[ précédent ]
[ Table des matières ]
[ 1 ]
[ 2 ]
[ 3 ]
[ 4 ]
[ 5 ]
[ 6 ]
[ 7 ]
[ 8 ]
[ 9 ]
[ 10 ]
[ 11 ]
[ A ]
[ B ]
[ C ]
[ suivant ]
Securing Debian Manual
Chapitre 1 - Introduction
L'une des choses les plus difficiles dans l'écriture de documents liés à la
sécurité est que chaque cas est unique. Il faut prêter attention à deux
choses : la menace que constitue l'environnement et les besoins de
sécurité liés à un site individuel, une machine ou un réseau. Par exemple, les
exigences que l'on a pour une utilisation familiale n'ont rien de comparable
aux exigences que l'on trouve dans le réseau d'une banque. Alors que dans le
premier cas, l'utilisateur aura à affonter de simples scripts d'attaque, le
réseau d'une banque sera, lui, sous la menace d'attaques directes. De plus, la
banque se doit de protéger l'exactitude des données clients. Il faudra donc
que chaque utilisateur trouve le bon compromis entre facilité d'utilisation et
une sécurité outrancière.
Prennez conscience que cet ouvrage traite uniquement des questions liées aux
logiciels. Le meilleur programme du monde ne pourra pas vous protéger contre
quelqu'un qui aura un accès physique à la machine. Vous pouvez mettre votre
machines vous votre bureau ou dans un bunker protégé par une armée. Pourtant,
un ordinateur de bureau avec une bonne configuration sera beaucoup plus sûr
(d'un point de vue logiciel) qu'un ordinateur protégé physiquement si son
disque dur est truffé de logiciels connus pour avoir des failles de sécurité.
Bien entendu, vous devez prendre en compte les deux aspects.
Ce document donne simplement un aperçu de ce qu'il est possible de faire pour
accroître la sécurité de votre système Debian GNU/Linux. Si vous avez d'ores
et déjà lu des ouvrages traitant de la sécurité sous Linux, vous trouverez des
similitudes avec ce document. Ce manuel ne prétend pas être l'ultime source
d'informations à laquelle vous devez vous référer. Il essaye seulement
d'adapter ces informations pour le système Debian GNU/Linux. D'autres
distributions procèdent de manière différente pour certaines questions (le
démarrage de démons est un exemple courant) ; vous trouverez dans cet
ouvrage les éléments propres aux procédures et aux outils de Debian.
Si vous avez des commentaires, des éléments à ajouter ou des suggestions,
envoyez-les (en anglais) à Javier
Fernández-Sanguino
(autre adresse : jfs@debian.org) et ils
seront intégrés dans ce manuel.
1.1 Télécharger ce manuel
Vous pouvez télécharger ou lire la dernière version du manuel de sécurisation
Debian sur le site du projet de
documentation de debian
. Jetez un oeil également à la version
contenue dans le serveur
CVS
.
Vous pouvez, également, télécharger le document dans le format
texte pur
sur le site du projet de documentation Debian. D'autres
formats, tel que le PDF, ne sont pas encore fournis. Cependant, vous pouvez
télécharger ou installer le paquet harden-doc
qui offre ce
même document dans les formats HTML, txt et PDF (en langue anglaise).
1.2 Avis et Réactions
Maintenant, la partie officielle. Pour l'instant, c'est moi (Alexander
Reelsen) qui ait écrit la plupart des paragraphes de ce manuel mais, à mon
avis, il ne faudrait pas que cela reste ainsi. J'ai grandi et vécu avec les
logiciels libres, c'est une part de ma vie de tous les jours et j'espère de la
vôtre aussi. J'encourage chacun à m'envoyer ses réactions, astuces ou
suggestions.
Si vous pensez que pouvez vous occuper d'une partie en particulier ou d'un
paragraphe, écrivez au responsable du document. Cela sera apprécié ! En
particulier, si vous trouvez une section estampillée « FIXME », qui
signifie que les auteurs n'ont pas eu le temps ou les connaissances requises
pour s'en occuper, envoyez-leur un courrier immédiatement.
Le thème de ce manuel fait clairement comprendre qu'il est important de tenir
ce manuel à jour ; vous pouvez apporter votre pierre à l'édifice. S'il
vous plaît, aidez-nous.
