[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ suivant ]
L'une des choses les plus difficiles dans l'écriture de documents liés à la sécurité est que chaque cas est unique. Il faut prêter attention à deux choses : la menace que constitue l'environnement et les besoins de sécurité liés à un site individuel, une machine ou un réseau. Par exemple, les exigences que l'on a pour une utilisation familiale n'ont rien de comparable aux exigences que l'on trouve dans le réseau d'une banque. Alors que dans le premier cas, l'utilisateur aura à affronter de simples scripts d'attaque, le réseau d'une banque sera, lui, sous la menace d'attaques directes. De plus, la banque se doit de protéger l'exactitude des données clients. Il faudra donc que chaque utilisateur trouve le bon compromis entre la facilité d'utilisation et la sécurité poussée à l'extrême.
Prenez conscience que cet ouvrage traite uniquement des questions liées aux logiciels. Le meilleur programme du monde ne pourra pas vous protéger contre quelqu'un qui aura un accès physique à la machine. Vous pouvez mettre votre machine sous votre bureau ou dans un bunker protégé par une armée. Pourtant, un ordinateur de bureau avec une bonne configuration sera beaucoup plus sûr (d'un point de vue logiciel) qu'un ordinateur protégé physiquement si son disque dur est truffé de logiciels connus pour avoir des failles de sécurité. Bien entendu, vous devez prendre en compte les deux aspects.
Ce document donne simplement un aperçu de ce qu'il est possible de faire pour accroître la sécurité de votre système Debian GNU/Linux. Si vous avez déjà lu des ouvrages traitant de la sécurité sous Linux, vous trouverez des similitudes avec ce document. Ce manuel ne prétend pas être l'ultime source d'informations à laquelle vous devez vous référer. Il essaye seulement d'adapter ces informations pour le système Debian GNU/Linux. D'autres distributions procèdent de manière différente pour certaines questions (le démarrage de démons est un exemple courant) ; vous trouverez dans cet ouvrage les éléments propres aux procédures et aux outils de Debian.
Le responsable actuel de ce document est Javier Fernández-Sanguino Peña.
Veuillez lui envoyer vos commentaires, ajouts et suggestions et ils seront
examinés pour une possible inclusion dans les prochaines versions de ce manuel.
Ce manuel a été lancé en tant que HOWTO par Alexander Reelsen. Après sa publication
sur l'Internet, Javier Fernández-Sanguino
Peña l'a incorporé dans le Projet de Documentation Debian. Un
certain nombre de personnes ont contribué à ce manuel (toutes les contributions
sont listées dans le fichier changelog), mais les personnes suivantes méritent
une mention spéciale car elles ont fourni des contributions significatives (des
sections, chapitres ou appendices complets) :
Stefano Canepa
Era Eriksson
Carlo Perassi
Alexandre Ratti
Jaime Robles
Yotam Rubin
Frederic Schutz
Pedro Zorzenon Neto
Oohara Yuuma
Davor Ocelic
Vous pouvez télécharger ou lire la dernière version du manuel de sécurisation
Debian sur le site du projet de
documentation de Debian. Si vous lisez une copie depuis un autre
site, veuillez vérifier la version d'origine au cas où elle fournirait des
informations plus récentes. Si vous lisez une traduction, veuillez vérifier
que la version à laquelle se réfère cette traduction est la dernière version
disponible. Si vous notez que la version est en retard, veuillez utiliser la
version d'origine ou consultez le Changelog/Historique :, Section 1.6 pour voir ce
qui a changé.
Si vous désirez obtenir une copie complète de ce manuel, vous pouvez
télécharger le document au format
texte ou au format
PDF depuis le site du projet de documentation Debian. Ces versions
peuvent être plus utiles si vous avez l'intention de copier le document vers un
machine portable pour lecture hors ligne ou si vous voulez l'imprimer. Soyez
prévenu que le manuel fait plus de deux cents pages et que certains des
fragments de code, à cause des outils de formatage utilisés, ne sont pas coupés
dans la version PDF et peuvent donc s'imprimer de façon incomplète.
Le document est également fourni aux formats texte, HTML et PDF dans le paquet
harden-doc.
Cependant, notez que le paquet peut ne pas être tout à fait à jour par rapport
au document fourni sur le site Debian (mais vous pouvez toujours utiliser le
paquet source pour construire vous-même une version mise à jour).
Vous pouvez également vérifier les changements introduits dans le document en
consultant les informations de contrôle de version avec le serveur
CVS.
Maintenant, la partie officielle. Pour l'instant, c'est moi (Alexander Reelsen) qui ai écrit la plupart des paragraphes de ce manuel mais, à mon avis, il ne faudrait pas que cela reste ainsi. J'ai grandi et vécu avec les logiciels libres, c'est une part de ma vie de tous les jours et, j'espère, de la vôtre aussi. J'encourage chacun à m'envoyer ses réactions, astuces, ajouts ou suggestions.
Si vous pensez que vous pouvez vous occuper d'une partie en particulier ou d'un paragraphe, écrivez au responsable du document. Cela sera apprécié ! En particulier, si vous trouvez une section estampillée « FIXME », qui signifie que les auteurs n'ont pas eu le temps ou les connaissances requises pour s'en occuper, envoyez-leur un courrier immédiatement.
Le thème de ce manuel fait clairement comprendre qu'il est important de tenir ce manuel à jour ; vous pouvez apporter votre pierre à l'édifice. S'il vous plaît, aidez-nous.
L'installation de Debian GNU/Linux n'est pas très difficile et vous avez sans doute été capable de l'installer. Si vous disposez déjà de connaissances concernant Linux ou d'autres systèmes Unix et si vous êtes quelque peu familier avec les problèmes élémentaires de sécurité, il vous sera plus facile de comprendre ce manuel, car ce document ne peut pas entrer dans tous les petits détails (sans quoi cela aurait été un livre plutôt qu'un manuel). Si vous n'êtes pas si familier que cela avec ces systèmes, vous pouvez consulter Être conscient des problèmes de sécurité, Section 2.2 pour savoir où trouver des informations plus approfondies sur le sujet.
