[relecture] securing-debian-manuel
Salut,
voici une relecture de l'introduction du securing-debian-manuel.
a+
--
Philippe Batailler
in girum imus nocte et consumimur igni
--- securing-debian-manual-fr.sgml.old Tue Oct 22 21:59:23 2002
+++ securing-debian-manual-fr.sgml Sat Oct 26 12:02:44 2002
@@ -15,12 +15,11 @@
<date>Tue, 23 Apr 2002 20:56:15 +0200
<abstract>
-Ce document décrit la procédure de sécurisation et de renforcement
-pour une installation Debian par défaut. Il couvre quelques tâches
-courantes telles que la sécurisation d'un réseau en utilisant
-Debian GNU/Linux et donne également des informations complémentaires
-sur les outils de sécurisation disponible ainsi que sur le travail
-accompli par l'équipe Sécurité Debian.
+Ce document décrit comment sécuriser l'installation d'un système Debian
+standard. Il couvre quelques tâches courantes telles que la sécurisation d'un
+réseau qui utilise Debian GNU/Linux et il donne également des informations
+complémentaires sur les outils de sécurisation disponibles ainsi que sur
+le travail accompli par l'équipe Debian consacrée à la sécurité.
</abstract>
<copyright> <copyrightsummary>Copyright © 2002 Javier Fernández-Sanguino Peña
@@ -40,35 +39,39 @@
<chapt>Introduction
<p>
-Une des choses les plus dures dans l'écriture de documents liés à la sécurité est
-que chaque cas est unique. Deux choses auxquelles il faut prêter attention sont les
-menaces pour un environnement et les besoins liés à un site individuel, un hôte ou
-un réseau. Par exemple, les besoins pour une utilisation familliale sont complètement
-différents de ceux liés à un réseau d'une banque. Alors que la première menace à laquelle un
-utilisateur quelconque doit faire face est le "script kiddie", un réseau banquier
-doit se soucier des attaques dont il peut être la cible. De plus, la banque se
-doit de protéger les données de ses clients. En résumé, chaque utilisateur doit
-faire un compromis entre disponibilité et sécurité/paranoïa.
+L'une des choses les plus difficiles dans l'écriture de documents liés à la
+sécurité est que chaque cas est unique. Il faut prêter attention à deux
+choses : la menace que constitue l'environnement et les besoins de
+sécurité liés à un site individuel, une machine ou un réseau. Par exemple,
+les besoins d'une utilisation familiale sont complètement différents de
+ceux liés à un réseau de banque. Alors que la première menace à laquelle un
+utilisateur quelconque doit faire face est le « script kiddie »",
+un réseau de banque doit se soucier des attaques directes. De plus, la banque
+se doit de protéger les données de ses clients avec une précision
+arithmétique. En résumé, chaque utilisateur
+doit faire un compromis entre facilité d'utilisation et sécurité virant
+à la paranoïa.
<!-- Is this metaphor really appropriate? Sounds like rounding errors to me, era -->
<p>
Notez que ce manuel couvre seulement les questions liées aux logiciels.
Le meilleur programme au monde ne pourra vous protéger si quelqu'un peut
-accéder physiquement à la machine. Elle peut être sous votre bureau ou dans un
-bunker avec une armée la protégeant. Malgré cela, l'ordinateur peut être plus
-sécurisé (d'un point de vue logiciel) que celui protégé physiquement s'il est
-configuré correctement et que l'autre est plein de trous de sécurité.
-Bien entendu, vous devez prendre en compte les deux problèmes.
+accéder physiquement à la machine. Vous pouvez la mettre sous votre bureau ou
+dans un bunker protégé par une armée. Néammoins, l'ordinateur sera beaucoup
+plus sûr (d'un point de vue logiciel) que celui protégé physiquement s'il est
+configuré correctement et que les logiciels de l'autre sont pleins de trous
+de sécurité.
+Bien entendu, vous devez prendre en compte les deux aspects.
<p>
-Ce document vous donne un aperçu de ce que vous pouvez faire pour augmenter la
+Ce document donne un aperçu de ce que vous pouvez faire pour augmenter la
sécurité de votre système Debian GNU/Linux. Si vous avez lu des documents
-concernant la sécurité Linux, vous trouverez des similitudes avec ce document.
-D'ailleurs, ce manuel n'essaye pas d'être la source d'information ultime que vous
-utiliserez, il essaye seulement d'adapter les mêmes informations afin qu'elles soient
-significatives au système Debian GNU/Linux.
-D'autres distributions procèdent de la même manière mais d'une façon différente
-(le démarrage de daemons est un exemple courant); ici, vous trouverez matière appropriée
-pour les procédures et les outils Debian.
+concernant la sécurité sur Linux, vous trouverez des similitudes avec ce
+document. Cependant, ce manuel ne se veut pas l'ultime source d'informations
+que vous utiliserez, il essaye seulement d'adapter ces informations au
+système Debian GNU/Linux.
+D'autres distributions procèdent de manière différente pour certaines
+questions (le démarrage de démons est un exemple courant) ; ici, vous
+trouverez ce qui convient aux procédures et aux outils Debian.
<!--
# Does this approximate the intent of the original author? (FIXME: check)
# Original text said: "you will find here [sic] a different approach,
@@ -77,24 +80,26 @@
<!-- IMHO yes, jfs -->
<p>
-Si vous avez des commentaires, annexes ou suggestions, envoyez-moi un mail à
-<url name="Alexander Reelsen" id="mailto:alex@rhwd.owl.de";> et
+Si vous avez des commentaires, des éléments à ajouter ou des suggestions,
+envoyez-les à
<url name="Javier Fernández-Sanguino" id="mailto:jfs@computer.org";>
-et ils seront introduits dans ce manuel.
-
+(autre adresse : jfs@debian.org) et ils seront intégrés dans ce manuel.
+<!-- j'ai mis à jour sur version 2.6, pb -->
<sect>Télécharger ce manuel
<p>
-Vous pouvez télécharger ou visualiser la nouvelle version du manuel de Sécurisation
+Vous pouvez télécharger ou lire la nouvelle version du manuel de sécurisation
Debian à l'adresse <url name="Debian Documentation Project"
id="http://www.debian.org/doc/manuals/securing-debian-howto/";>.
