant le système de fichiers par défaut.
Modification du nom des paquets relatifs à Enigmail pour correspondre aux modifications de nom introduites dans Debian.
Modifications de Javier Fernández-Sanguino Peña.
Changement de l'URL pointant sur Bastille Linux car le domaine a été acheté par un
cybersquatter.
Correction des liens sur les vers Linux dénommés Ramen et Lion.
Utilisation de linux-image dans les exemples à la place de l'ancien paquet kernel-image.
Corrections typographiques indiquées par Francesco Poli.
Modifications de Javier Fernández-Sanguino Peña.
Mise à jour des informations au sujet des mises à jour de sécurité.
Abandon du texte parlant de Tiger. Inclusion d'informations sur
les outils update-notifier et adept (pour les
stations) ainsi que debsecan. Ajout de quelques liens vers
d'autres outils disponibles.
Division des applications de pare-feu selon les utilisateurs cibles et ajout de fireflier à la liste des applications de pare-feu pour postes de travail.
Retrait des références à libsafe, un paquet retiré du dépôt de Debian (en janvier 2006).
Correction de l'emplacement du fichier de configuration de syslog. Merci à John Talbut.
Changements par Javier Fernández-Sanguino Peña. Merci à Francesco Poli pour sa révision étendue du document.
Retrait de la plupart des références à la version Woody car elle n'est plus disponible dans le dépôt principal et que le suivi en sécurité n'est plus disponible pour celle-ci.
Description de la restriction des utilisateurs pour qu'ils ne puissent faire que des transferts de fichiers.
Ajout d'une note au sujet de la décision de déclassification de debian-private.
Mise à jour du lien sur les guides de gestion des incidents.
Ajout d'une note indiquant que les outils de développement (compilateurs, etc.) ne sont plus installés par défaut dans Etch.
Correction des références sur le serveur maître de sécurité.
Ajout de références vers de la documentation supplémentaire d'apt sécurisé.
Amélioration de la description des signatures APT.
Mise en commentaire de points qui ne sont pas encore finalisés au sujet des clefs publiques des miroirs officiels.
Correction du nom de l'équipe de sécurité Debian Testing (Debian Testing Security Team).
Retrait d'une référence à Sarge dans un exemple.
Mise à jour de la section sur les antivirus : clamav est maintenant disponible depuis Etch. Mention de l'installateur pour f-prot.
Retrait de toutes les références à freeswan, car il est désuet.
Description des problèmes liés aux changements des règles de firewall à distance et quelques conseils en notes de bas de page.
Mise à jour des informations sur l'installation d'IDS, mentionner BASE et la nécessité de mettre en place une base de données d'audit.
Réécriture de la section « lancer bind par un utilisateur non superutilisateur » car cela ne s'applique plus à BIND 9. Retrait de la référence au script init.d car les configurations doivent être faites à l'aide de /etc/default/.
Retrait de la méthode désuète de mise en place des règles d'iptables, car Woody n'est plus maintenu.
Retrait du conseil à propos de LOG_UNKFAIL_ENAB. Il devrait être positionné à 'no' (la valeur par défaut).
Ajout de plus d'informations au sujet de la mise à jour du système avec les outils de station de travail (y compris update-notifier) et description de l'utilisation d'aptitude pour mettre le système à jour. Noter aussi que dselect est déprécié.
Mise à jour du contenu de la FAQ et retrait de paragraphes redondants.
Relecture et mise à jour de la section sur les analyses post mortem de malwares.
Retrait ou correction de quelques liens morts.
Correction de nombreuses erreurs typographiques et grammaticales mentionnées par Francesco Poli.
Modifications de Javier Fernández-Sanguino Peña.
Ajout d'exemples d'utilisation de l'option rdepends d'apt-cache
tel que suggéré par Ozer Sarilar.
Correction de l'emplacement du manuel de l'utilisateur de Squid après qu'Oskar Pearson (son responsable) nous ait informé de son déplacement.
Correction des informations au sujet d'umask. C'est dans logins.defs (et non pas limits.conf) que cela peut être configuré pour toutes les connexions. Préciser les valeurs par défaut de Debian et suggérer des valeurs plus restrictives pour les utilisateurs et le superutilisateur. Merci à Reinhard Tartler pour avoir détecté cette erreur.
Modifications de Javier Fernández-Sanguino Peña.
Ajout d'informations sur le suivi des vulnérabilités de sécurité et ajout de références à propos du système de suivi en sécurité de Debian testing.
Ajout d'informations sur le suivi en sécurité pour Debian testing.
Correction d'un grand nombre d'erreurs typographiques à partir de correctifs fournis par Simon Brandmair.
Ajout d'une section rédigée par Max Attems sur la façon de désactiver la console de superutilisateur avec initramfs.
Retrait des références à queso.
Signalement dans l'introduction que testing est maintenant suivie par l'équipe de sécurité de Debian.
Modifications de Javier Fernández-Sanguino Peña.
Réécriture de la mise en place de prisons (chroot) SSH pour clarifier les différentes options disponibles. Merci à Bruce Park avoir fait remarquer diverses erreurs dans cette annexe.
Correction des appels de lsof tel que suggéré par Christophe
Sahut.
Inclusion des correctifs d'Uwe Hermann corrigeant plusieurs erreurs typographiques.