Cette section décrit toutes les choses à corriger dans ce manuel. Certains paragraphes incluent des marques FIXME ou TODO décrivant quel contenu est manquant (ou quel type de travail doit être réalisé). Le but de cette section est de décrire toutes les choses qui devraient être incluses à l'avenir dans le manuel ou les améliorations à faire (ou qu'il serait intéressant d'ajouter).
Si vous pensez que vous pouvez apporter une contribution au contenu en corrigeant tout élément de cette liste (ou des annotations dans le texte lui-même), veuillez contacter l'auteur principal (Auteurs, Section 1.1).
Développer les informations sur la réponse aux incidents, peut-être ajouter
quelques idées dérivées du Guide de la sécurité de Red Hat au chapitre
sur la réponse aux incidents.
Écrire sur les outils de surveillance à distance (pour vérifier la
disponibilité du système) tels que monit, daemontools
et mon. Voir http://linux.oreillynet.com/pub/a/linux/2002/05/09/sysadminguide.html.
Envisager la rédaction d'une section sur la construction d'applications
orientées réseau pour Debian (avec des informations telles que le système de
base, equivs et FAI).
Vérifier si http://www.giac.org/practical/gsec/Chris_Koutras_GSEC.pdf
n'a pas d'informations pertinentes non traitées ici.
Ajouter des informations sur la manière de configurer un portable avec une
Debian http://www.giac.org/practical/gcux/Stephanie_Thomas_GCUX.pdf.
Comment mettre en place un pare-feu en utilisant Debian GNU/Linux. La section sur les pare-feux concerne actuellement un système isolé (pas de protection d'autres machines,...). Comment tester la configuration.
Paramétrage d'un serveur mandataire pare-feu avec Debian GNU/Linux et faire un
état des lieux des paquets fournissant des services proxy (tels que
xfwp, ftp-proxy, redir,
smtpd, dnrd, jftpgw, oops,
pdnsd, perdition, transproxy,
tsocks). Renvoi au manuel pour toute autre information.
Considérer également que zorp est maintenant disponible comme
paquet Debian et qu'il s'agit d'un mandataire pare-feu (il existe
également des paquets Debian fournis par les auteurs).
Informations sur la configuration de services avec file-rc
Vérifier toutes les URLs et supprimer ou corriger celles qui ne sont plus disponibles.
Ajouter des informations sur les substituts de serveurs typiques (disponibles dans Debian) qui fournissent des fonctionnalités restreintes. Par exemple :
lpr local par cups (paquet) ? ;
lrp distant par lpr ;
bind par dnrd/maradns ;
apache par dhttpd/thttpd/wn (tux?) ;
exim/sendmail par ssmtpd/smtpd/postfix ;
squid par tinyproxy ;
ftpd par oftpd/vsftp ;
etc.
De plus amples informations concernant les rustines spécialisées dans la sécurité du noyau dans Debian, incluant celles montrées ci-dessus et ajouter des informations spécifiques sur la façon d'activer ces rustines dans un système Debian.
Linux Intrusion Detection (kernel-patch-2.4-lids) ;
Linux Trustees (paquet trustees) ;
kernel-patch-2.2.19-harden ;
kernel-patch-freeswan, kernel-patch-int.
Précisions sur l'arrêt de certains services réseaux non nécessaires (outre
inetd) ; ceci est en partie dans la procédure de
consolidation mais pourrait être élargi un petit peu.
Informations sur le renouvellement des mots de passe ; c'est étroitement lié à la politique mise en place.
Politique de sécurité et formation des utilisateurs.
Davantage à propos de tcpwrappers, et des wrappers en général ?
hosts.equiv et d'autres trous de sécurité majeurs.
Problèmes avec les serveurs de partage de fichiers tels que Samba et NFS ?
suidmanager/dpkg-statoverrides.
lpr et lprng.
Désactiver les outils Gnome qui utilisent IP.
Parler de pam_chroot (voir http://lists.debian.org/debian-security/2002/debian-security-200205/msg00011.html)
et de son utilité pour restreindre les utilisateurs. Introduire les
informations relatives à http://online.securityfocus.com/infocus/1575.
Pdmenu, par exemple, est disponible dans Debian (alors que flash
ne l'est pas).
Parler des services « chrootés », plus d'informations sur http://www.linuxfocus.org/English/January2002/article225.shtml,
http://www.nuclearelephant.com/papers/chroot.html
et http://www.linuxsecurity.com/feature_stories/feature_story-99.html
Parler des programmes pour faire des « prisons » chroot.
Compartment et chrootuid sont en attente dans
incoming. D'autres (makejail, jailer) pourraient aussi être présentés.
Ajouter les informations fournies par Pedro Zornenon pour chrooter Bind 8,
malheureusement pour la potato uniquement :(, voir http://people.debian.org/~pzn/howto/chroot-bind.sh.txt
(inclure le script en entier ?).
Plus d'informations concernant les logiciels d'analyse de journaux (i.e. logcheck et logcolorise).
Routage « avancé » (la politique de trafic concerne la sécurité)
Restreindre ssh pour qu'il puisse uniquement exécuter certaines
commandes.
Utilisation de dpkg-statoverride.
Moyens sûrs de partager un graveur de CD parmi les utilisateurs.
Moyens sûrs de fournir du son en réseau en plus des possibilités d'affichage en réseau (pour que le son des clients X soit envoyé sur le périphérique son du serveur X)
Sécurisation des navigateurs web.
Configurer ftp au travers de ssh.
Utilisation des systèmes de fichiers « loopback » chiffrés (cryptés ?).