1.3 Connaissances requises
L'installation de Debian GNU/Linux n'est pas très difficile et vous avez été
sans doute capable de l'installer. Si vous disposez déjà de connaissances
concernant Linux ou d'autres Unices et si vous êtes quelque peu familier avec
les problèmes élémentaires de sécurité, il vous sera plus facile de comprendre
ce manuel, car ce document ne peut pas entrer dans tous les petits détails
(sans quoi cela aurait été un livre plutôt qu'un manuel). Si vous n'êtes pas
si familier que cela, vous pouvez consulter Être conscient des problèmes de sécurité,
Section 2.2 pour savoir où trouver des informations plus approfondies sur
le sujet.
1.4 Éléments restant à écrire (FIXME/TODO)
-
Envisager la rédaction d'une section sur la construction d'application
orrientée réseau pour Debian (avec des informations telles que le système de
base,
equivs
et FAI).
-
Comment mettre en place un pare-feu en utilisant Debian GNU/Linux. La section
sur les pare-feux concerne un système isolé (pas de protection d'autres
machines...). Comment tester la configuration.
-
Paramétrage d'un serveur mandataire pare-feu avec Debian GNU/Linux et faire un
état des lieux des paquets fournissant des services proxy (tels que
xfwp
,xproxy
, ftp-proxy
,
redir
, smtpd
, nntp-cache
,
dnrd
, jftpgw
, oops
, pnsd
,
perdition
, transproxy
, tsocks
). Renvoi
au manuel pour toute autre information. Considérer également que le paquet
Debian zorp n'est pas (encore) disponible mais qu'il s'agit d'un
mandataire pare-feu (Il existe des paquets Debian fournis par les auteurs).
-
Informations sur la configuration de services avec file-rc
-
Vérification de toutes les URLs et supprimer ou corriger celles qui ne sont
plus disponibles.
-
Ajouter des informations sur les substituts de serveurs typiques (disponibles
dans Debian) qui fournissent des fonctionnalisés restreintes. Par
exemple :
-
lpr local avec cups (paquet) ? ;
-
apache avec dhttpd/thttpd/wn (tux?) ;
-
exim/sendmail avec ssmtpd/smtpd/postfix ;
-
Plus plus amples informations concernant les rustines spécialisées dans la
sécurité du noyaux dans Debian, incluant celles montrées ci-dessus et ajouter
des informations sur la façon de s'en servir dans un système Debian.
-
Linux Intrusion Detection (
lids-2.2.19
) ;
-
Linux Trustees (paquet
trustees
) ;
-
kernel-patch-2.2.19-harden
;
-
Linux capabilities (paquet
lcap
;
-
kernel-patch-freeswan,kernel-patch-int
.
-
Précisions sur l'arrêt de certains services réseaux non nécessaires (outre
inetd) ; ceci fait partie de la procédure de consolidation mais elle peut
être élargie un petit peu.
-
Informations sur le renouvellement des mots de passes ; c'est étroitement
lié à la politique mise en place.
-
Politique de sécurité et formation des utilisateurs.
-
Davantage à propos de tcpwrappers, et des wrappers en général ?
-
hosts.equiv
et d'autres trous de sécurités majeurs.
-
Problèmes avec les serveurs de partage de fichiers tels que Samba et NFS ?
-
suidmanager/dpkg-statoverrides.
-
Déconnecter les outils Gnome qui utilisent IP.
-
Parler des programmes pour faire des « prisons » chroot.
Compartment
et chrootuid
attendent dans incoming.
D'autres (makejail, jailer) pourraient aussi être présentés.
-
Plus d'informations concernant les logiciels d'analyse de journaux (i.e.
logcheck et colorize).
-
Routage « avancé » (la politique de trafic concerne la sécurité)
-
Restreindre
ssh
pour qu'il puisse uniquement exécuter de certaines
commandes.
-
Utilisation de dpkg-statoverride.
-
Moyens sûrs de partager un graveur de CD parmi les utilisateurs.
-
Moyens sûrs de fournir du son en réseau en plus des possibilités d'affichage en
réseau (pour que le son des clients X soient envoyées sur le périphérique son
du serveur X)
-
Sécurisation des navigateurs web.
-
Configurer ftp au travers de
ssh
.
-
Utilisation des systèmes de fichiers « loopback » chiffrés.
-
Chiffrement entier du système de fichiers.
-
Outils stéganographiques.
-
Configurer une autorité de clés publiques (PKA) pour une organisation.