Correction d'une erreur typographique soulignée par Moritz Naumann dans une référence.
Modifications de Javier Fernández-Sanguino Peña.
Ajout d'une section sur les meilleures techniques de sécurité recommandées aux développeurs de Debian.
Ajout de commentaires au script d'un pare-feu par WhiteGhost.
Modifications de Javier Fernández-Sanguino Peña.
Inclusion de correctifs de Thomas Sjögren qui expliquent que noexec fonctionne avec les « nouveau » noyaux. Ajout d'informations à propos de la gestion des fichiers temporaires ainsi que des liens vers de la documentation externe.
Ajout d'un lien vers le site de Dan Farmer et Wietse Venema sur l'analyse post mortem, tel que suggéré par Freek Dijkstra. Ajout de quelques liens additionnels sur l'analyse post mortem.
Correction de l'URL du site italien du CERT. Merci à Christoph Auer.
Réutilisation des informations du wiki de Joey Hess sur apt sécurisé et insertion dans la section sur les infrastructures.
Révision des sections se référant à d'anciennes versions (Woody ou Potato).
Correction de quelques problèmes esthétiques avec les correctifs proposés par Simon Brandmair.
Inclusion des correctifs de Carlo Perassi : les extraits de code sur les
ACL sont désuets, les correctifs pour Openwall sont également désuets.
Retrait des notes FIXME à propos des noyaux 2.2 et 2.4, hap
est désuet (et absent du WNPP), retrait des références à Immunix
(StackGuard appartient maintenant à Novell) et résolution d'un FIXME à
propos de l'utilisation de bsign et elfsign.
Mise à jour des références au site Internet de SELinux afin qu'elles pointent vers le wiki (présentement la source d'informations la plus à jour).
Ajout de balises de fichiers et utilisation plus constante de l'expression « somme MD5 » avec un correctif de Jens Seidel.
Correctifs de Joost van Baal améliorant les informations dans la section sur les pare-feu (lien vers le wiki au lieu de faire une liste de tous les paquets disponibles sur les pare-feu). Ferme le bogue nº 339865.
Révision de la FAQ sur les statistiques sur les vulnérabilités. Merci à Carlos Galisteo de Cabo d'avoir mentionné que l'information n'était plus à jour.
Citation d'extraits du Contrat social Debian 1.1 au lieu de 1.0, tel que suggéré par Francesco Poli.
Modifications de Javier Fernández-Sanguino Peña.
Note sur la section SSH que le chroot ne fonctionnera pas si vous utilisez l'option nodev dans la partition et indication des derniers paquets ssh avec le correctif chroot, merci à Lutz Broedel d'avoir signalé ces problèmes.
Correction de faute de frappe remarquée par Marcos Roberto Greiner (md5sum devrait être sha1sum dans l'extrait de code).
Inclusion du correctif de Jens Seidel corrigeant un certain nombre de noms de paquets et de fautes de frappe.
Légère mise à jour de la section d'outils, suppression des outils plus disponibles et ajout de nouveaux outils.
Réécriture de parties de la section liée à l'endroit où trouver ce document et des formats disponibles (le site web fournit une version PDF). Note également sur le fait que les copies sur d'autres sites et les traductions peuvent être désuètes (la plupart des liens fournis par Google pour le manuel sur d'autres sites sont vraiment obsolètes).
Modifications de Javier Fernández-Sanguino Peña.
Amélioration des renforcements de sécurité post-installation liés à la configuration du noyau pour la protection au niveau réseau avec un fichier sysctl.conf fourni par Will Moy.
Amélioration de la section gdm, grâce à Simon Brandmair.
Corrections de faute de frappe de Frédéric Bothamy et Simon Brandmair.
Améliorations des sections post-installation liées à la façon de générer les sommes MD5 (ou SHA-1) des binaires pour vérification périodique.
Mise à jour des sections post-installation concernant la configuration checksecurity (qui était obsolète).
Modifications de Javier Fernández-Sanguino Peña.
Ajout d'un extrait de code pour utiliser grep-available pour générer la liste des paquets dépendant de Perl. Comme demandé dans le bogue nº 302470.
Réécriture de la section sur les services réseau (quels sont les services installés et comment les désactiver).
Ajout de plus d'informations sur la section de déploiement des pots de miel mentionnant des paquets Debian utiles.
Modifications de Javier Fernández-Sanguino Peña.
Extension de la section sur les limites de la configuration de PAM.
Ajout d'informations sur la façon d'utiliser pam_chroot pour openSSH (basé sur le README de pam_chroot).
Correction de problèmes mineurs signalés par Dan Jacobson.
Mise à jour des informations sur les correctifs du noyau basées sur un correctif de Carlo Perassi et également en ajoutant des notes sur les programmes obsolètes et les nouveaux correctifs de noyau disponibles (Adamantix).
Inclusion d'un correctif de Simon Brandmair qui corrige une phrase liée aux échecs de connexion dans un terminal.
Ajout de Mozilla/Thunderbird aux agents GPG valables comme suggéré par Kapolnai Richard.
Expansion de la section sur les mises à jour de sécurité en mentionnant les mises à jour de bibliothèques et de noyau et sur la façon de détecter quand les services doivent être redémarrés.