Jetez un oeil également à la version CVS sur <url name="CVS server"
id="http://cvs.debian.org/ddp/manuals.sgml/securing-howto/?cvsroot=debian-doc";>.
<p>
-Vous ne pouvez pas télécharger le document dans d'autres formats (PDF ou txt) depuis
-le site du Projet de Documentation Debian. Cependant, vous pouvez le télécharger ou
-installer le paquet <url id="http://packages.debian.org/harden-doc";
-name="harden-doc"> qui fourni le même document en format HTML, txt et PDF.
+Vous pouvez télécharger le document dans une
+<url id="http://www.debian.org/doc/manuals/securing-debian-howto/securing-debian-howto.txt"; name="version texte"> sur le site du Projet de Documentation
+Debian. Cependant, vous pouvez installer le paquet
+<url id="http://packages.debian.org/harden-doc"; name="harden-doc"> qui offre
+ce même document dans les formats HTML, txt et PDF.
+<!-- j'ai mis à jour sur version 2.6, pb -->
<!--
<p>
@@ -114,81 +119,81 @@
<!-- TODO: remove these stale links rather than leave references to -->
<!-- the old versions hanging around? era -->
-<sect> Avis/Réactions
+<sect> Avis et Réactions
<p>
-Maintenant, la partie officielle. Actuellement, j'ai (Alexander Reelsen) écrit
-la plupart des paragraphes de ce manuel mais à mon avis cela ne devrait plus
-rester le cas. J'ai grandi et vécu avec les logiciels libres, c'est une part
-de ma vie de tous les jours et j'espère de la vôtre aussi. J'encourage tout le monde
-à m'envoyer leurs réactions, astuces ou tout autres suggestions dont vous
-pourriez disposer.
+Maintenant, la partie officielle. Pour l'instant, c'est moi
+(Alexander Reelsen) qui a écrit la plupart des paragraphes de ce manuel
+mais, à mon avis, il ne faudrait pas que cela reste ainsi. J'ai grandi et
+vécu avec les logiciels libres, c'est
+une part de ma vie de tous les jours et j'espère de la vôtre aussi.
+J'encourage chacun à m'envoyer ses réactions, astuces ou suggestions.
<p>
-Si vous pensez que vous pouvez maintenir une certaine section ou paragraphe d'une
-meilleure façon, écrivez au responsable du document et vous serez le bienvenu
-pour le faire. En particulier si vous trouvez une section estampillée avec "FIXME",
+Si vous pensez que vous pouvez améliorer une section ou un paragraphe,
+écrivez au responsable du document. Cela sera apprécié !
+En particulier, si vous trouvez une section estampillée « FIXME »,
qui signifie que l'auteur n'a pas eu le temps ou les connaissances nécessaires
-concernant le sujet. Dans ce cas, laissez lui un mail immédiatement.
+pour terminer le sujet, envoyez-lui un courrier immédiatement.
<p>
-Le thème de ce manuel est relativement clair et il est important de le
-maintenir à jour, vous pouvez apporter votre pierre à l'édifice. S'il vous plait,
+Le thème de ce manuel fait comprendre qu'il est important de garder ce manuel
+à jour ; vous pouvez apporter votre pierre à l'édifice. S'il vous plaît,
aidez-nous.
<sect>Connaissances requises
<p>
L'installation de Debian GNU/Linux n'est pas très difficile et vous
-devriez être capable de l'installer. Si vous disposez déjà de connaissances
-concernant Linux ou d'autres Unices et si vous êtes quelque peu familier
-avec les bases de sécurité, il vous sera plus facile de comprendre ce manuel,
-étant donné que ce document ne peut pas en expliquer tous les petits détails
-(sans quoi cela aurait été un livre plutôt qu'un manuel). Si vous
-n'êtes pas si familier avec tout ceci et que, cependant, vous voudriez jeter
-un coup d'oeil sur <ref id="references"> pour trouver des informations plus
+avez été sans doute capable de l'installer. Si vous disposez déjà de
+connaissances concernant Linux ou d'autres Unices et si vous êtes quelque
+peu familier avec les problèmes élémentaires de sécurité, il vous sera plus
+facile de comprendre ce manuel, car ce document ne peut pas entrer dans tous
+les petits détails (sans quoi cela aurait été un livre plutôt qu'un manuel).
+Si vous n'êtes pas si familier que cela, vous pouvez consulter
+<ref id="references"> pour savoir où trouver des informations plus
approfondies sur le sujet.
-<sect>Sections devant être écrites (FIXME/TODO)
+<sect>Choses à écrire (FIXME/TODO)
<p>
<list>
-
-<item>Ajout d'informations sur la manière de mettre en place un firewall en utilisant
-Debian GNU/Linux. La section concernant les pares-feux est orientée actuellement
-vers un système seul (pas de protection d'autres machines ...)
-
-<item>Ajout d'informations sur le paramétrage d'un proxy pare-feux avec Debian
-GNU/Linux déclarant spécifiquement quels paquets fournissent des services proxy
-
-(tels <package>xfwp</package>,
+<!-- version 2.6 à traduire, pb -->
+<item>Comment mettre en place un firewall en utilisant
+Debian GNU/Linux. La section sur les pare-feux concerne un système isolé
+(pas de protection d'autres machines...). Comment tester la configuration.
+
+<item>Paramétrage d'un serveur mandataire pare-feux avec Debian
+GNU/Linux et liste des paquets fournissant des services
+<em>proxy</em>
+(tels que <package>xfwp</package>,
<package>xproxy</package>, <package>ftp-proxy</package>,
<package>redir</package>,
<package>smtpd</package>, <package>nntp-cache</package>, <package>dnrd</package>,
<package>jftpgw</package>,<package>oops</package>,<package>pnsd</package>,
<package>perdition</package>,<package>transproxy</package>,
-<package>tsocks</package>). Devrait pointer vers le manuel pour tout autre info.