-
Utiliser LDAP pour gérer les utilisateurs. Il y a un HOWTO de ldap+kerberos
pour Debian à www.bayour.com écrit par Turbo Fredrikson.
-
Comment enlever des informations non-essentielles sur les systèmes de
production tels que /usr/share/doc, /usr/share/man (oui, sécurité par
obscurité).
1.5 Changelog/Historique
1.5.1 Version 2.8 (novembre 2002)
Modifications de Javier Fernández-Sanguino Peña (moi).
-
Application des rustines de Carlo Perassi, corrections incluant :
modification de la longueur de lignes, correction d'URL, et correction de
certains FIXMES ;
-
Mise à jour du contenu de la FAQ de l'équipe en charge de la sécurité de
Debian ;
-
Ajout d'un lien vers la FAQ de l'équipe en charge de la sécurité de Debian et
la référence du développeur Debian, les sections dupliquées pourraient (juste
pourraient) être supprimées à l'aveni ;
-
Correction de la section d'audit manuel avec les commentaires de Michal
Zielinski ;
-
Ajout d'un lien vers des dictionnaires (contribution de Carlo Perassi).
1.5.2 Version 2.7 (octobre 2002)
Modifications de Javier Fernández-Sanguino Peña (moi). Note : j'ai encore
beaucoup de modifications qui sont stockées dans ma boîte de réception (ce qui
représente en ce moment environ 5 Mo) à intégrer.
-
Correction de quelques fautes qui ont été signalées par Tuyen Dinh, Bartek
Golenko et Daniel K. Gebhart ;
-
Note concernant les rootkits utilisant /dev/kmem suggérées par Laurent
Bonnaud ;
-
Correction de fautes et de FIXMes par Carlo Perassi.
1.5.3 Version 2.6 (septembre 2002)
Modifications de Chris Tillman, tillman@voicetrak.com.
-
Modifications pour améliorer la grammaire/l'orthographe ;
-
s/host.deny/hosts.deny/ (1 endroit) ;
-
Application de la rustine de Larry Holish (assez grosse, corrige de nombreux
FIXMEs).
1.5.4 Version 2.5 (septembre 2002)
Modifications de Javier Fernández-Sanguino Peña (moi).
-
Corrections de quelques fautes signalées par Thiemo Nagel ;
-
Ajout d'une note de bas de page sur les conseils de Thiemo Nagel ;
1.5.5 Version ;2.5 (août 2002)
Modifications de Javier Fernández-Sanguino Peña (moi). Il y avait beaucoup de
choses en attente dans ma boîte de réception (depuis février), je vais donc
appeler ceci la version retour de lune de miel :)
-
Application d'une rustine fournie par Philipe Gaspar concernant Squid qui
supprime aussi un FIXME ;
-
Encore une autre FAQ concernant les bannières de services provenant de la liste
de diffusion debian-security (discussion « Telnet information »
démarrée le 26 juillet 2002) ;
-
Ajout d'une note concernant l'utilisation des références croisée CVE dans
l'élément de la FAQ En combien de temps l'équipe en charge de la sécurité
de Debian... ;
-
Ajout d'une nouvelle section concernant les attaques ARP fournie par Arnaud
« Arhuman » Assad ;
-
Nouvelle FAQ concernant dmesg et le démarrage en mode console par le
noyau ;
-
Petites parcelles d'informations sur les problèmes de vérification de signature
dans les paquets (il semble qu'ils n'aient pas passé le stade de la version
béta) ;
-
Nouvelle FAQ concernant les faux positifs des outils d'évaluation de
vulnérabilité ;
-
Ajout de nouvelles sections au chapitre qui contient des informations sur les
signatures de paquet et réorganisation en un nouveau chapitre
Infrastructure de sécurité Debian ;
-
Nouvel élément de FAQ concernant Debian et les autres distributions
Linux ;
-
Nouvelle section sur les clients de mail avec des fonctionnalités GPG/PGP dans
le chapitre outils de sécurité ;
-
Clarification sur la manière d'activer les mots de passe MD5 dans la
Woody, ajout d'une lien vers PAM ainsi qu'une note concernant la
définition de max dans PAM ;
-
Ajout d'une nouvelle annexe sur comment créer des environnements
« chroot » (après avoir joué un peu avec makejail et avoir corrigé,
aussi, quelques-un de ses bogues), intégration des informations dupliquées dans
toutes les annexes ;
-
Ajout d'informations complémentaires concernant le « chrootage » de
SSH
et de son impact sur les transferts sécurisés de fichiers.