Réécriture de la section sur les pare-feu, déplacement vers le bas des informations qui s'appliquent à Woody et expansion des autres sections incluant des informations sur la façon de mettre en place manuellement le pare-feu (avec un exemple de script) et sur la façon de tester la configuration du pare-feu.
Ajout d'informations préparatoires pour la version 3.1 de Debian.
Ajout d'informations plus détaillées sur les mises à jour du noyau, particulièrement destinées à ceux qui ont utilisé l'ancien système d'installation.
Ajout d'une petite section sur la version 0.6 d'apt expérimentale qui fournit des vérifications de signature de paquets. Déplacement de l'ancien contenu dans la section et également ajout d'un pointeur vers les changements réalisés dans aptitude.
Corrections de fautes de frappe signalées par Frédéric Bothamy.
Modifications de Javier Fernández-Sanguino Peña.
Ajout de clarification sur /usr en lecture seule avec un correctif de Joost van Baal.
Application d'un correctif de Jens Seidel corrigeant plusieurs fautes de frappe.
FreeSWAN est mort, longue vie à OpenSWAN.
Ajout d'informations sur la restriction d'accès aux services RPC (quand ils ne peuvent pas être désactivés), également inclusion d'un correctif fourni par Aarre Laakso.
Mise à jour du script apt-check-sigs d'aj.
Application du correctif de Carlo Perassi corrigeant des URL.
Application du correctif de Davor Ocelic corrigeant beaucoup d'erreurs, de fautes de frappe, URL, erreurs de grammaire et FIXME. Ajout également de plusieurs informations supplémentaires pour certaines sections.
Réécriture de la section sur l'audit utilisateur, mise en évidence de l'utilisation de script qui n'a pas certains des problèmes associés à l'historique du shell.
Modifications de Javier Fernández-Sanguino Peña.
Réécriture des informations sur l'audit utilisateur et inclusion d'exemples sur la façon d'utiliser script.
Modifications de Javier Fernández-Sanguino Peña.
Ajout d'informations sur des références dans la compatibilité entre DSA et CVE.
Ajout d'informations sur apt 0.6 (apt sécurisé intégré dans experimental).
Correction de l'emplacement du HOWTO Chroot des démons comme suggéré par Shuying Wang.
Modification de la ligne APACHECTL dans l'exemple de chroot Apache (même si elle n'est pas du tout utilisé) comme suggéré par Leonard Norrgard.
Ajout d'une note concernant les attaques de liens directs (« hardlink ») si les partitions ne sont pas mises en place correctement.
Ajout de certaines étapes manquantes pour exécuter bind comme named tel que fourni par Jeffrey Prosa.
Ajout de notes à propos de l'obsolescence de Nessus et de Snort dans Woody et disponibilité de paquets rétroportés.
Ajout d'un chapitre concernant des vérifications de test d'intégrité périodiques.
Clarification de l'état de testing concernant les mises à jour de sécurité. (bogue Debian nº 233955).
Ajout d'informations concernant les contenus attendus dans securetty (comme c'est spécifique au noyau).
Ajout de pointeur pour snoopylogger (bogue Debian nº 179409).
Ajout d'une référence sur guarddog (bogue Debian nº 170710).
apt-ftparchive est dans apt-utils, pas dans
apt (merci à Emmanuel Chantreau pour l'avoir signalé).
Suppression de jvirus de la liste des antivirus.
Modifications de Javier Fernández-Sanguino Peña.
Correction de l'URL comme suggéré par Frank Lichtenheld.
Correction d'une faute de frappe PermitRootLogin comme suggéré par Stefan Lindenau.
Modifications de Javier Fernández-Sanguino Peña.
Ajout des personnes qui ont contribué significativement à ce manuel (merci de m'envoyer un message si vous pensez que vous devriez être dans la liste et que vous n'y êtes pas).
Ajout de quelques bla-bla à propos des FIXME/TODO.
Déplacement des informations sur les mises à jour de sécurité au début de la section comme suggéré par Elliott Mitchell.
Ajout de grsecurity à la liste des kernel-patches pour la sécurité, mais ajout d'une note sur les problèmes actuels avec celui-ci comme suggéré par Elliott Mitchell.
Suppression de boucles (echo to 'all') dans le script de sécurité réseau du noyau comme suggéré par Elliott Mitchell.
Ajout de plus d'informations (à jour) dans la section antivirus.
Réécriture de la section de protection des dépassements de tampon et ajout de plus d'informations sur les correctifs pour le compilateur pour activer ce type de protection.
Modifications de Javier Fernández-Sanguino Peña.
Suppression (et nouvel ajout) de l'annexe sur Apache dans un chroot. L'annexe est maintenant sous une double licence.
Modifications de Javier Fernández-Sanguino Peña.
Corrections de fautes signalées par Leonard Norrgard.
Ajout d'une section sur la façon de contacter le CERT pour la gestion
d'incident (#after-compromise).
Plus d'informations sur la mise en place d'un serveur mandataire (« proxy ») Squid.
Ajout d'un pointeur et suppression d'un FIXME grâce à Helge H. F.
Correction d'une faute (save_inactive) signalée par Philippe Faes.
Corrections de plusieurs fautes signalées par Jaime Robles.