-
-<item>Information sur la configuration de services avec file-rc
+<package>tsocks</package>). Renvoi au manuel pour toute autre information.
+<!-- sup. avec version 2.6 -->
+<item>Informations sur la configuration de services avec file-rc
-<item>Vérifiez toutes les URLs et retirer/fixer celles qui ne sont plus disponibles.
+<item>Vérification de toutes les URLs et suppression ou correction de celles
+qui ne sont plus disponibles.
-<item>Ajout d'information sur les substituts disponibles (dans Debian) pour les
-serveurs communs qui sont utilisables pour des utilités pratiques limitées. Par
-exemple :
+<item>Informations sur les substituts de serveurs communs (disponibles dans
+Debian) à fonctionnalité restreinte. Par exemple :
<list>
-<item>local lpr with cups (package)?
+<item>local lpr avec cups (paquet)?
- <item>remote lrp with lpr
+ <item>remote lrp avec lpr
- <item>bind with dnrd/maradns
+ <item>bind avec dnrd/maradns
- <item>apache with dhttpd/thttpd/wn (tux?)
+ <item>apache avec dhttpd/thttpd/wn (tux?)
- <item>exim/sendmail with ssmtpd/smtpd/postfix
+ <item>exim/sendmail avec ssmtpd/smtpd/postfix
- <item>squid with tinyproxy
+ <item>squid avec tinyproxy
- <item>ftpd with oftpd/vsftp
+ <item>ftpd avec oftpd/vsftp
<item>...
@@ -197,14 +202,14 @@
<item>Plus d'informations concernant les rustines pour noyaux
liées à la sécurité dans Debian, incluant celles montrées
-ci-dessus et le thème aborde leurs activations dans un système
+ci-dessus et informations sur leur activation dans un système
Debian.
<list>
<item>Linux Intrusion Detection (<package>lids-2.2.19</package>)
-<item>Linux Trustees (in package <package>trustees</package>)
+<item>Linux Trustees (paquet <package>trustees</package>)
<item><url name="NSA Enhanced Linux"
id="http://www.coker.com.au/selinux/";>
@@ -214,22 +219,22 @@
<item><package>kernel-patch-2.2.19-harden</package>
-<item>Linux capabilities (in package <package>lcap</package>
+<item>Linux capabilities (paquet <package>lcap</package>
<item><package>kernel-patch-freeswan,kernel-patch-int</package>
</list>
-<item>Détails sur l'arrêt de certains services réseaux non nécessaires
-(outre inetd), ceci fait partie de la procédure de durcissement mais
-peut être élargie un petit peu.
+<item>Précisions sur l'arrêt de certains services réseaux non nécessaires
+(outre inetd) ; ceci fait partie de la procédure de consolidation mais
+elle peut être élargie un petit peu.
-<item>Informations au sujet du renouvellement des mots de passes qui
-est profondément lié à la politique mise en place.
+<item>Informations sur le renouvellement des mots de passes ;
+c'est étroitement lié à la politique mise en place.
-<item>Politique et éducation des utilisateurs concernant la politique.
+<item>Politique de sécurité et éducation des utilisateurs.
-<item>Davantage à propos de tcpwrappers, et des wrappers en general?
+<item>Davantage à propos de tcpwrappers, et des wrappers en général?
<item><file>hosts.equiv</file> et d'autres trous de sécurités majeurs.
@@ -240,23 +245,28 @@
<item>lpr et lprng.
-<item>Déconnecter les trucs IP Gnome.
+<item>Déconnecter les trucs Gnome sur IP ou les tucs IP de Gnome.
</list>
+<!-- pleins de choses en 2.6-->
+
<sect>Changelog/Historique
<p>
+
+<!-- pleins de choses en 2.6-->
+
<sect1>Version 2.2
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
-<item>Fautes de frappes découvertes, remerciements à Jamin W. Collins.
-<item>Ajout d'une référence à la page de man de apt-extracttemplate
-(valider la configuration de APT::ExtracTemplate).
+<item>Corrections de fautes de frappes, remerciements à Jamin W. Collins.
+<item>Ajout d'une référence à la page de man de apt-extracttemplate
+(documentation sur la configuration de APT::ExtracTemplate).
<item>Ajout d'une section concernant la limitation de SSH. Informations
basées sur les mails de Mark Janssen, Christian G. Warden et Emmanuel Lacour
sur la liste de discussion debian-security.
<item>Ajout d'informations sur les logiciels antivirus.
-<item>Ajout d'une FAQ: logs de su du au lancement de cron sous root.
+<item>Ajout d'une FAQ: journaux de su provenant du fait que cron fonctionne sous root.
</list>
<sect1>Version 2.1
<p>Modifications de Javier Fernández-Sanguino Peña.
@@ -268,29 +278,29 @@
<item>Liens de LinuxSecurity réglés (merci à Dave Wreski).
</list>
<sect1>Version 2.0
-<p>Modifications de Javier Fernández-Sanguino Peña. Je voulais changer à
-2.0 quand tous les "FIXME" étaient fixés mais je voulais finir tous les
-1.9X :(
-<list>
-<item>Transformation du HOWTO en Manuel (maintenant je peux solidement dire RTFM)
-
-<item>Ajout de plus d'informations concernant les tcp wrappers et Debian
-(maintenant plusieurs services sont compilés avec le support adéquat ainsi ceci
-n'est plus un problème inetd).
+<p>Modifications de Javier Fernández-Sanguino Peña. Je voulais passer à
+2.0 quand tous les "FIXME" auraient été supprimés mais j' ai manqué de numéro
+dans la série 1.9X :(
+<list>
+<item>Transformation du HOWTO en Manuel (maintenant je peux dire RTFM !)
+
+<item>Ajout d'informations concernant les tcp wrappers et Debian
+(maintenant plusieurs services sont compilés avec le support adéquat ;
+ainsi ceci n'est plus un problème inetd).
-<item>Clarification d'une information sur la désactivation de services pour le rendre
-plus rigoureux (les infos sur rpc se réferent toujours à update-rc.d)
+<item>Clarification d'une information sur la désactivation de services pour la rendre
+plus rigoureuse (les infos sur rpc se réferent toujours à update-rc.d)
<item>Ajout d'une petite note sur lprng.