Chiffrement entier du système de fichiers.
Outils stéganographiques.
Configurer une autorité de clés publiques (PKA) pour une organisation.
Utiliser LDAP pour gérer les utilisateurs. Il y a un HOWTO sur ldap+kerberos pour Debian à www.bayour.com écrit par Turbo Fredrikson.
Comment enlever des informations non-essentielles sur les systèmes de
production tels que /usr/share/doc, /usr/share/man
(oui, sécurité par obscurité).
Plus d'informations sur lcap basé sur le fichier README des paquet (pas encore
tout à fait présent, voir Bug
#169465) et à partir de l'article de LWN : Kernel development.
Ajouter l'article de Colin sur la façon de configurer un environnement chroot
pour un système Sid complet (http://people.debian.org/~walters/chroot.html)
Ajouter des informations sur l'exécution de plusieurs senseurs snort dans un système donné (vérifier les rapports de bogues envoyés à snort)
Ajouter des informations sur la mise en place d'un pot de miel
(honeypot) (honeyd)
Décrire la situation relativement à FreeSwan (abandonné) et OpenSwan. La section VPN a besoin d'être réécrite.
Changements par Javier Fernández-Sanguino Peña
Note sur la section SSH que le chroot ne fonctionnera pas si vous utilisez l'option nodev dans la partition et indication des derniers paquets ssh avec le correctif chroot, merci à Lutz Broedel d'avoir signalé ces problèmes.
Correction de typo remarquée par Marcos Roberto Greiner (md5sum devrait être sha1sum dans l'extrait de code)
Inclusion du correctif de Jens Seidel corrigeant un certain nombre de noms de paquets et de typos.
Légère mise à jour de la section d'outils, suppression des outils plus disponibles et ajout de nouveaux outils.
Réécriture de parties de la section liée à l'endroit où trouver ce document et quels formats sont disponibles (le site web fournit une version PDF). Note également sur le fait que les copies sur d'autres sites et les traductions peuvent être obsolète (la plupart des liens fournis par Google pour le manuel sur d'autres sites sont vraiment obsolètes).
Changements par Javier Fernández-Sanguino Peña
Amélioration des renforcements de sécurité post-installation liés à la configuration du noyau pour la protection au niveau réseau avec un fichier sysctl.conf fourni par Will Moy.
Amélioration de la section gdm, grâce à Simon Brandmair.
Corrections de typo de Frédéric Bothamy et Simon Brandmair.
Améliorations des sections post-installation liées à la façon de générer les sommes MD5 (ou SHA-1) des binaires pour vérification périodique.
Mise à jour des sections post-installation concernant la configuration checksecurity (qui était obsolète).
Changements par Javier Fernandez-Sanguino Peña
Ajout d'un extrait de code pour utiliser grep-available pour générer la liste des paquets dépendant de Perl. Comme demandé dans #302470.
Réécriture de la section sur les services réseau (quels sont les services installés et comment les désactiver).
Ajout de plus d'informations sur la section de déplaoiement des pots de miel mentionnant des paquets Debian utiles.
Changements par Javier Fernández-Sanguino Peña
Extension de la section sur les limites de la configuration de PAM.
Ajout d'informations sur la faàon d'utiliser pam_chroot pour openssh (basé sur le README de pam_chroot).
Correction de problèmes mineurs signalés par Dan Jacobson.
Mise à jour des informations sur les correctifs du noyau basées sur un correctif de Carlo Perassi et également en ajoutant des notes sur les programmes obsolètes et les nouveaux correctifs de noyau disponibles (Adamantix).
Inclusion d'un correctif de Simon Brandmair qui corrige une phrase liée aux échecs de connexion dans un terminal.
Ajout de Mozilla/Thunderbird aux agents GPG valides comme suggéré par Kapolnai Richard.
Expansion de la section sur les mises à jour de sécurité en mentionnant les mises à jour de bibliothèques et de noyau et sur la façon de détecter quand les services doivent être redémarrés.
Réécriture de la section sur les pare-feu, déplacement vers le bas des informations qui s'appliquent à Woody et expansion des autres sections incluant des informations sur la façon de mettre en place manuellement le pare-feu (avec un exemple de script) et sur la façon de tester la configuration du pare-feu.
Ajout d'informations préparatoires pour la version 3.1 de Debian.
Ajout d'informations plus détaillées sur les mises à jour de noyau, particulièrement destinées à ceux qui ont utilisé l'ancien système d'installation.
Ajout d'une petite section sur la version 0.6 d'apt expérimentale qui fournit des vérifications de signature de paquets. Déplacement de l'ancien contenu dans la section et également ajout d'un pointeur vers les changements réalisés dans aptitude.
Corrections de typos signalés par Frédéric Bothamy.
Changements par Javier Fernández-Sanguino Peña
Ajout de clarification sur /usr en lecture seule avec un correctif de Joost van Baal
Application d'un correctif de Jens Seidel corrigeant plusieurs typos.
FreeSWAN est mort, longue vie à OpenSWAN.
Ajout d'informations sur la restrictions d'accès aux services RPC (quand ils ne peuvent pas être désactivés), également inclusion d'un correctif fourni par Aarre Laakso.
Mise à jour du script apt-check-sigs d'aj.
Application du correctif de Carlo Perassi corrigeant des URL.
Application du correctif de Davor Ocelic corrigeant beaucoup d'erreurs, de typos, URL, erreurs de grammaire et FIXME. Ajout également de plusieurs informations supplémentaires pour certaines sections.
Réécriture de la section sur l'audit utilisateur, mise en évidence de l'utilisation de script qui n'a pas certains des problèmes associés à l'historique du shell.
Modifications par Javier Fernández-Sanguino Peña
Réécriture des informations sur l'audit utilisateur et inclusion d'exemples sur la façon d'utiliser script.