Modifications de Javier Fernández-Sanguino Peña.
Selon les suggestions de Maciej Stachura, j'ai développé la section sur les limitations pour les utilisateurs.
Correction d'une faute signalée par Wolfgang Nolte.
Correction de liens avec un correctif fourni par Ruben Leote Mendes.
Ajout d'un lien vers l'excellent document de David Wheeler dans la note sur le décompte des failles de sécurité.
Modifications de Frédéric Schütz.
Réécriture complète de la section sur les attributs ext2 (lsattr/chattr).
Modifications de Javier Fernández-Sanguino Peña et Frédéric Schütz.
Fusion de la section 9.3 (« correctifs noyau utiles ») dans la section 4.13 (« Ajouter des correctifs noyau ») et ajout d'un peu de contenu.
Ajout de quelques TODO supplémentaires.
Ajout d'informations sur la façon de vérifier manuellement les mises à jour et également sur cron-apt. Ainsi Tiger n'est plus vu comme le seul moyen de faire des vérifications de mises à jour automatiques.
Légère réécriture de la section sur l'exécution des mises à jour de sécurité grâce aux commentaires de Jean-Marc Ranger.
Ajout d'une note sur l'installation de Debian (qui suggérera à l'utilisateur une mise à jour de sécurité juste après l'installation).
Modifications de Javier Fernández-Sanguino Peña (moi).
Ajout d'un correctif proposé par Frédéric Schütz.
Ajout de quelques références supplémentaires sur les capacités grâce à Frédéric.
Modifications légères sur la section bind par l'ajout d'une référence à la documentation en ligne de BIND 9 et de références correctes dans la première zone (Salut Pedro !)
Correction de la date du journal de modifications – nouvelle année :-).
Ajout d'une référence aux articles de Colin pour les TODO.
Suppression de la référence à d'anciens correctifs SSH+chroot.
Correctifs additionnels de Carlo Perassi.
Corrections de fautes (récursif dans BIND est récursion) signalées par Maik Holtkamp.
Modifications de Javier Fernández-Sanguino Peña (moi).
Réorganisation des informations sur chroot (fusion de deux sections, cela n'avait pas de sens de les garder séparées).
Ajout de notes sur le chroot d'Apache fournies par Alexandre Ratti.
Application de correctifs proposés par Guillermo Jover.
Modifications de Javier Fernández-Sanguino Peña (moi).
Application des correctifs de Carlo Perassi, corrections incluant : modification de la longueur de lignes, correction d'URL, et correction de certains FIXME.
Mise à jour du contenu de la FAQ de l'équipe en charge de la sécurité de Debian.
Ajout d'un lien vers la FAQ de l'équipe en charge de la sécurité de Debian et la référence du développeur Debian, les sections dupliquées pourraient (juste pourraient) être supprimées à l'avenir.
Correction de la section d'audit manuel avec les commentaires de Michal Zielinski.
Ajout d'un lien vers des dictionnaires (contribution de Carlo Perassi).
Correction de quelques erreurs de frappe (il en reste encore plein).
Correction des liens TDP conformément à la suggestion de John Summerfield.
Modifications de Javier Fernández-Sanguino Peña (moi). Note : j'ai encore beaucoup de modifications qui sont stockées dans ma boîte de réception (ce qui représente en ce moment environ 5 Mo) à intégrer.
Correction de quelques fautes qui ont été signalées par Tuyen Dinh, Bartek Golenko et Daniel K. Gebhart.
Note concernant les rootkits utilisant /dev/kmem suggérée par Laurent Bonnaud.
Correction de fautes et de FIXME par Carlo Perassi.
Modifications de Chris Tillman, tillman@voicetrak.com.
Modifications pour améliorer la grammaire et l'orthographe.
s/host.deny/hosts.deny/ (1 endroit).
Application du correctif de Larry Holish (assez gros, corrige de nombreux FIXME).
Modifications de Javier Fernández-Sanguino Peña (moi).
Corrections de quelques fautes signalées par Thiemo Nagel.
Ajout d'une note de bas de page sur les conseils de Thiemo Nagel.
Corrige une URL.
Modifications de Javier Fernández-Sanguino Peña (moi). Il y avait beaucoup de choses en attente dans ma boîte de réception (depuis février), je vais donc appeler cela la version retour de lune de miel :).
Application d'un correctif fourni par Philipe Gaspar concernant Squid qui supprime aussi un FIXME.
Encore une autre FAQ concernant les bannières de services provenant de la liste de diffusion debian-security (discussion « Telnet information » démarrée le 26 juillet 2002).
Ajout d'une note concernant l'utilisation des références croisées CVE dans l'élément de la FAQ En combien de temps l'équipe en charge de la sécurité de Debian...
Ajout d'une nouvelle section concernant les attaques ARP fournie par Arnaud « Arhuman » Assad.
Nouvelle FAQ concernant dmesg et le démarrage en mode console par le noyau.
Petites parcelles d'informations sur les problèmes de vérification de signature dans les paquets (il semble qu'ils n'aient pas passé le stade de la version bêta).
Nouvelle FAQ concernant les faux positifs des outils d'évaluation de vulnérabilité.
Ajout de nouvelles sections au chapitre qui contient des informations sur les signatures de paquet et réorganisation en un nouveau chapitre Infrastructure de sécurité Debian.