-<item>Ajout de quelques infos sur les services compromis (toujours aussi approximatif)
+<item>Ajout de quelques infos sur les serveurs compromis (toujours aussi approximatif)
-<item>Résolution concernant les fautes de frappes rapportées par Mark Bucciarelli.
+<item>Corrections des fautes de frappes rapportées par Mark Bucciarelli.
-<item>Ajout de quelques étapes supplémentaires dans la récupération de mot de passe
-pour se protéger des cas lorsque l'admin a paramétré paranoid-mode=on.
+<item>Ajout d'étapes supplémentaires sur la récupération des mots de
+passe quand l'admin a paramétré paranoid-mode=on.
-<item>Ajout d'informations pour paramétrer paranoid-mode=on lorsque l'on se connecte
+<item>Informations pour paramétrer paranoid-mode=on lorsque l'on se connecte
en console.
<item>Nouveau paragraphe pour présenter la configuration de service.
@@ -298,34 +308,36 @@
<item>Réorganisation de la section <em>Après l'installation</em> afin de permettre
une lecture plus aisée du document.
-<item>Ecriture d'information sur la manière de paramétrer des pares-feux avec
+<item>Informations sur la manière de paramétrer des pare-feux avec
l'installation standard Debian 3.0 (paquet iptables).
-<item>Petit paragraphe expliquant pour quelles raisons l'installation étant connecté
+<item>Petit paragraphe expliquant pour quelles raisons l'installation
+par le réseau
n'est pas une bonne idée et comment éviter cela en utilisant les outils Debian.
<item>Petit paragraphe sur un article de l'IEEE relatant de l'opportunité du patchage par référence.
-<--! A verifier si je trouve le paragraphe plus bas. jpg ?! -->
-
+<!-- A verifier si je trouve le paragraphe plus bas. jpg ?! -->
+<!-- et c'est vérifié ? pB -->
<item>Appendice sur la manière de paramétrer une bécane snort Debian, basé sur ce que Vladimir
a envoyé à la liste de discussion debian-security (3 septembre 2001)
-<item>Information sur la manière dont est configurée logcheck dans la Debian et comment
-il peut être utlisé pour paramétrer HIDS.
+<item>Information sur la manière dont est configurée logcheck dans Debian et
+comment il peut être utilisé pour paramétrer HIDS.
-<item>Information sur les comptes utilisateurs et sur les analyses de profile.
+<item>Informations sur les comptes utilisateurs et sur les analyses de profile.
-<item>Inclus la configuration de apt.conf pour lecture uniquement sur /usr copié à partir
-du courrier de Olaf Meeuwissen envoyé à la liste de discussion debian-security.
+<item>Inclusion de la configuration de apt.conf pour un /usr uniquement
+lisible ; copié à partir du courrier de Olaf Meeuwissen envoyé
+à la liste de discussion debian-security.
<item>Nouvelles sections sur le VPN ainsi que les paquets disponibles dans
-la Debian (besoin de contenu concernant l'installation de VPN et les problèmes spécifiques
-à Debian) basé sur les courriers de Jaroslaw Tabor et Samuli Suonpaa postés sur la liste de
-discussion debian-security.
+Debian (besoin de contenu concernant l'installation de VPN et les problèmes
+spécifiques à Debian) basé sur les courriers de Jaroslaw Tabor et
+Samuli Suonpaa postés sur la liste de discussion debian-security.
-<item>Petite note concernant certains programmes pour construire automatiquement des prisons
-chroot.
+<item>Petite note concernant les programmes pour construire automatiquement
+des prisons <em>chroot<em>.
<item>Nouveau sujet de FAQ concernant identd d'après une discussion sur la liste de
discussion debian-security (février 2002, commencé par Johannes Weiss).
@@ -346,9 +358,9 @@
<item>Ajout d'un nouveau sujet de FAQ concernant le temps à résoudre les vulnérabilités
liées à la sécurité.
<item>Réorganisation des sections de la FAQ.
-<item>Début de l'écriture d'une section concerant les pares-feux dans la Debian
+<item>Début d'une section concernant les pare-feux dans Debian
GNU/Linux (pourrait être élargi un peu).
-<item>Fautes de frappes envoyées par Matt Kraai.
+<item>Corrections de fautes de frappes envoyées par Matt Kraai.
<item>Correction sur les informations DNS.
<item>Ajout d'informations sur whisker et nbtscan à la section audit.
<item>Correction d'URL fausses.
@@ -358,7 +370,7 @@
<list>
<item>Ajout d'une nouvelle section concernant l'utilisation de la
Debian GNU/Linux pour réaliser des audits.
-<item>Ajout d'infos concernant le daemon finger depuis la liste de
+<item>Ajout d'infos concernant le démon finger depuis la liste de
discussion debian-security.
</list>
<sect1>Version 1.97
@@ -372,10 +384,10 @@
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
-<item>Réorganisation de la section installation et suppression de services et ajout
-de quelques nouvelles notes.
+<item>Réorganisation de la section installation et suppression de services et
+ajout de nouvelles notes.
-<item>Ajout de quelques notes concernant l'utilisation d'outils tels que
+<item>Ajout de notes concernant l'utilisation d'outils tels que
les outils de détection d'intrusion.
<item>Ajout d'un chapitre concernant la signature de paquets.
@@ -410,7 +422,7 @@
<item>Correction de l'emplacement du programme mail.
-<item>Ajout de quelques nouveaux sujets à la FAQ.
+<item>Ajout de nouveaux sujets à la FAQ.
</list>
<sect1>Version 1.92
@@ -421,7 +433,8 @@
<item>Clarification sur les mots de passes MD5 (merci à `rocky')
-<item>Ajout de quelques informations concernant le durcissement de X de Stephen van Egmond.
+<item>Ajout d'informations concernant la consolidation de X
+par Stephen van Egmond.
<item>Ajout de nouveaux sujets à la FAQ.
@@ -433,8 +446,8 @@
<item>Ajout d'informations légales envoyées par Yotam Rubin.