Modifications par Javier Fernández-Sanguino Peña
Ajout d'informations sur des références dans la compatibilité entre DSA et CVE.
Ajout d'informations sur apt 0.6 (apt-secure intégré dans experimental)
Correction de l'emplacement du HOWTO Chroot des démons comme suggéré par Shuying Wang.
Modification de la ligne APACHECTL dans l'exemple de chroot Apache (même si elle n'est pas du tout utilisé) comme suggéré par Leonard Norrgard.
Ajout d'une note concernant les attaques de liens durs (« hardlink ») si les partitions ne sont pas mises en place correctement.
Ajout de certaines étapes manquantes pour exécuter bind comme named ainsi que fourni par Jeffrey Prosa.
Ajout de notes à propos de l'obsolescence de Nessus et de Snort dans Woody et disponibilité de paquets rétroportés.
Ajout d'un chapitre concernant des vérifications de test d'intégrité périodiques.
Clarification de l'état de testing concernant les mises à jour de sécurité. (bogue Debian n° 233955)
Ajout d'informations concernant les contenus attendus dans securetty (comme c'est spécifique au noyau).
Ajout de pointeur pour snoopylogger (bogue Debian n° 179409)
Ajout d'une référence sur guarddog (bogue Debian n° 170710)
Apt-ftparchive est dans apt-utils, pas dans apt (merci à Emmanuel
Chantreau pour l'avoir signalé)
Suppression de jvirus de la liste des antivirus.
Modifications par Javier Fernández-Sanguino Peña
Correction de l'URL comme suggéré par Frank Lichtenheld.
Correction d'une typo PermitRootLogin comme suggéré par Stefan Lindenau.
Modifications par Javier Fernández-Sanguino Peña
Ajout des personnes qui ont contribué significativement à ce manuel (merci de m'envoyer un message si vous pensez que vous devriez être dans la liste et que vous n'y êtes pas).
Ajout de quelques bla-bla à propos des FIXME/TODOs
Déplacement des informations sur les mises à jour de sécurité au début de la section comme suggéré par Elliott Mitchell.
Ajout de grsecurity à la liste des kernel-patches pour la sécurité, mais ajout d'une note sur les problèmes actuels avec celui-ci comme suggéré par Elliott Mitchell.
Suppression de loops (echo to 'all') dans le script de sécurité réseau du noyau comme suggéré par Elliott Mitchell.
Ajout de plus d'informations (à jour) dans la section antivirus.
Réécriture de la section de protection des dépassements de tampon et ajout de plus d'informations sur les correctifs pour le compilateur pour activer ce type de protection.
Modifications par Javier Fernández-Sanguino Peña
Suppression (et nouvel ajout) de l'appendice sur Apache dans un chroot. L'appendice est maintenant sous une double licence.
Modifications de Javier Fernández-Sanguino Peña
Corrections de fautes signalées par Leonard Norrgard.
Ajout d'une section sur comment contacter le CERT pour la gestion d'incident
(#after-compromise)
Plus d'informations sur la mise en place d'un serveur mandataire (« proxy ») Squid
Ajout d'un pointeur et suppression d'un FIXME grâce à Helge H. F.
Correction d'une faute (save_inactive) signalée par Philippe Faes.
Corrections de plusieurs fautes signalées par Jaime Robles.
Modifications de Javier Fernández-Sanguino Peña
Selon les suggestions de Maciej Stachura, j'ai développé la section sur les limitations pour les utilisateurs.
Correction d'une faute signalée par Wolfgang Nolte.
Correction de liens avec un correctif fourni par Ruben Leote Mendes.
Ajout d'un lien vers l'excellent document de David Wheeler dans la note sur le décompte des failles de sécurité.
Modifications de Frédéric Schütz.
Ré-écriture complète de la section sur les attributs ext2 (lsattr/chattr)
Modifications de Javier Fernández-Sanguino Peña et Frédéric Schütz.
Fusion de la section 9.3 (« rustines noyau utiles ») dans la section 4.13 (« Ajouter des rustines noyau ») et ajout d'un peu de contenu.
Ajout de quelques TODOs supplémentaires
Ajout d'informations sur la façon de vérifier manuellement les mises à jour et également sur cron-apt. Ainsi Tiger n'est plus vu comme le seul moyen de faire des vérifications de mises à jour automatiques.
Légère ré-écriture de la section sur l'exécution des mises à jour de sécurité grâce aux commentaires de Jean-Marc Ranger.
Ajout d'une note sur l'installation de Debian (qui suggérera à l'utilisateur une mise à jour de sécurité juste après l'installation)
Modifications de Javier Fernández-Sanguino Peña (moi).
Ajout d'une rustine proposée par Frédéric Schütz.
Ajout de quelques références supplémentaires sur les capacités grâce à Frédéric.
Modifications légères sur la section bind par l'ajout d'une référence à la documentation en ligne de BIND 9 et des références corrections dans la première zone (Hello Pedro !)
Correction de la date du changelog – nouvelle année :-)
Ajout d'une référence aux articles de Colin pour les TODOs.
Suppression de la référence à d'anciennes rustines ssh+chroot.
Rustines additionnelles de Carlo Perassi.
Corrections de fautes (récursif dans Bind est récursion) signalées par Maik Holtkamp.
Modifications de Javier Fernández-Sanguino Peña (moi).
Réorganisation des informations sur chroot (fusion de deux sections, cela n'avait pas de sens de les garder séparées)
Ajout de notes sur le chroot d'Apache fournies par Alexandre Ratti.
Application de correctifs proposés par Guillermo Jover.
Modifications de Javier Fernández-Sanguino Peña (moi).