Nouvel élément de FAQ concernant Debian et les autres distributions Linux.
Nouvelle section sur les clients de messagerie avec des fonctionnalités GPG/PGP dans le chapitre outils de sécurité.
Clarification sur la manière d'activer les mots de passe MD5 dans Woody, ajout d'un lien vers PAM ainsi qu'une note concernant la définition de max dans PAM.
Ajout d'une nouvelle annexe sur la façon de créer des environnements
« chroot » (après avoir joué un peu avec makejail et
avoir aussi corrigé quelques-uns de ses bogues), intégration des informations
dupliquées dans toutes les annexes.
Ajout d'informations complémentaires concernant le « chrootage »
de SSH et de son impact sur les transferts sécurisés de
fichiers. Certaines informations ont été récupérées de la liste de
diffusion debian-security (juin 2002 discussion : Secure file
transfers).
Nouvelles sections sur la mise à jour automatique des systèmes Debian ainsi que les dangers d'utiliser la distribution « testing » ou la distribution « unstable » du point de vue des mises à jour de sécurité.
Nouvelle section, concernant la manière de rester à jour avec la mise en place de correctifs de sécurité, dans la section avant la compromission ainsi qu'une nouvelle section sur la liste de diffusion debian-security-announce.
Ajouts d'informations sur la manière de créer automatiquement des mots de passe sûrs.
Nouvelle section relative à la connexion des utilisateurs oisifs (idle).
Réorganisation de la section sécurisation du serveur de mail suite à la discussion Secure/hardened/minimal Debian (ou « Why is the base system the way it is? » : pourquoi le système de base est-il comme ça ?) sur la liste de diffusion debian-security (mai 2002).
Réorganisation de la section sur les paramètres réseau du noyau, avec les informations fournies par la liste de diffusion debian-security (mai 2002, discussion syn flood attacked?) et ajout d'un nouvel élément de FAQ.
Nouvelle section sur la manière de vérifier les mots de passe des utilisateurs et quels paquets utiliser pour cela.
Nouvelle section sur le chiffrement PPTP avec les clients Microsoft discuté sur la liste de diffusion debian-security (avril 2002).
Ajout d'une nouvelle section décrivant les problèmes qui peuvent survenir lorsque l'on attribue une adresse IP spécifique pour chaque service, cette information a été écrite d'après une discussion qui s'est tenue sur la liste de diffusion de Bugtraq : Linux kernel 2.4 "weak end host" issue (discuté précédemment sur debian-security sous le titre « arp problem ») (démarré le 9 mai 2002 par Felix von Leitner).
Ajout d'informations sur le protocole SSH version 2.
Ajout de deux sous-sections relatives à la configuration sécurisée d'Apache (c'est-à-dire, les éléments spécifiques à Debian).
Ajout d'une nouvelle FAQ traitant des « raw sockets », une relative à /root, une partie traitant des groupes d'utilisateurs et une autre traitant des permissions des journaux et des permissions des fichiers de configuration.
Ajout d'un lien vers un bogue dans libpam-cracklib qui pourrait encore être présent... (besoin de vérifier).
Ajout de plus d'informations sur l'analyse avancée (en attente de plus de
renseignements sur les outils d'inspection de paquet tels que
tcpflow).
Transformation de « Que dois-je faire concernant la compromission » en une série d'énumérations et en y ajoutant plus d'éléments.
Ajout d'informations sur la configuration de Xscreensaver pour verrouiller l'écran automatiquement après une durée donnée.
Ajout d'une note sur les utilitaires que vous ne devriez pas installer sur un système. Inclusion d'une note concernant Perl et pourquoi il ne peut pas être retiré facilement de Debian. L'idée vient de la lecture des documents d'Intersect concernant le renforcement de Linux.
Ajout d'informations sur lvm et les systèmes de fichiers journalisés, ext3 est préconisé. Les informations pourraient cependant y être trop génériques.
Ajout d'un lien sur la version texte disponible en ligne (à vérifier).
Ajout d'informations additionnelles sur la protection par pare-feu d'un système local, faisant suite à un commentaire d'Hubert Chan sur la liste de diffusion.
Ajout d'informations sur les limites de PAM et de liens vers les documents de Kurt Seifried (relatifs à un de ses messages sur Bugtraq le 4 avril 2002 répondant à une personne qui « découvrit » une vulnérabilité dans Debian GNU/Linux relative à l'insuffisance de ressources).
Comme suggéré par Julián Muñoz, ajout d'informations supplémentaires sur l'umask par défaut de Debian et ce à quoi un utilisateur peut accéder si on lui a donné une invite de commande sur le système (effrayant, non ?)
Inclusion d'une note dans la section du mot de passe BIOS suite à un commentaire d'Andreas Wohlfeld.
Inclusion des correctifs fournis par Alfred E. Heggestad corrigeant beaucoup de fautes encore présentes dans le document.
Ajout d'un lien vers le journal de modifications dans la section des remerciements car la plupart des personnes qui ont contribué sont cités ici (et pas là-bas).
Ajout de quelques notes complémentaires dans la section de chattr et d'une nouvelle section après l'installation qui parle des images systèmes. Les deux idées sont la contribution de Kurt Pomeroy.