-<item>Ajout de renseignements sur la manière de mettre en place un "honeynet" en
-utilisant Debian GNU/Linux.
+<item>Ajout de renseignements sur la manière de mettre en place un "honeynet"
+en utilisant Debian GNU/Linux.
<item>Ajout de TODOS supplémentaires.
@@ -446,8 +459,7 @@
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
-<item>Ajout d'une rustine pour corriger des "mispellings" et quelques nouvelles
-informations (contributions de Yotam Rubin)
+<item>Ajout d'une rustine pour corriger des « fautes d'orthographe » et nouvelles informations (contributions de Yotam Rubin)
<item>Ajout de liens vers d'autres documents en ligne (et hors ligne) tous deux
figurant dans la section (voir <ref id="references">).
@@ -455,8 +467,8 @@
<item>Ajout d'informations sur la configuration d'options de Bind pour restreindre
l'accès au serveur DNS.
-<item>Ajout d'information sur comment renforcer automatiquement un système Debian
-(Par référence aux paquets harden et bastille).
+<item>Ajout d'informations sur la consolidation automatique d'un système Debian
+(par référence aux paquets harden et bastille).
<item>Suppression de quelques TODOs terminés et ajout de nouveaux.
@@ -466,20 +478,20 @@
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
-<item>Ajout de la liste par défaut des utilisateurs/groupes fourni par Joey Hess à la
-liste de discussion debian-security.
+<item>Ajout de la liste des utilisateurs et des groupes standard, donnée
+par Joey Hess à la liste de discussion debian-security.
<item>Ajout d'informations sur les rootkits LKM (<ref id="LKM">) avec la
contribution de Philipe Gaspar.
-<item>Ajout d'information sur Proftp avec la contribution de Emmanuel Lacour.
+<item>Ajout d'informations sur Proftp avec la contribution de Emmanuel Lacour.
-<item>Restauration de l'Appendice des listes de tâches d'Era Eriksson.
+<item>Rajout de l'annexe « pense-bête » de Era Eriksson.
<item>Ajout de nouveaux TODOs et retrait de ceux terminés.
<item>Manually included Era's patches since they were not all included in
-the previous version.
+the previous version.<!-- Mais que fait le traducteur ? pb -->
</list>
<sect1>Version 1.7
@@ -490,28 +502,29 @@
</list>
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
-<item>Changements sans importance de balises de façon à supprimer les balises tt et
-les remplacer par les balises prgn/package.
+<item>Changements mineurs de balises : supprimer les balises
+tt et les remplacer par les balises prgn/package.
</list>
<sect1>Version 1.6
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
-<item>Ajout d'un pointeur du document comme il est publié dans le DDP (devrait
-à terme remplacer la version existante)
+<item>Ajout d'un pointeur sur le document publié dans le DDP (devrait
+à terme remplacer l'original).
<item>Démarrage d'une mini-FAQ
-(qui devrait être élargi) avec quelques questions récupéré depuis ma boite aux lettres.
-<item>Ajout d'informations generales concernant la sécurisation.
-<item>Ajout d'un paragraphe au sujet de la livraison de courriers locaux.
+(qui devrait être élargie) avec quelques questions récupérées depuis ma boite
+aux lettres.
+<item>Ajout d'informations générales concernant la sécurisation.
+<item>Ajout d'un paragraphe au sujet de la distribution de courriers locaux.
<item>Ajout de quelques pointeurs vers d'autres sources d'information.
<item>Ajout d'informations sur le service d'impression.
-<item>Ajout d'une liste de tâche sur le renforcement de la sécurité.
+<item>Ajout d'une liste de tâches sur le renforcement de la sécurité.
<item>Réorganisation des informations sur NIS et RPC.
<item>Ajout de quelques notes lors de la lecture de ce document sur mon nouveau
Visor :)
<item>Correction de certaines lignes mal formattées.
<item>Fautes de frappes corrigées.
-<item>Ajout d'une idée Geniale/Paranoïaque avec la contribution de Gaby
+<item>Ajout d'une idée Géniale/Paranoïaque avec la contribution de Gaby
Schilders.
</list>
<sect1>Version 1.5
@@ -536,24 +549,24 @@
<list>
<item>Ajout de mise à jour de sécurité après le paragraphe "après installation".
<item>Ajout d'un paragraphe proftpd
- <item> Cette fois, quelque chose concernant XDM a rééllement été écrit et
+ <item> Cette fois, quelque chose concernant XDM a réellement été écrit.
désolé pour la dernière fois.
</list>
<sect1>Version 1.2
<p>
<list>
-<item>Beaucoup de corrections gramaticales de James Treacy, nouveau
+<item>Beaucoup de corrections grammaticales de James Treacy, nouveau
paragraphe XDM
</list>
<sect1>Version 1.1
<p>
<list>
-<item>Correction de fautes de frappes, diverses ajouts
+<item>Correction de fautes de frappes, divers ajouts
</list>
<sect1>Version 1.0
<p>
<list>
-<item>Sortie initiale.
+<item>Première publication.
</list>
<sect>Remerciements à :
@@ -561,47 +574,48 @@
<list>
<item>Alexander Reelsen qui a écrit le document original.
-<item>Javier Fernández-Sanguino qui a ajouté des infos supplémentaires au document original.
+<item>Javier Fernández-Sanguino qui a ajouté des informations
+au document original.
-<item>Robert van der Meulen avec les paragraphes sur les quotas ainsi que de nombreuses bonnes idées.
+<item>Robert van der Meulen pour les paragraphes sur les quotas ainsi que de nombreuses bonnes idées.
<item>Ethan Benson qui a corrigé le paragraphe sur PAM et qui a eu quelques idées de qualité.
<item>Dariusz Puchalak qui a contribué aux informations de plusieurs chapitres.
-<item>Gaby Schilders qui a eu une idée Geniale/Paranoïaque sympathique.
+<item>Gaby Schilders qui a eu une idée Géniale/Paranoïaque sympathique.
-<item>Era Eriksson qui a éliminé les fautes de langage et qui a contribué à l'appendice des listes de
-tâches.