Application des rustines de Carlo Perassi, corrections incluant : modification de la longueur de lignes, correction d'URL, et correction de certains FIXMES ;
Mise à jour du contenu de la FAQ de l'équipe en charge de la sécurité de Debian ;
Ajout d'un lien vers la FAQ de l'équipe en charge de la sécurité de Debian et la référence du développeur Debian, les sections dupliquées pourraient (juste pourraient) être supprimées à l'avenir ;
Correction de la section d'audit manuel avec les commentaires de Michal Zielinski ;
Ajout d'un lien vers des dictionnaires (contribution de Carlo Perassi).
Modifications de Javier Fernández-Sanguino Peña (moi). Note : j'ai encore beaucoup de modifications qui sont stockées dans ma boîte de réception (ce qui représente en ce moment environ 5 Mo) à intégrer.
Correction de quelques fautes qui ont été signalées par Tuyen Dinh, Bartek Golenko et Daniel K. Gebhart ;
Note concernant les rootkits utilisant /dev/kmem suggérée par Laurent Bonnaud ;
Correction de fautes et de FIXMEs par Carlo Perassi.
Modifications de Chris Tillman, tillman@voicetrak.com.
Modifications pour améliorer la grammaire/l'orthographe ;
s/host.deny/hosts.deny/ (1 endroit) ;
Application de la rustine de Larry Holish (assez grosse, corrige de nombreux FIXMEs).
Modifications de Javier Fernández-Sanguino Peña (moi).
Corrections de quelques fautes signalées par Thiemo Nagel ;
Ajout d'une note de bas de page sur les conseils de Thiemo Nagel ;
Corrige un lien URL.
Modifications de Javier Fernández-Sanguino Peña (moi). Il y avait beaucoup de choses en attente dans ma boîte de réception (depuis février), je vais donc appeler ceci la version retour de lune de miel :)
Application d'une rustine fournie par Philipe Gaspar concernant Squid qui supprime aussi un FIXME ;
Encore une autre FAQ concernant les bannières de services provenant de la liste de diffusion debian-security (discussion « Telnet information » démarrée le 26 juillet 2002) ;
Ajout d'une note concernant l'utilisation des références croisées CVE dans l'élément de la FAQ En combien de temps l'équipe en charge de la sécurité de Debian... ;
Ajout d'une nouvelle section concernant les attaques ARP fournie par Arnaud « Arhuman » Assad ;
Nouvelle FAQ concernant dmesg et le démarrage en mode console par le noyau ;
Petites parcelles d'informations sur les problèmes de vérification de signature dans les paquets (il semble qu'ils n'aient pas passé le stade de la version bêta) ;
Nouvelle FAQ concernant les faux positifs des outils d'évaluation de vulnérabilité ;
Ajout de nouvelles sections au chapitre qui contient des informations sur les signatures de paquet et réorganisation en un nouveau chapitre Infrastructure de sécurité Debian ;
Nouvel élément de FAQ concernant Debian et les autres distributions Linux ;
Nouvelle section sur les clients de mail avec des fonctionnalités GPG/PGP dans le chapitre outils de sécurité ;
Clarification sur la manière d'activer les mots de passe MD5 dans la Woody, ajout d'une lien vers PAM ainsi qu'une note concernant la définition de max dans PAM ;
Ajout d'une nouvelle annexe sur comment créer des environnements « chroot » (après avoir joué un peu avec makejail et avoir corrigé, aussi, quelques-un de ses bogues), intégration des informations dupliquées dans toutes les annexes ;
Ajout d'informations complémentaires concernant le « chrootage » de
SSH et de son impact sur les transferts sécurisés de fichiers.
Certaines informations ont été récupérées de la liste de diffusion
debian-security (juin 2002 discussion :Secure file
transfers) ;
Nouvelles sections sur la mise à jour automatique des systèmes Debian ainsi que les dangers d'utiliser la distribution « testing » ou la distribution « unstable » du point de vue des mises à jour de sécurité ;
Nouvelle section, concernant la manière de rester à jour avec la mise en place de rustines de sécurité, dans la section avant la compromission ainsi qu'une nouvelle section sur la liste de diffusion debian-security-announce ;
Ajouts d'informations sur la manière de générer automatiquement des mots de passe sûrs ;
Nouvelle section relative à la connexion des utilisateurs oisifs (idle) ;
Réorganisation de la section sécurisation du serveur de mail suite à la discussion Secure/hardened/minimal Debian (ou "Why is the base system the way it is?") sur la liste de diffusion debian-security (mai 2002) ;
Réorganisation de la section sur les paramètres réseaux du noyau, avec les informations fournies par la liste de diffusion debian-security (mai 2002, discussion syn flood attacked?) et ajout d'un nouvel élément de FAQ ;
Nouvelle section sur la manière de vérifier les mots de passe des utilisateurs et quels paquets utiliser pour cela ;
Nouvelle section sur le chiffrement PPTP avec les clients Microsoft discuté sur la liste de diffusion debian-security (avril 2002) ;
Ajout d'une nouvelle section décrivant les problèmes qui peuvent survenir lorsque l'on attribue une adresse IP spécifique pour chaque service, cette information a été écrite d'après d'une discussion qui s'est tenue sur de la liste de diffusion bugtraq : Linux kernel 2.4 "weak end host" issue (discuté précédemment sur debian-security sous le titre « arp problem ») (démarré le 9 mai 2002 par Felix von Leitner) ;
Ajout d'informations sur le protocole ssh version 2 ;
Ajout de deux sous-sections relatives à la configuration sécurisée d'Apache (c'est-à-dire, les choses spécifiques à la Debian) ;
Ajout d'une nouvelle FAQ traitant des « raw sockets », une relative à /root, une partie traitant des groupes d'utilisateurs et une autre traitant des permissions des journaux et des permission des fichiers de configuration ;
Ajout d'un lien vers un bogue dans libpam-cracklib qui pourrait encore être présent... (besoin de vérifier) ;
Ajout de plus d'informations sur l'analyse avancée (en attente de plus