Ajout d'une nouvelle section après l'installation juste pour rappeler aux utilisateurs de changer la séquence de démarrage.
Ajout d'éléments restant à faire (TODO) fournis par Korn Andras.
Ajout d'un lien vers les recommandations du NIST sur la manière de sécuriser un DNS. Cette contribution nous est fournie par Daniel Quinlan.
Ajout d'un petit paragraphe concernant l'infrastructure des certificats SSL de Debian.
Ajout des suggestions de Daniel Quinlan concernant l'authentification
SSH et la configuration d'Exim en relais.
Ajout de plus d'informations concernant la sécurisation de BIND incluant les modifications suggérées par Daniel Quinlan et une annexe avec un script pour faire quelques uns des changements commentés dans cette section.
Ajout d'un lien vers un autre élément concernant le « chrootage » de BIND (a besoin d'être fusionné).
Ajout d'une ligne de Cristian Ionescu-Idbohrn pour récupérer les paquets avec gestion des tcpwrappers.
Ajout d'un peu plus d'informations sur la configuration PAM par défaut de la Debian.
Inclusion d'une question dans la FAQ au sujet de l'utilisation de PAM pour fournir des services sans compte shell.
Déplacement de deux éléments de la FAQ dans une autre section et ajout d'une nouvelle FAQ concernant la détection des attaques (et des systèmes corrompus).
Inclusion d'informations sur la configuration d'un pont pare-feu (incluant une annexe d'exemple). Merci à François Bayart qui m'a envoyé ça en mars.
Ajout d'une FAQ concernant les MARK d'heartbeat dans le syslogd d'après une question à laquelle Noah Meyerhans et Alain Tesio ont répondu en décembre 2001.
Inclusion d'informations sur la protection contre les débordements de tampons ainsi que quelques informations sur les correctifs du noyau.
Ajout d'informations supplémentaires (et réorganisation) de la section pare-feu. Mise à jour des informations concernant le paquet iptables et les générateurs de pare-feu disponibles.
Réorganisation des informations concernant la vérification des journaux, déplacement des informations de logcheck sur la détection d'intrusion machine vers cette section.
Ajout d'informations sur la manière de préparer un paquet statique pour BIND dans l'optique d'un « chrootage » (non testé).
Ajout d'un élément de FAQ concernant certains serveurs/services spécifiques (pourrait être développé avec quelques unes des recommandations de la liste de diffusion debian-security).
Ajout d'informations sur les services RPC (et quand ils sont nécessaires).
Ajout de plus d'informations sur les capacités (« capabilities ») en matière de sécurité (et ce que fait lcap). Y a-t-il une bonne documentation sur ce sujet ? Je n'ai trouvé aucune documentation sur mon noyau 2.4.
Correction de fautes de frappes.
Modifications de Javier Fernández-Sanguino Peña.
Réécriture d'une partie de la section BIOS.
Modifications de Javier Fernández-Sanguino Peña.
Encadrement de la plupart des emplacements de fichiers par la balise « file ».
Correction de fautes signalées par Edi Stojicevi.
Légère modification de la section des outils d'audit distant.
Ajout d'éléments à faire.
Ajout d'informations concernant les imprimantes et du fichier de configuration de CUPS (tiré d'une discussion sur debian-security).
Ajout d'un correctif proposé par Jesus Climent concernant l'accès d'utilisateurs valables du système à ProFTPD quand il est configuré en serveur anonyme.
Petite modification aux schémas de partitionnement dans le cas particulier des serveurs de messagerie.
Ajout du livre « Hacking Linux Exposed » à la section des livres.
Correction d'une faute de frappe sur un répertoire signalée par Eduardo Pérez Ureta.
Correction d'une coquille dans /etc/ssh dans la liste de contrôle signalée par Edi Stojicevi.
Modifications de Javier Fernández-Sanguino Peña.
Correction de l'emplacement du fichier de configuration de dpkg.
Suppression d'Alexander des informations sur les contacts.
Ajout d'une autre adresse électronique.
Correction de l'adresse électronique d'Alexander (même si elle est commentée).
Correction de l'emplacement des clefs de versions (merci à Pedro Zorzenon pour avoir relevé cette erreur).
Modifications de Javier Fernández-Sanguino Peña.
Corrections de fautes, merci à Jamin W. Collins pour ces corrections.
Ajout d'une référence à la page de manuel d'apt-extracttemplate (documentation sur la configuration de APT::ExtractTemplate).
Ajout d'une section concernant la limitation de SSH. Informations basées sur celles qui ont été postées par Mark Janssen, Christian G. Warden et Emmanuel Lacour sur la liste de diffusion debian-security.
Ajout d'informations sur les logiciels antivirus.
Ajout d'une FAQ : journaux de su provenant du fait que cron fonctionne en tant que superutilisateur.
Modifications de Javier Fernández-Sanguino Peña.
Modifications du « FIXME » de lshell, merci à Oohara Yuuma.
Ajout d'un paquet sXid et retrait du commentaire étant donné qu'il est disponible.
De nombreuses fautes relevées par Oohara Yuuma ont été corrigées.
ACID est maintenant disponible dans Debian (dans le paquet acidlab).
Liens de LinuxSecurity corrigés (merci à Dave Wreski de nous l'avoir signalé).