Certaines informations ont été récupérées de la liste de diffusion
debian-security (Juin 2002 discussion ;:Secure file
transfers) ;
-
Nouvelles sections sur la mise à jour automatique des systèmes Debian ainsi que
les dangers d'utiliser la distribution « testing » ou la distribution
« unstable » du point de vue des mises à jour de sécurité ;
-
Nouvelle section, concernant la manière de rester à jour avec la mise en place
de rustines de sécurité, dans la section avant la compromission ainsi
qu'une nouvelle section sur la liste de diffusion
debian-security-announce ;
-
Ajouts d'informations sur la manière de générer automatiquement des mots de
passe sûrs ;
-
Nouvelle section relative à la connexion des utilisateurs oisifs
(idle) ;
-
Réorganisation de la section sécurisation du serveur de mail suite à la
discussion Secure/hardened/minimal Debian (ou "Why is the base system
the way it is?") sur la liste de diffusion debian-security (Mai
2002) ;
-
Réorganisation de la section sur les paramètres réseaux du noyau, avec les
informations fournies par la liste de diffusion debian-security (Mai 2002,
discussion syn flood attacked?) et ajout d'un nouvel élément de
FAQ ;
-
Nouvelle section sur la manière de vérifier les mots de passe des utilisateurs
et quels paquets utiliser pour cela ;
-
Nouvelle section sur le chiffrement PPTP avec les clients Microsoft discuté sur
la liste de diffusion debian-security (Avril 2002) ;
-
Ajout d'une nouvelle section décrivant les problèmes qui peuvent survenir
lorsque l'on attribue une adresse IP spécifique pour chaque service, cette
information a été écrite d'après d'une discussion qui s'est tennue sur de la
liste de diffusion bugtraq : Linux kernel 2.4 "weak end
host" issue (discuté précédemment sur debian-security sous le titre
« arp problem ») (démarré le 9 mai 2002 par Felix von
Leitner) ;
-
Ajout d'informations sur le protocole
ssh
version 2 ;
-
Ajout de deux sous-sections relatives à la configuration sécurisée d'Apache
(C'est à dire, les choses spécifiques à la Debian) ;
-
Ajout d'une nouvelle FAQ traitant des « raw sockets », une relative à
/root, une partie traitant des groupes d'utilisateurs et une autre traitant des
permissions des journanaux et des permission des fichiers de
configuration ;
-
Ajout d'un lien vers un bogue dans libpam-cracklib qui pourrait encore être
présent... (besoin de vérifier) ;
-
Ajout de plus d'informations sur l'analyse avancée (en suspend, plus
d'information sur les outils d'inspection de paquet tels que
tcpflow
) ;
-
Transformation de « Que dois je faire concernant la compromission »
en une série d'énumération et en y ajoutant plus d'éléments ;
-
Ajout d'informations sur la configuration de Xscreensaver pour verrouiller
l'écran automatiquement après une durée donnée ;
-
Ajout d'une note sur les utilitaires que vous ne devriez pas installer sur un
système. Inclus une note concernant Perl et pourquoi il ne peut pas être
retiré facilement de la Debian. L'idée vient de la lecture des documents
d'Intersect concernant le renforcement de Linux ;
-
Ajout d'informations sur lvm et les systèmes de fichiers journalisés, ext3 est
préconisé. Les informations pourraient cependant y être trop génériques ;
-
Ajout d'une lien sur la version texte disponible en ligne (à vérifier) ;
-
Ajout d'informations additionnelles sur la protection par pare-feu d'un système
local, faisant suite à un commentaire d'Hubert Chan sur la liste de
diffusion ;
-
Ajout d'informations additionnelles sur les limites PAM et de liens vers les
documents de Kurt Seifried (relatifs à un de ses posts sur bugtraq le 4 avril
2002 répondant à une personne qui avait « découvert » une
vulnérabilité dans Debian GNU/Linux relative à la privation de
ressource) ;
-
Comme suggéré par Julián Muñoz, ajout de plus d'information sur l'umask par
défaut de la Debian et ce à quoi un utilisateur peut accéder si on lui a donné
un shell sur le système (effrayant, hein?) ;
-
Inclusion d'une note dans la section du mot de passe BIOS suite à un
commentaire d'Andreas Wohlfeld ;
-
Inclusion des rustines fournies par Alfred E. Heggestad corrigeant beaucoup de
fautes encore présentes dans le document ;