d'information sur les outils d'inspection de paquet tels que
tcpflow) ;
Transformation de « Que dois-je faire concernant la compromission » en une série d'énumérations et en y ajoutant plus d'éléments ;
Ajout d'informations sur la configuration de Xscreensaver pour verrouiller l'écran automatiquement après une durée donnée ;
Ajout d'une note sur les utilitaires que vous ne devriez pas installer sur un système. Inclusion d'une note concernant Perl et pourquoi il ne peut pas être retiré facilement de la Debian. L'idée vient de la lecture des documents d'Intersect concernant le renforcement de Linux ;
Ajout d'informations sur lvm et les systèmes de fichiers journalisés, ext3 est préconisé. Les informations pourraient cependant y être trop génériques ;
Ajout d'une lien sur la version texte disponible en ligne (à vérifier) ;
Ajout d'informations additionnelles sur la protection par pare-feu d'un système local, faisant suite à un commentaire d'Hubert Chan sur la liste de diffusion ;
Ajout d'informations additionnelles sur les limites PAM et de liens vers les documents de Kurt Seifried (relatifs à un de ses messages sur bugtraq le 4 avril 2002 répondant à une personne qui avait « découvert » une vulnérabilité dans Debian GNU/Linux relative à la privation de ressource) ;
Comme suggéré par Julián Muñoz, ajout de plus d'information sur l'umask par défaut de la Debian et ce à quoi un utilisateur peut accéder si on lui a donné un shell sur le système (effrayant, hein ?) ;
Inclusion d'une note dans la section du mot de passe BIOS suite à un commentaire d'Andreas Wohlfeld ;
Inclusion des rustines fournies par Alfred E. Heggestad corrigeant beaucoup de fautes encore présentes dans le document ;
Ajout d'un lien vers le changelog dans la section des remerciements comme beaucoup des personnes qui ont contribué sont listées ici (et pas là bas) ;
Ajout de quelques notes complémentaires dans la section de chattr et d'une nouvelle section après l'installation qui parle des images systèmes. Les deux idées sont la contribution de Kurt Pomeroy ;
Ajout d'une nouvelle section après l'installation juste pour rappeler aux utilisateurs de changer la séquence de démarrage ;
Ajout d'éléments restant à faire (TODO) fournis par Korn Andras ;
Ajout d'un lien vers les recommandations du NIST sur la manière de sécuriser un DNS. Cette contribution nous est fournie par Daniel Quinlan ;
Ajout d'un petit paragraphe concernant l'infrastructure des certificats SSL de la Debian ;
Ajout des suggestions de Daniel Quinlan concernant l'authentification
ssh et la configuration d'exim en relai ;
Ajout de plus d'informations concernant la sécurisation de bind incluant les modifications suggérées par Daniel Quinlan et une annexe avec un script pour faire quelques uns des changements commentés dans cette section ;
Ajout d'un lien vers un autre élément concernant le « chrootage » de Bind (a besoin d'être fusionné) ;
Ajout d'un une ligne de Cristian Ionescu-Idbohrn pour récupérer les paquets avec support des tcpwrappers ;
Ajout d'un peu plus d'informations sur la configuration PAM par défaut de la Debian ;
Inclusion d'une question dans la FAQ au sujet de l'utilisation de PAM pour fournir des services sans comptes shell ;
Déplacement de deux éléments de la FAQ dans une autre section et ajout d'une nouvelle FAQ concernant la détection des attaques (et des systèmes corrompus) ;
Inclusion d'informations la configuration d'un pont pare-feu (incluant une annexe d'exemple). Merci à Francois Bayart qui m'a envoyé ça en mars ;
Ajout d'une FAQ concernant les MARK d'heartbeat dans le syslogd d'après une question à laquelle Noah Meyerhans et Alain Tesio ont répondu en décembre 2001 ;
Inclusion d'informations sur la protection contre les débordements de tampons ainsi que quelques informations sur les rustines du noyau ;
Ajout d'informations supplémentaires (et réorganisation) de la section pare-feu. Mise à jour des informations concernant le paquet iptables et les générateurs de pare-feu disponibles ;
Réorganisation des informations concernant la vérification des journaux, déplacement des informations de logcheck sur la détection d'intrusion machine vers cette section ;
Ajout d'informations sur la manière de préparer un paquet statique pour bind dans l'optique d'un « chrootage » (non testé) ;
Ajout d'un élément de FAQ concernant certains serveurs/services spécifiques (pourrait être développé avec quelques unes des recommandations de la liste de diffusion debian-security) ;
Ajout d'informations sur les services RPC (et quand ils sont nécessaires) ;
Ajout de plus d'informations sur les possibilité d'amélioration (et ce que fait lcap). Y a-t-il une bonne documentation sur ce sujet ? Je n'ai trouvé aucune documentation sur mon noyau 2.4 ;
Correction de fautes.
Modifications de Javier Fernández-Sanguino Peña.
Réécriture d'une partie de la section BIOS.
Modifications de Javier Fernández-Sanguino Peña.
Encadrement de la plupart des emplacements de fichiers par la balise « file » ;
Correction de fautes rapportées par Edi Stojicevi ;
Légère modification de la section des outils d'audit distant ;
Ajout d'éléments à faire (todo) ;
Ajout d'informations concernant les imprimantes et du fichier de configuration de cups (tiré d'une discussion sur debian-security) ;
Ajout d'une rustine soumise par Jesus Climent concernant l'accès d'utilisateurs valides du système à proftpd quand il est configuré en serveur anonyme ;
Petite modification aux schémas de partitionnement dans le cas particulier des serveurs de mails ;
Ajout du livre « Hacking Linux Exposed » à la section des livres ;
Correction d'une faute de frappe sur un répertoire rapportée par Eduardo Pérez Ureta ;
Correction d'une coquille dans /etc/ssh dans la liste de contrôle signalée par Edi Stojicevi.