+<item>Era Eriksson qui a éliminé les fautes de langage et qui a contribué à
+l'annexe « pense-bête ».
<item>Philipe Gaspar qui a écrit les informations concernant LKM.
<item>Yotam Rubin qui a contribué à régulariser toutes les fautes de frappes ainsi que
les informations liées aux versions de Bin et aux mots de passes md5.
-<item>Toutes les personnes qui m'ont suggérés des améliorations qui (éventuellement) ont été incluses ici.
+<item>Toutes les personnes qui m'ont suggéré des améliorations qui (éventuellement) ont été incluses ici.
<item>Tout le monde qui m'a encouragé (Alexander) à écrire ce HOWTO (qui plus tard a évolué vers le Manuel).
<item>Tout le projet Debian.
</list>
-<chapt>Avant de commencer
+<chapt>Avant de commencer.
<sect>Que voulez-vous faire de votre système ?
<p>
-Sécuriser Debian n'est pas différent de la sécurisation d'un autre
-système; de façon à procéder correctement, vous devez tout d'abord
+Sécuriser un système Debian n'est pas différent de la sécurisation d'un autre
+système ; de façon à procéder correctement, vous devez tout d'abord
décider quelle en sera son utilisation. Après cela, vous devrez
envisager d'appliquer à la lettre les tâches qui vont suivre si vous
désirez réellement sécuriser votre système.
<p>
Vous constaterez que ce manuel est écrit a posteriori, cela étant,
-vous trouverez des informations sur les tâches à realiser avant,
-pendant et après l'installation de votre système Debian.Les tâches
+vous trouverez des informations sur les tâches à réaliser avant,
+pendant et après l'installation de votre système Debian. Les tâches
peuvent aussi être découpées comme ceci:
<list>
@@ -616,16 +630,16 @@
l'impact sur votre système sera minimisé.
<item>Utiliser des outils appropriés pour garantir qu'une utilisation
-non authorisée soit détectée et que vous puissiez prendre des mesures
+non autorisée soit détectée et que vous puissiez prendre des mesures
adéquates.
</list>
-<sect id="references">Etre conscient des problèmes de sécurité
+<sect id="references">Être conscient des problèmes de sécurité
<p>
Ce manuel ne va, généralement, pas dans les détails pour démontrer que
-certains problèmes sont considérés commes des risques pour la sécurité.
+certains problèmes sont considérés comme des risques pour la sécurité.
Toutefois, vous pourriez désirer avoir une meilleure vision de la sécurité
Unix en général et plus particulièrement celle liée à Linux. Prenez le
temps de lire les documentations relatives à la sécurité afin que
@@ -670,7 +684,7 @@
référence sur la manière de renforcer les serveurs linux, il est disponible sur
<url id="http://www.intersectalliance.com/projects/index.html"; name="their site">.
-<item>Pour les administrateurs réseaux, une bonne référence pour batir un réseau
+<item>Pour les administrateurs réseaux, une bonne référence pour bâtir un réseau
sécurisé est le <url name="Securing your Domain HOWTO"
id="http://www.linuxsecurity.com/docs/LDP/Securing-Domain-HOWTO/";>.
@@ -859,7 +873,7 @@
<item>Toute partition où vous voulez installer des logiciels ne faisant
pas partie de la distribution devrait être sur une partition séparée.
-Se réferrant au Standard Hiérarchique des Fichiers, ceci devrait être
+Se référant au Standard Hiérarchique des Fichiers, ceci devrait être
/opt ou /usr/local. Si ce sont des partitions séparées, elles ne seront
pas effacées si vous devez réinstaller Debian.
@@ -873,7 +887,7 @@
<p>Le système que vous êtes sur le point d'installer ne devrait pas
être connecté à Internet pendant l'installation. Ceci peut paraître
-stupide mais c'est généralement le cas. Etant donné que le système
+stupide mais c'est généralement le cas. Étant donné que le système
va installer et activer les services immédiatement, si le système est
connecté à Internet et que les services ne sont pas configurés correctement
vous les exposez à des attaques.
@@ -916,7 +930,7 @@
Vous pouvez basculer entre les mots de passe masqués et les mots de passes
normaux à n'importe quel moment en utilisant <tt>shadowconfig</tt>.
De plus, pendant l'installation il vous sera demandé si vous voulez
-utliser les mots de passe MD5. Ceci est généralement une bonne idée étant
+utiliser les mots de passe MD5. Ceci est généralement une bonne idée étant
donné qu'il permet des mots de passe plus longs et une meilleure encryption.
<p>Lire davantage sur les mots de passes masqués sur
@@ -961,7 +975,7 @@
super daemon inetd (une ligne sera ajouté à <file>/etc/inetd.conf</file>)
ou via un programme qui se fixe à vos interfaces réseaux. Ces programmes
sont contrôlés via les fichiers <file>/etc/init.d</file> qui sont appelés
-lors du démarrage au moyen du mecanisme de SysV (ou un autre) en utilisant
+lors du démarrage au moyen du mécanisme de SysV (ou un autre) en utilisant
des liens symboliques dans <file>/etc/rc?.d/*</file> (pour plus
d'informations sur la manière dont cela est fait lire
<file>/usr/share/doc/sysvinit/README.runlevels.gz</file>).
@@ -1015,7 +1029,7 @@
Si n'importe quel fichier /etc/rcrunlevel.d/[SK]??nom existe déjà alors
update-rc.d ne fera rien. C'est pour cela que l'administrateur système
peut réarranger les liens, pourvu qu'il reste au moins un lien
- qui n'a pas vu sa configuration réécrite.
+ qui n'a pas vu sa configuration récrite.
</example>
<p>Si vous utilisez <package>file-rc</package> toutes les informations
@@ -1031,8 +1045,8 @@
<tt>chmod 644 /etc/init.d/daemon</tt> (mais ceci donne un message d'erreur au
démarrage), ou modifier le script <file>/etc/init.d/daemon</file> (en ajoutant
une ligne <prgn>exit 0</prgn> au début ou en commentant la partie
-<tt>start-stop-daemon</tt>). Etant donné que les fichiers init.d sont des
-fichiers de configurations, ils ne seront pas réécris lors d'une mise à jour.