-
Ajout d'un lien vers le changelog dans la section des remerciements comme
beaucoup des personnes qui ont contribué sont listées ici (et pas là
bas) ;
-
Ajout de quelques notes complémentaires dans la section de chattr et d'une
nouvelle section après l'installation qui parle des images systèmes. Les deux
idées sont la contribution de Kurt Pomeroy ;
-
Ajout d'une nouvelle section après l'installation juste pour rappeler aux
utilisateurs de changer la séquence de démarrage ;
-
Ajout d'éléments restant à faire (TODO) fournis par Korn Andras ;
-
Ajout d'un lien vers les recommandations du NIST sur la manière de sécuriser un
DNS. Cette contribution nous est fournie par Daniel Quinlan ;
-
Ajout d'un petit paragraphe concernant l'infrastructure des certificats SSL de
la Debian ;
-
Ajout des suggestions de Daniel Quinlan concernant l'authentification
ssh
et la configuration d'exim en relai ;
-
Ajout de plus d'information concernant la sécurisation de bind incluant les
modifications suggérées par Daniel Quinlan et une annexe avec un script pour
faire quelques un des changements commentés dans cette section ;
-
Ajout d'un lien vers un autre élément concernant le « chrootage » de
Bind (a besoin d'être fusionné) ;
-
Ajout d'un une ligne de Cristian Ionescu-Idbohrn pour récupérer les paquets
avec support des tcpwrappers ;
-
Ajout d'un peu plus d'information sur la configuration PAM par défaut de la
Debian ;
-
Inclusion d'une question dans la FAQ au sujet de l'utilisation de PAM pour
fournir des services sans comptes shell ;
-
Déplacement de deux éléments de la FAQ dans une autre section et ajout d'une
nouvelle FAQ concernant la détection des attaques (et des systèmes
corrompus) ;
-
Inclusion d'information sur configurer un pont pare-feu (incluant une annexe
d'exemple). Merci à Francois Bayar qui m'a envoyé ça en Mars ;
-
Ajout d'une FAQ concernant les MARK d'heartbeat dans le syslogd
d'après une question à laquelle Noah Meyerhans et Alain Tesio ont répondu en
décembre 2001 ;
-
Inclusion d'information sur la protection contre les débordements de tampons
ainsi que quelques informations sur les rustines du noyau ;
-
Ajout d'informations supplémentaires (et réorganisation) de la section
pare-feu. Mise à jour des informations concernant le paquet iptables et les
générateurs de pare-feu disponibles ;
-
Réorganisation des informations concernant la vérification des journaux,
déplacement des informations de logcheck sur la détection d'intrusion machine
vers cette section ;
-
Ajout d'informations sur la manière de préparer un paquet statique pour bind
dans l'optique d'un « chrootage » (non testé) ;
-
Ajout d'un élément de FAQ concernant certains serveurs/services spécifiques
(pourrait être développé avec quelques une des recommandations de la liste de
diffusion debian-security) ;
-
Ajout d'informations sur les services RPC (et quand ils sont
nécessaires) ;
-
Ajout de plus d'informations sur les possibilité d'amélioration (et ce que fait
lcap). Y a-t-il une bonne documentation sur ce sujet ? Je n'ai trouvé
aucune documentation sur mon noyau 2.4 ;
1.5.6 Version 2.4
Modifications de Javier Fernández-Sanguino Peña.
-
Réécriture d'une partie de la section BIOS.
1.5.7 Version 2.3
Modifications de Javier Fernández-Sanguino Peña.
-
Encadrement de la plupart des emplacements de fichiers par la balise
« file » ;
-
Correction de fautes rapportées par Edi Stojicevi ;
-
Légère modification de la section des outils d'audit distant ;
-
Ajout d'éléments à faire (todo) ;
-
Ajout d'informations concernant les imprimantes et du fichier de configuration
de cups (tiré d'une discussion sur debian-security) ;
-
Ajout d'une rustine soumise par Jesus Climent concernant l'accès d'utilisateurs
valides du système à proftpd quand il est configuré en serveur anonyme ;
-
Petite modification aux schémas de partitionnement dans le cas particulier des
serveurs de mails ;
-
Ajout du livre « Hacking Linux Exposed » à la section des
livres ;
-
Correction d'une faute de frappe sur un répertoire rapportée par Eduardo Pérez
Ureta ;
-
Correction d'une coquille daus /etc/ssh dans la liste de contrôle signalée par
Edi Stojicevi.