Modifications de Javier Fernández-Sanguino Peña. « Je voulais passer à 2.0 quand tous les « FIXME » auraient été supprimés mais j'ai manqué de numéro dans la série 1.9X :( ».
Transformation du HOWTO en Manuel (maintenant je peux dire RTFM).
Ajout d'informations concernant l'encapsulation TCP et Debian (maintenant
plusieurs services sont compilés avec la prise en charge adéquate ;
ainsi cela n'est plus un problème d'inetd).
Clarification des informations sur la désactivation des services pour la rendre plus cohérente (les informations RPC se réfèrent toujours à update-rc.d).
Ajout d'une petite note sur lprn.
Ajout de quelques renseignements sur les serveurs corrompus (toujours très approximatif).
Corrections des fautes signalées par Mark Bucciarelli.
Ajout d'étapes supplémentaires sur la récupération des mots de passe lorsque l'administrateur a paramétré paranoid-mode=on.
Ajout d'informations pour paramétrer paranoid-mode=on lorsque l'on se connecte en mode console.
Nouveau paragraphe pour présenter la configuration des services.
Réorganisation de la section Après l'installation afin de permettre une lecture plus aisée du document.
Informations sur la manière de paramétrer des pare-feu avec l'installation standard de Debian 3.0 (paquet iptables).
Petit paragraphe détaillant pourquoi l'installation par le réseau n'est pas une bonne idée et comment on peut l'éviter en utilisant les outils Debian.
Petit paragraphe sur un article de l'IEEE qui souligne l'importance d'une application rapide des correctifs.
Annexe sur la manière de paramétrer une machine snort Debian, basé sur ce que Vladimir a envoyé à la liste de diffusion debian-security (le 3 septembre 2001).
Information sur la manière dont est configurée logcheck dans Debian et comment il peut être utilisé pour paramétrer HIDS.
Informations sur les comptes utilisateurs et sur les analyses de profils.
Inclusion de la configuration de apt.conf pour un /usr en lecture seule ; copié à partir du courrier d'Olaf Meeuwissen envoyé à la liste de diffusion debian-security.
Nouvelle section sur le VPN qui contient quelques liens ainsi que les paquets disponibles dans Debian (besoin de contenu concernant l'installation de VPN et les problèmes spécifiques à Debian) basé sur les courriers de Jaroslaw Tabor et Samuli Suonpaa postés sur la liste de diffusion debian-security.
Petite note concernant quelques programmes pour construire automatiquement des prisons « chrootées ».
Nouveau sujet de FAQ concernant identd d'après une discussion sur la liste de diffusion debian-security (février 2002, commencé par Johannes Weiss).
Nouveau sujet de FAQ concernant inetd d'après une discussion sur
la liste de diffusion debian-security (février 2002).
Note d'introduction sur rcconf dans la section « désactivation de services ».
Diverses approches concernant le LKM. Remerciements à Philipe Gaspar.
Ajouts de liens vers les documents du CERT et les ressources Couterpane.
Modifications de Javier Fernández-Sanguino Peña.
Ajout d'un nouveau sujet de FAQ concernant le temps de réaction à avoir pour corriger les failles de sécurité.
Réorganisation des sections de la FAQ.
Début d'une section concernant les pare-feu dans Debian GNU/Linux (pourrait être un peu élargie).
Corrections de fautes signalées par Matt Kraai.
Correction sur les informations DNS.
Ajout d'informations sur whisker et nbtscan à la section audit.
Correction d'URL erronées.
Modifications de Javier Fernández-Sanguino Peña.
Ajout d'une nouvelle section concernant l'utilisation de Debian GNU/Linux pour réaliser des audits.
Ajout de renseignements sur le démon finger d'après la liste de diffusion debian-security.
Modifications de Javier Fernández-Sanguino Peña.
Correction du lien pour Linux Trustees.
Correction de fautes (correctifs d'Oohara Yuuma et Pedro Zorzenon).
Modifications de Javier Fernández-Sanguino Peña.
Réorganisation de la section installation et suppression de services et ajout de nouvelles notes.
Ajout de quelques notes concernant l'utilisation d'outils tels que les outils de détection d'intrusion.
Ajout d'un chapitre concernant la signature de paquets.
Modifications de Javier Fernández-Sanguino Peña.
Ajout de notes concernant la sécurité de Squid envoyées par Philipe Gaspar.
Correction de liens rootkit. Merci à Philipe Gaspar.
Modifications de Javier Fernández-Sanguino Peña.
Ajout de quelques notes concernant Apache et Lpr/lpng.
Ajout d'informations concernant les partitions noexec et readonly.
Réécriture de la manière dont les utilisateurs peuvent aider aux problèmes liés à la sécurité Debian (sujet d'une FAQ).
Modifications de Javier Fernández-Sanguino Peña.
Correction de l'emplacement du programme mail.
Ajout de nouveaux sujets à la FAQ.
Modifications de Javier Fernández-Sanguino Peña.
Ajout d'une petite section sur la manière dont Debian s'occupe de la sécurité.
Clarification sur les mots de passe MD5 (merci à « rocky »).
Ajout d'informations concernant le renforcement de X par Stephen van Egmond.
Ajout de nouveaux sujets à la FAQ.