+<tt>start-stop-daemon</tt>). Étant donné que les fichiers init.d sont des
+fichiers de configurations, ils ne seront pas récris lors d'une mise à jour.
<p>Malheureusement, contrairement à d'autres systèmes d'exploitations (UNIX),
les services dans la Debian ne peuvent être désactivés en modifiant les fichiers
@@ -1093,7 +1107,7 @@
<url name="http://www.debian.org/MailingLists/subscribe";
id="http://www.debian.org/MailingLists/subscribe";>
-<p>Cette liste de discussion a peu de traffic, et en vous inscrivant vous
+<p>Cette liste de discussion a peu de trafic, et en vous inscrivant vous
serez tenu au courant des mises à jour pour la distribution Debian.
Cela vous permet de télécharger rapidement les nouveaux paquets sans les bogues,
ce qui est relativement important dans le maintien d'un système sécurisé. (Voir
@@ -1105,10 +1119,10 @@
<p>
N'importe qui peut obtenir facilement un shell root et changer
vos mots de passes en entrant au prompt de boot "<nom-de-votre-imageboot>
-init=/bin/sh". Apres le changement du mot de passe et le redémarrage du
+init=/bin/sh". Après le changement du mot de passe et le redémarrage du
système, la personne à un accès root illimité et peut faire tout ce qu'il
veut sur le système. Après ceci, vous n'aurez plus d'accès root sur votre machine,
-vu que vous ne connaitrez pas le mot de passe.
+vu que vous ne connaîtrez pas le mot de passe.
<p>
Pour être sûr que cela ne puisse pas se produire, vous devriez attribuer un
mot de passe au démarrage. Vous avez le choix entre un mot de passe global et un
@@ -1134,7 +1148,7 @@
de configuration de lilo, à savoir root.
<p>
-Si vous utilisez GRUB plutôt que LILO, editez <file>/boot/grub/menu.lst</file>
+Si vous utilisez GRUB plutôt que LILO, éditez <file>/boot/grub/menu.lst</file>
et ajouter les deux lignes suivantes en début (en remplaçant, bien sûr, "piratemoi" par
le mot de passe désiré). Ceci empêche les utilisateurs d'éditer les options de démarrage.
"timeout 3" indique un délai de 3 secondes avant que grub démarre l'option par défaut.
@@ -1184,7 +1198,7 @@
<p>Maintenant LILO est mis dans le MBR. Ceci peut être fait également
en ajoutant "boot=/dev/hda" au fichier lilo.conf. Il y a encore une
-autre solution qui désactivera completement le prompt MBR :
+autre solution qui désactivera complètement le prompt MBR :
<example>
install-mbr -i n /dev/hda
@@ -1210,7 +1224,7 @@
<list>
-<item><file>login.defs</file>, editez la variable CONSOLE qui défini un
+<item><file>login.defs</file>, éditez la variable CONSOLE qui défini un
fichier ou une liste de terminaux sur lesquels la connexion de root est
autorisée.
@@ -1244,7 +1258,7 @@
<p>
Vous voyez la différence dans la section des options. L'option
-<tt>nosuid</tt> ignore completement les bits setuid et setgid, tandis que
+<tt>nosuid</tt> ignore complètement les bits setuid et setgid, tandis que
<tt>noexec</tt> interdit l'exécution de tout programme sur ce point de
montage et <tt>nodev</tt> ignore les périphériques. Ceci semble bon mais cela
<list>
@@ -1343,14 +1357,14 @@
Notez que le Post-invoke peut échouer avec un message d'erreur "/usr busy".
Ceci survient principalement lorsque vous utilisez des fichiers lors de la
mise à jour et que ces fichiers sont justement mis à jour. C'est agaçant mais
-pas rééllement un problème. Vérifier juste qu'ils ne soient plus utilisés puis
+pas réellement un problème. Vérifier juste qu'ils ne soient plus utilisés puis
lancer le Post-Invoke manuellement.
<sect id="update">Se mettre à jour au niveau de la sécurité
<p>
Dès que des nouveaux bogues de sécurité sont décelés dans les paquets, les
-responsables Debian et les auteurs en amont les raccomodent dans la journée ou les
+responsables Debian et les auteurs en amont les raccommodent dans la journée ou les
heures suivantes. Une fois le bogue résolu, un nouveau paquet est fourni sur
name="http://security.debian.org";
id="http://security.debian.org";>. Mettre la ligne suivante dans votre
@@ -1376,9 +1390,9 @@
<p>
Vous devriez procéder à des mises à jour fréquemment, la plupart des piratages
-est le résultat de vulnérabilités connues mais qui n'ont pas été raccomodées à
+est le résultat de vulnérabilités connues mais qui n'ont pas été raccommodées à
temps, tel que le décrit le <url id="http://www.cs.umd.edu/~waa/vulnerability.html";
- name="texte de Bill Arbaugh"> (presenté au Symposium IEEE 2001 sur la Sécurité et
+ name="texte de Bill Arbaugh"> (présenté au Symposium IEEE 2001 sur la Sécurité et
la Vie Privé).
<p>FIXME: Ajouter des informations sur comment est réalisé la signature des paquets, ce qui peut
@@ -1489,7 +1503,7 @@
</example>
<p>
-Ceci permet d'être sûr qu'uniquement les personnes du groupe wheel pouront
+Ceci permet d'être sûr qu'uniquement les personnes du groupe wheel pourront
utiliser <prgn>su</prgn> pour devenir root. Les autres utilisateurs ne
seront pas capable de le devenir. En somme, ils seront confrontés à un message d'interdiction
s'ils essayent de devenir root.
@@ -1670,7 +1684,7 @@
<p>
Debian ne fourni pas à l'heure actuelle (mais peut être dans le futur) le module
-<file>pam_chroot</file>. Une alternative à celà est de chroot le service qui
+<file>pam_chroot</file>. Une alternative à cela est de chroot le service qui
fourni les connexions à distances (ssh, telnet).