Modifications de Javier Fernández-Sanguino Peña.
Correction de l'emplacement du fichier de configuration de dpkg ;
Suppression d'Alexander des informations sur les contacts ;
Ajout d'une autre adresse mail ;
Correction de l'adresse mail d'Alexander (même si elle est commentée) ;
Correction de l'emplacement des clés de versions (merci à Pedro Zorzenon pour avoir relevé cette erreur).
Modifications de Javier Fernández-Sanguino Peña.
Corrections de fautes, merci à Jamin W. Collins pour ces corrections ;
Ajout d'une référence à la page de manuel d'apt-extracttemplate (documentation sur la configuration de APT::ExtractTemplate) ;
Ajout d'une section concernant la limitation de SSH. Informations basées sur celles qui ont été postées par Mark Janssen, Christian G. Warden et Emmanuel Lacour sur la liste de diffusion debian-security ;
Ajout d'informations sur les logiciels antivirus.
Ajout d'une FAQ : journaux de su provenant du fait que cron fonctionne en tant que root.
Modifications de Javier Fernández-Sanguino Peña.
Modifications du « FIXME » de lshell, merci à Oohara Yuuma ;
Ajout d'un paquet sXid et retrait du commentaire étant donné qu'il est disponible ;
De nombreuses fautes relevées par Oohara Yuuma ont été corrigées ;
ACID est maintenant disponible dans Debian (dans le paquet acidlab) ;
Liens de LinuxSecurity corrigés (merci à Dave Wreski de nous l'avoir signalé).
Modifications de Javier Fernández-Sanguino Peña. Je voulais passer à 2.0 quand tous les « FIXME » auraient été supprimés mais j'ai manqué de numéro dans la série 1.9X :(
Transformation du HOWTO en Manuel (maintenant je peux dire RTFM !) ;
Ajout d'informations concernant les tcp wrappers et Debian (maintenant
plusieurs services sont compilés avec le support adéquat ; ainsi ceci
n'est plus un problème d'inetd) ;
Clarification des informations sur la désactivation des services pour la rendre plus cohérente (les infos sur rpc se réfèrent toujours à update-rc.d) ;
Ajout d'une petite note sur lprn ;
Ajout de quelques infos sur les serveurs corrompus (toujours très approximatif) ;
Corrections des fautes signalées par Mark Bucciarelli ;
Ajout d'étapes supplémentaires sur la récupération des mots de passe lorsque l'administrateur a paramétré paranoid-mode=on ;
Ajout d'informations pour paramétrer paranoid-mode=on lorsque l'on se connecte en mode console ;
Nouveau paragraphe pour présenter la configuration des services ;
Réorganisation de la section Après l'installation afin de permettre une lecture plus aisée du document ;
Informations sur la manière de paramétrer des pare-feux avec l'installation standard de Debian 3.0 (paquet iptables) ;
Petit paragraphe détaillant pourquoi l'installation par le réseau n'est pas une bonne idée et comment on peut l'éviter en utilisant les outils Debian ;
Petit paragraphe sur un article de l'IEEE qui souligne l'importance d'une application rapide des rustines ;
Annexe sur la manière de paramétrer une machine snort Debian, basé sur ce que Vladimir a envoyé à la liste de diffusion debian-security (le 3 septembre 2001) ;
Information sur la manière dont est configurée logcheck dans Debian et comment il peut être utilisé pour paramétrer HIDS ;
Informations sur les comptes utilisateurs et sur les analyses de profils ;
Inclusion de la configuration de apt.conf pour un /usr en lecture seule ; copié à partir du courrier d'Olaf Meeuwissen envoyé à la liste de diffusion debian-security ;
Nouvelle section sur le VPN qui contient quelques liens ainsi que les paquets disponibles dans Debian (besoin de contenu concernant l'installation de VPN et les problèmes spécifiques à Debian) basé sur les courriers de Jaroslaw Tabor et Samuli Suonpaa postés sur la liste de diffusion debian-security ;
Petite note concernant quelques programmes pour construire automatiquement des prisons « chrootées » ;
Nouveau sujet de FAQ concernant identd d'après une discussion sur la liste de diffusion debian-security (février 2002, commencé par Johannes Weiss) ;
Nouveau sujet de FAQ concernant inetd d'après une discussion sur
la liste de diffusion debian-security (février 2002) ;
Note d'introduction sur rcconf dans la section « désactivation de services » ;
Diverses approches concernant le LKM. Remerciements à Philipe Gaspar ;
Ajouts de liens vers les documents du CERT et les ressources Couterpane.
Modifications de Javier Fernández-Sanguino Peña.
Ajout d'un nouveau sujet de FAQ concernant le temps de réaction à avoir pour corriger les failles de sécurité ;
Réorganisation des sections de la FAQ ;
Début d'une section concernant les pare-feux dans Debian GNU/Linux (pourrait être un peu élargi) ;
Corrections de fautes signalées par Matt Kraai ;
Correction sur les informations DNS ;
Ajout d'informations sur whisker et nbtscan à la section audit ;
Correction d'URL erronées.
Modifications de Javier Fernández-Sanguino Peña.
Ajout d'une nouvelle section concernant l'utilisation de la Debian GNU/Linux pour réaliser des audits ;
Ajout d'infos concernant le démon finger depuis la liste de diffusion debian-security.
Modifications de Javier Fernández-Sanguino Peña.
Correction du lien pour Linux Trustees ;
Correction de fautes (rustines d'Oohara Yuuma et Pedro Zorzenon).
Modifications de Javier Fernández-Sanguino Peña.
Réorganisation de la section installation et suppression de services et ajout de nouvelles notes ;
Ajout de quelques notes concernant l'utilisation d'outils tels que les outils de détection d'intrusion ;
Ajout d'un chapitre concernant la signature de paquets.
Modifications de Javier Fernández-Sanguino Peña.