1.5.8 Version 2.3
Modifications de Javier Fernández-Sanguino Peña.
-
Correction de l'emplacement du fichier de configuration de dpkg ;
-
Suppression d'Alexander des informations sur les contacts ;
-
Ajout d'une autre adresse mail ;
-
Correction de l'adresse mail d'Alexander (même si elle est commentée) ;
-
Correction de l'emplacement des clés de versions (merci à Pedro Zorzenon pour
avoir relevé cette erreur).
1.5.9 Version ;2.2
Modifications de Javier Fernández-Sanguino Peña.
-
Corrections de fautes, merci à Jamin W. Collins pour ces corrections ;
-
Ajout d'une référence à la page de manuel d'apt-extracttemplate (documentation
sur la configuration de APT::ExtractTemplate) ;
-
Ajout d'une section concernant la limitation de SSH. Informations basées sur
celles qui ont été postées par Mark Janssen, Christian G. Warden et Emmanuel
Lacour sur la liste de diffusion debian-security ;
-
Ajout d'informations sur les logiciels antivirus.
-
Ajout d'une FAQ : journaux de su provenant du fait que cron fonctionne
entant que root.
1.5.10 Version 2.1
Modifications de Javier Fernández-Sanguino Peña.
-
Modifications du « FIXME » de lshell, merci à Oohara Yuuma ;
-
Ajout d'un paquet sXid et retrait du commentaire étant donné qu'il est
disponible ;
-
De nombreuses fautes relevées par Oohara Yuuma ont été corrigées ;
-
ACID est maintenant disponible dans Debian (dans le paquet acidlab) ;
-
Liens de LinuxSecurity corrigés (merci à Dave Wreski de nous l'avoir signalé).
1.5.11 Version 2.0
Modifications de Javier Fernández-Sanguino Peña. Je voulais passer à 2.0 quand
tous les « FIXME » auraient été supprimés mais j'ai manqué de numéro
dans la série 1.9X :(
-
Transformation du HOWTO en Manuel (maintenant je peux dire RTFM !) ;
-
Ajout d'informations concernant les tcp wrappers et Debian (maintenant
plusieurs services sont compilés avec le support adéquat ; ainsi ceci
n'est plus un problème d'
inetd
) ;
-
Clarification des informations sur la désactivation des services pour la rendre
plus cohérente (les infos sur rpc se réferent toujours à update-rc.d) ;
-
Ajout d'une petite note sur lprn ;
-
Ajout de quelques infos sur les serveurs corrompus (toujours très
approximatif) ;
-
Corrections des fautes signalées par Mark Bucciarelli ;
-
Ajout d'étapes supplémentaires sur la récupération des mots de passe lorsque
l'admin a paramétré paranoid-mode=on ;
-
Ajout d'informations pour paramétrer paranoid-mode=on lorsque l'on se connecte
en mode console ;
-
Nouveau paragraphe pour présenter la configuration des services ;
-
Réorganisation de la section Après l'installation afin de permettre
une lecture plus aisée du document ;
-
Informations sur la manière de paramétrer des pare-feux avec l'installation
standard de Debian 3.0 (paquet iptables) ;
-
Petit paragraphe détaillant pourquoi l'installation par le réseau n'est pas une
bonne idée et comment on peut l'éviter en utilisant les outils Debian ;
-
Petit paragraphe sur un article de l'IEEE qui souligne l'importance d'une
application rapide des rustines ;
-
Annexe sur la manière de paramétrer une bécane snort Debian, basé sur ce que
Vladimir a envoyé à la liste de diffussion debian-security (le 3 septembre
2001) ;
-
Information sur la manière dont est configurée logcheck dans Debian et comment
il peut être utilisé pour paramétrer HIDS ;
-
Informations sur les comptes utilisateurs et sur les analyses de profils ;
-
Inclusion de la configuration de apt.conf pour un /usr uniquement
lisible ; copié à partir du courrier d'Olaf Meeuwissen envoyé à la liste
de diffusion debian-security ;
-
Nouvelle section sur le VPN qui contient quelques liens ainsi que les paquets
disponibles dans Debian (besoin de contenu concernant l'installation de VPN et
les problèmes spécifiques à Debian) basé sur les courriers de Jaroslaw Tabor et
Samuli Suonpaa postés sur la liste de diffusion debian-security ;
-
Petite note concernant quelques programmes pour construire automatiquement des
prisons « chrootées » ;
-
Nouveau sujet de FAQ concernant identd d'après une discussion sur la liste de
diffusion debian-security (février 2002, commencé par Johannes Weiss) ;
-
Nouveau sujet de FAQ concernant
inetd
d'après une discussion sur
la liste de diffusion debian-security (février 2002) ;
-
Note d'introduction sur rcconf dans la section « désactivation de
services » ;
-
Diverses approches concernant le LKM. Remerciements à Philipe Gaspar ;
-
Ajouts de liens vers les documents du CERT et les ressources Couterpane.