Modifications de Javier Fernández-Sanguino Peña.
Ajout d'informations détaillées envoyées par Yotam Rubin.
Ajout de renseignements sur la manière de mettre en place un « honeynet » en utilisant Debian GNU/Linux.
Ajout de TODO supplémentaires.
Correction de nouvelles fautes (merci Yotam !).
Modifications de Javier Fernández-Sanguino Peña.
Correction des « fautes d'orthographe » et nouvelles informations (contributions de Yotam Rubin).
Ajout de liens vers d'autres documents en ligne (et hors ligne) tous deux figurant dans la section (consultez Être conscient des problèmes de sécurité, Section 2.2).
Ajout d'informations sur la configuration d'options de BIND pour restreindre l'accès au serveur DNS.
Ajout d'informations sur la consolidation automatique d'un système Debian (par référence aux paquets harden et bastille).
Suppression de quelques TODO terminés et ajout de nouveaux.
Modifications de Javier Fernández-Sanguino Peña.
Ajout de la liste des utilisateurs et des groupes standards, donnée par Joey Hess à la liste de discussion debian-security.
Ajout d'informations sur les « rootkits » LKM (Loadable Kernel Modules (LKM), Section 10.4.1) avec la contribution de Philipe Gaspar.
Ajout d'informations sur ProFTPD avec la contribution d'Emmanuel Lacour.
Rajout de l'annexe « pense-bête » d'Era Eriksson.
Ajout de nouveaux TODO et retrait de ceux terminés.
Ajout manuel des correctifs d'Era car ils n'ont pas été inclus dans la version précédente.
Modifications d'Era Eriksson.
Fautes de frappes et changements de formulation.
Modifications de Javier Fernández-Sanguino Peña.
Changements mineurs de balises : supprimer les balises tt et les remplacer par les balises prgn/package.
Modifications de Javier Fernández-Sanguino Peña.
Ajout d'un lien sur le document publié dans le DDP (devrait à terme remplacer l'original).
Démarrage d'une mini-FAQ (qui devrait être élargie) avec quelques questions récupérées depuis ma boite de réception.
Ajout d'informations générales concernant la sécurisation.
Ajout d'un paragraphe au sujet de la distribution de courriers locaux.
Ajout de quelques liens vers d'autres sources d'informations.
Ajout d'informations sur le service d'impression.
Ajout d'une liste de tâches sur le renforcement de la sécurité.
Réorganisation des informations sur NIS et RPC.
Ajout de quelques notes lors de la lecture de ce document sur mon nouveau Visor :).
Correction de certaines lignes mal formatées.
Correction de fautes de frappes.
Ajout d'une idée Géniale/Paranoïaque avec la contribution de Gaby Schilders.
Modifications de Josip Rodin et Javier Fernández-Sanguino Peña.
Ajout de paragraphes concernant BIND et quelques FIXME.
Petit paragraphe sur la vérification des « setuid »
Différents nettoyages mineurs.
Découverte de la manière d'utiliser sgml2txt -f pour la version texte.
Ajout de mise à jour de sécurité après le paragraphe « après installation ».
Ajout d'un paragraphe ProFTPD.
Cette fois, quelque chose concernant XDM a réellement été écrit. Désolé pour la dernière fois.
Beaucoup de corrections grammaticales de James Treacy, nouveau paragraphe XDM.
Corrections de fautes de frappes, divers ajouts.
Première publication.
Alexander Reelsen qui a écrit le document original.
Javier Fernández-Sanguino qui a ajouté des informations au document original.
Robert van der Meulen pour les paragraphes sur les quotas ainsi que de nombreuses bonnes idées.
Ethan Benson qui a corrigé le paragraphe sur PAM et qui a eu quelques idées de qualité.
Dariusz Puchalak qui a contribué aux informations de plusieurs chapitres.
Gaby Schilders qui a eu une idée Géniale/Paranoïaque sympathique.
Era Eriksson qui a éliminé les fautes de langage et qui a contribué à l'annexe « pense-bête ».
Philipe Gaspar qui a écrit les informations concernant LKM.
Yotam Rubin qui a contribué des correctifs pour de nombreuses fautes de frappe ainsi que les informations liées aux versions de BIND et aux mots de passe MD5.
François Bayart pour l'annexe décrivant la mise en place d'un pont pare-feu.
Joey Hess qui rédigea la section décrivant comment apt sécurisé fonctionne
dans le wiki de
Debian.
Martin F. Krafft qui ajouta quelques informations dans son blog à propos de la vérification des empreintes digitales (fingerprint) et qui furent réutilisées dans la section sur apt sécurisé.
Francesco Poli qui fit une révision approfondie du manuel et fournit un grand nombre de rapports de bogue et de correctifs typographiques qui ont amélioré et aidé à mettre à jour le document.
Toutes les personnes qui m'ont suggéré des améliorations qui furent finalement incluses ici (consultez Journal des modifications et historique, Section 1.6).
Tous ceux qui m'ont encouragé (Alexander) à écrire ce HOWTO (qui devint plus tard ce manuel).
Tout le projet Debian.
[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ suivant ]
Securing Debian Manual
Version: 3.13, Sun, 08 Apr 2012 02:48:09 +0000jfs@debian.org