Ajout de notes concernant la sécurité de Squid envoyées par Philipe Gaspar ;
Correction de liens rootkit. Merci à Philipe Gaspar.
Modifications de Javier Fernández-Sanguino Peña.
Ajout de quelques notes concernant Apache et Lpr/lpng ;
Ajout d'informations concernant les partitions noexec et readonly ;
Réécriture de la manière dont les utilisateurs peuvent aider aux problèmes liés à la sécurité Debian (sujet d'une FAQ).
Modifications de Javier Fernández-Sanguino Peña.
Correction de l'emplacement du programme mail ;
Ajout de nouveaux sujets à la FAQ.
Modifications de Javier Fernández-Sanguino Peña.
Ajout d'une petite section sur la manière dont Debian s'occupe de la sécurité ;
Clarification sur les mots de passe MD5 (merci à « rocky ») ;
Ajout d'informations concernant le renforcement de X par Stephen van Egmond ;
Ajout de nouveaux sujets à la FAQ.
Modifications de Javier Fernández-Sanguino Peña.
Ajout d'informations détaillées envoyées par Yotam Rubin ;
Ajout de renseignements sur la manière de mettre en place un « honeynet » en utilisant Debian GNU/Linux ;
Ajout de TODOS supplémentaires ;
Correction de nouvelles fautes (merci Yotam !).
Modifications de Javier Fernández-Sanguino Peña.
Ajout d'une rustine pour corriger des « fautes d'orthographe » et nouvelles informations (contributions de Yotam Rubin) ;
Ajout de liens vers d'autres documents en ligne (et hors ligne) tous deux figurant dans la section (voir Être conscient des problèmes de sécurité, Section 2.2) ;
Ajout d'informations sur la configuration d'options de Bind pour restreindre l'accès au serveur DNS ;
Ajout d'informations sur la consolidation automatique d'un système Debian (par référence aux paquets harden et bastille) ;
Suppression de quelques TODOs terminés et ajout de nouveaux.
Modifications de Javier Fernández-Sanguino Peña.
Ajout de la liste des utilisateurs et des groupes standard, donnée par Joey Hess à la liste de discussion debian-security ;
Ajout d'informations sur les « rootkits » LKM (Loadable Kernel Modules (LKM), Section 9.4.1) avec la contribution de Philipe Gaspar ;
Ajout d'informations sur Proftp avec la contribution d'Emmanuel Lacour ;
Rajout de l'annexe « pense-bête » d'Era Eriksson ;
Ajout de nouveaux TODOs et retrait de ceux terminés ;
Ajout manuel des rustines d'Era car elles n'ont pas été incluses dans la version précédente.
Modifications d'Era Eriksson.
Fautes de frappes et changements de formulation
Modifications de Javier Fernández-Sanguino Peña.
Changements mineurs de balises : supprimer les balises tt et les remplacer par les balises prgn/package.
Modifications de Javier Fernández-Sanguino Peña.
Ajout d'un lien sur le document publié dans le DDP (devrait à terme remplacer l'original) ;
Démarrage d'une mini-FAQ (qui devrait être élargie) avec quelques questions récupérées depuis ma boite de réception ;
Ajout d'informations générales concernant la sécurisation ;
Ajout d'un paragraphe au sujet de la distribution de courriers locaux ;
Ajout de quelques liens vers d'autres sources d'informations ;
Ajout d'informations sur le service d'impression ;
Ajout d'une liste de tâches sur le renforcement de la sécurité ;
Réorganisation des informations sur NIS et RPC ;
Ajout de quelques notes lors de la lecture de ce document sur mon nouveau Visor :)
Correction de certaines lignes mal formattées ;
Fautes de frappes corrigées ;
Ajout d'une idée Géniale/Paranoïaque avec la contribution de Gaby Schilders.
Modifications de Josip Rodin et Javier Fernández-Sanguino Peña.
Ajout de paragraphes concernant BIND et quelques FIXMEs.
Petit paragraphe sur la vérification des « setuid »
Différents nettoyages mineurs ;
Découverte sur la manière d'utiliser sgml2txt -f pour la version txt.
Ajout de mise à jour de sécurité après le paragraphe « après installation » ;
Ajout d'un paragraphe proftpd ;
Cette fois, quelque chose concernant XDM a réellement été écrit. Désolé pour la dernière fois.
Beaucoup de corrections grammaticales de James Treacy, nouveau paragraphe XDM.
Corrections de fautes de frappes, divers ajouts.
Première publication.
Alexander Reelsen qui a écrit le document original.
Javier Fernández-Sanguino qui a ajouté des informations au document original.
Robert van der Meulen pour les paragraphes sur les quotas ainsi que de nombreuses bonnes idées.
Ethan Benson qui a corrigé le paragraphe sur PAM et qui a eu quelques idées de qualité.
Dariusz Puchalak qui a contribué aux informations de plusieurs chapitres.
Gaby Schilders qui a eu une idée Géniale/Paranoïaque sympathique.
Era Eriksson qui a éliminé les fautes de langage et qui a contribué à l'annexe « pense-bête ».
Philipe Gaspar qui a écrit les informations concernant LKM.
Yotam Rubin qui a contribué des corrections pour toutes les fautes de frappes ainsi que les informations liées aux versions de Bind et aux mots de passes md5.
Toutes les personnes qui m'ont suggéré des améliorations qui (éventuellement) ont été incluses ici (voir Changelog/Historique :, Section 1.6).
Tout le monde qui m'a encouragé (Alexander) à écrire ce HOWTO (qui plus tard a évolué vers le Manuel).
Tout le projet Debian.
[ précédent ] [ Table des matières ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ suivant ]
Manuel de sécurisation de Debian
Version: 3.4, Sun, 06 Nov 2005 22:34:04 +0100jfs@debian.orgdebian-l10n-french@lists.debian.org