1.5.12 Version 1.99
Modifications de Javier Fernández-Sanguino Peña.
-
Ajout d'un nouveau sujet de FAQ concernant le temps de réaction à avoir pour
corriger les failles de sécurité ;
-
Réorganisation des sections de la FAQ ;
-
Début d'une section concernant les pare-feux dans Debian GNU/Linux (pourrait
être un peu élargi) ;
-
Corrections de fautes signalées par Matt Kraai ;
-
Correction sur les informations DNS ;
-
Ajout d'informations sur whisker et nbtscan à la section audit ;
-
Correction d'URL erronées.
1.5.13 Version 1.98
Modifications de Javier Fernández-Sanguino Peña.
-
Ajout d'une nouvelle section concernant l'utilisation de la Debian GNU/Linux
pour réaliser des audits ;
-
Ajout d'infos concernant le démon finger depuis la liste de diffusion
debian-security.
1.5.14 Version 1.97
Modifications de Javier Fernández-Sanguino Peña.
-
Correction du lien pour Linux Trustees ;
-
Correction de fautes (rustines d'Oohara Yuuma et Pedro Zorzenon).
1.5.15 Version 1.96
Modifications de Javier Fernández-Sanguino Peña.
-
Réorganisation de la section installation et suppression de services et ajout
de nouvelles notes ;
-
Ajout de quelques notes concernant l'utilisation d'outils tels que les outils
de détection d'intrusion ;
-
Ajout d'un chapitre concernant la signature de paquets.
1.5.16 Version 1.95
Modifications de Javier Fernández-Sanguino Peña.
-
Ajout de notes concernant la sécurité de Squid envoyés par Philipe
Gaspar ;
-
Correction de liens rootkit. Merci à Philipe Gaspar.
1.5.17 Version 1.94
Modifications de Javier Fernández-Sanguino Peña.
-
Ajout de quelques notes concernant Apache et Lpr/lpng ;
-
Ajout d'informations concernant les partitions noexec et readonly ;
-
Réécriture de la manière dont les utilisateurs peuvent aider aux problèmes liés
à la sécurité Debian (sujet d'une FAQ).
1.5.18 Version 1.93
Modifications de Javier Fernández-Sanguino Peña.
-
Correction de l'emplacement du programme mail ;
-
Ajout de nouveaux sujets à la FAQ.
1.5.19 Version 1.92
Modifications de Javier Fernández-Sanguino Peña.
-
Ajout d'une petite section sur la manière dont Debian s'occupe de la
sécurité ;
-
Clarification sur les mots de passe MD5 (merci à « rocky ») ;
-
Ajout d'informations concernant le renforcement de X par Stephen van
Egmond ;
-
Ajout de nouveaux sujets à la FAQ.
1.5.20 Version .91
Modifications de Javier Fernández-Sanguino Peña.
-
Ajout d'informations détaillées envoyées par Yotam Rubin ;
-
Ajout de renseignements sur la manière de mettre en place un
« honeynet » en utilisant Debian GNU/Linux ;
-
Ajout de TODOS supplémentaires ;
-
Correction de nouvelles fautes (merci Yotam !).
1.5.21 Version 1.9
Modifications de Javier Fernández-Sanguino Peña.
-
Ajout d'une rustine pour corriger des « fautes d'orthographe » et
nouvelles informations (contributions de Yotam Rubin) ;
-
Ajout d'informations sur la configuration d'options de Bind pour restreindre
l'accès au serveur DNS ;
-
Ajout d'informations sur la consolidation automatique d'un système Debian (par
référence aux paquets harden et bastille) ;
-
Suppression de quelques TODOs terminés et ajout de nouveaux.
1.5.22 Version 1.8
Modifications de Javier Fernández-Sanguino Peña.
-
Ajout de la liste des utilisateurs et des groupes standard, donnée par Joey
Hess à la liste de discussion debian-security ;
-
Ajout d'informations sur Proftp avec la contribution d'Emmanuel Lacour ;
-
Rajout de l'annexe « pense-bête » d'Era Eriksson ;
-
Ajout de nouveaux TODOs et retrait de ceux terminés ;
-
Ajout manuel des rustines d'Era car elles n'ont pas été incluses dans la
version précédente.
1.5.23 Version 1.7
Modifications d'Era Eriksson.
-
Fautes de frappes et changements de formulation
Modifications de Javier Fernández-Sanguino Peña.
-
Changements mineurs de balises : supprimer les balises tt et les remplacer
par les balises prgn/package.
1.5.24 Version 1.6
Modifications de Javier Fernández-Sanguino Peña.
-
Ajout d'un lien sur le document publié dans le DDP (devrait à terme remplacer
l'original) ;
-
Démarrage d'une mini-FAQ (qui devrait être élargie) avec quelques questions
récupérées depuis ma boite de réception ;
-
Ajout d'informations générales concernant la sécurisation ;
-
Ajout d'un paragraphe au sujet de la distribution de courriers locaux ;
-
Ajout de quelques liens vers d'autres sources d'informations ;
-
Ajout d'informations sur le service d'impression ;
-
Ajout d'une liste de tâches sur le renforcement de la sécurité ;
-
Réorganisation des informations sur NIS et RPC ;
-
Ajout de quelques notes lors de la lecture de ce document sur mon nouveau
Visor :)
-
Correction de certaines lignes mal formattées ;
-
Fautes de frappes corrigées ;
-
Ajout d'une idée Géniale/Paranoïaque avec la contribution de Gaby Schilders.
1.5.25 Version 1.5
Modifications de Josip Rodin et Javier Fernández-Sanguino Peña.
-
Ajout de paragraphes concernant BIND et quelques FIXMEs.
1.5.26 Version 1.4
-
Petit paragraphe sur la vérification des « setuid »
-
Différents nettoyages mineurs ;
-
Découverte sur la manière d'utiliser sgml2txt -f pour la version
txt.
1.5.27 Version 1.3
-
Ajout de mise à jour de sécurité après le paragraphe « après
installation » ;
-
Ajout d'un paragraphe proftpd ;
-
Cette fois, quelque chose concernant XDM a réellement été écrit. Désolé pour
la dernière fois.
1.5.28 Version 1.2
-
Beaucoup de corrections grammaticales de James Treacy, nouveau paragraphe XDM.
1.5.29 Version 1.1
-
Corrections de fautes de frappes, divers ajouts.
1.5.30 Version 1.0
1.6 Remerciements à :
-
Alexander Reelsen qui a écrit le document original.
-
Javier Fernández-Sanguino qui a ajouté des informations au document original.
-
Robert van der Meulen pour les paragraphes sur les quotas ainsi que de
nombreuses bonnes idées.
-
Ethan Benson qui a corrigé le paragraphe sur PAM et qui a eu quelques idées de
qualité.
-
Dariusz Puchalak qui a contribué aux informations de plusieurs chapitres.
-
Gaby Schilders qui a eu une idée Géniale/Paranoïaque sympathique.
-
Era Eriksson qui a éliminé les fautes de langage et qui a contribué à l'annexe
« pense-bête ».
-
Philipe Gaspar qui a écrit les informations concernant LKM.
-
Yotam Rubin qui a contribué à régulariser toutes les fautes de frappes ainsi
que les informations liées aux versions de Bin et aux mots de passes md5.
-
Tout le monde qui m'a encouragé (Alexander) à écrire ce HOWTO (qui plus tard a
évolué vers le Manuel).
[ précédent ]
[ Table des matières ]
[ 1 ]
[ 2 ]
[ 3 ]
[ 4 ]
[ 5 ]
[ 6 ]
[ 7 ]
[ 8 ]
[ 9 ]
[ 10 ]
[ 11 ]
[ A ]
[ B ]
[ C ]
[ suivant ]
Securing Debian Manual
2.8 14 febrero 2004Mon, 18 Nov 2002 23:13:42 +0100
Javier Fernández-Sanguino Peña jfs@computer.org