<p>
@@ -1689,7 +1703,7 @@
peut être trouvée depuis
<url id="http://bugs.debian.org/139047"; name="Bug report 139047"> ou
<url id="http://www.cag.lcs.mit.edu/~raoul/";> (et sera peut-être appliquée
-au paquet OpenSSH dans le futur). Emanuel <!-- Il ne manque pas un m a emmanuel la? jpg --> Lacour dispose d'un paquet avec
+au paquet OpenSSH dans le futur). Emmanuel <!-- Il ne manque pas un m a emmanuel la? jpg --> Lacour dispose d'un paquet avec
cette fonctionnalité sur <url id="http://debian.home-dn.net/woody/ssh/";>,
quoique la compilation est recommandée. Une description de toutes les étapes
nécessaires peut-être aperçue sur
@@ -1814,7 +1828,7 @@
<p>
Si vous êtes complètement paranoïaque et que vous voulez auditer toutes
-les commandes des utilisateurs, vous pouvez prendres les codes sources du
+les commandes des utilisateurs, vous pouvez prendre les codes sources du
bash, les éditer et récupérer dans un fichier toutes les commandes que
l'utilisateur tape. Ou avoir <package>ttysnoop</package> constamment en
attente de nouveaux ttys et reverser toutes les sorties dans un fichier.
@@ -1822,8 +1836,8 @@
<url name="Snoopy" id="http://sourceforge.net/project/?group_id=2091";>
qui est un programme transparent pour l'utilisateur qui se positionne
comme une librairie fournissant une encapsulation des appels execve(),
-toute commande éxécutée est loguée en utilisant la facilité <tt>authpriv</tt>
-(généralement stoqué dans <file>/var/log/auth.log</file> .
+toute commande exécutée est loguée en utilisant la facilité <tt>authpriv</tt>
+(généralement stocké dans <file>/var/log/auth.log</file> .
<!-- FIXME: Debian package for snoopy??? --> <p>
Notez que vous ne pouvez pas utiliser la commande <prgn>script</prgn>
pour ceci étant donné qu'elle ne fonctionnera pas comme un shell (même
@@ -2058,7 +2072,7 @@
name="syslog.conf" section="5"> pour toutes informations complémentaires.
<--! ES garder fichiers de log ou de logs ? => apparemment ils utilisent sur
-la liste journaux d'évenements ...-->
+la liste journaux d'événements ...-->
<sect1>Permissions du fichier d'archivage
@@ -2102,15 +2116,15 @@
une prison autour de votre cible, dont votre cible ne peut s'échapper
(normalement, mais il y a encore beaucoup de conditions qui permettent de
s'échapper d'une telle prison). Si vous ne faites pas confiance à un utilisateur,
-vous pouvez créer un environement à racine modifiée pour lui. Cela peut utiliser
+vous pouvez créer un environnement à racine modifiée pour lui. Cela peut utiliser
pas mal d'espace disque comme vous avez besoin de copier tous les exécutables
nécessaires, ainsi que les librairies, dans la prison. Même si l'utilisateur
-fait quelquechose de malveillant, la portée des dégats sera limitée à la prison.
+fait quelque chose de malveillant, la portée des dégâts sera limitée à la prison.
<p>Un bon exemple pour ce cas est, si vous n'authentifiez pas avec
<file>/etc/passwd</file> mais utilisez LDAP ou MySQL à la place. Donc votre
daemon-ftp a seulement besoin d'un binaire et peut être de quelques librairies.
-Un environement chrooté serait une excellent amélioration de la sécurité; si
+Un environnement chrooté serait une excellent amélioration de la sécurité; si
un nouvel exploit est découvert pour ce daemon-ftp, alors les attaquants pourront
seulement exploiter l'UID de l'utilisateur-daemon-ftp et rien d'autre.
@@ -2118,17 +2132,17 @@
d'aménagement aussi.
<p>Cependant, soyez averti qu'une prison chroot peut être brisée si
-l'utilisateur qui y évolue est le superutilisateur. Donc, vous devez
-faire s'éxécuter le service comme un utilisateur non-priviligié. En
-limitant son environement vous limitez les fichiers lisibles/inscriptibles
-par tout le monde auxquels le service peut accèder, ainsi, vous limitez les
+l'utilisateur qui y évolue est le super-utilisateur. Donc, vous devez
+faire s'exécuter le service comme un utilisateur non-privilégié. En
+limitant son environnement vous limitez les fichiers lisibles/inscriptibles
+par tout le monde auxquels le service peut accéder, ainsi, vous limitez les
possibilités d'élévation de privilège en utilisant des vulnérabilités du
système local. Même si dans cette situation vous ne pouvez être complètement
sur qu'il n'y a aucun moyen pour un attaquant intelligent de s'échapper d'une
façon ou d'une autre de la prison. L'utilisation des seuls programmes serveurs
qui ont la réputation d'être surs est une bonne mesure de sécurité supplémentaire.
Même des failles minuscules comme des références de fichier ouverts peuvent être
-utilisées par un attaquant talentueux pour s'introduire dans le sytème. Après
+utilisées par un attaquant talentueux pour s'introduire dans le système. Après
tout <prgn>chroot</prgn> n'a pas été conçu comme un outil de sécurité mais comme
un outil de test.
@@ -2143,7 +2157,7 @@
il est impératif de mettre les dernières mises à jour? jpg -->
<p>Il y a aussi des logiciels (pas dans la Debian actuellement mais qui pourraient
-fournis dans le futur) qui peuvent aider à configurer des environements chroot.
+fournis dans le futur) qui peuvent aider à configurer des environnements chroot.
<prgn>makejail</prgn> par exemple, peut créer et mettre à jour une prison chroot
avec de petits fichiers de configuration. il essaie aussi de deviner et
<!-- AA ou peu de fichiers ? -->
@@ -2161,11 +2175,11 @@
<p>
Beaucoup de fonctionnalités du kernel peuvent être modifiées en cours
-de fonctionnement en envoyant quelquechose (via la commande echo) dans
+de fonctionnement en envoyant quelque chose (via la commande echo) dans
le système de fichier /proc ou en utilisant sysctl. En entrant
<tt>sysctl -A</tt> vous pouvez voir ce que vous pouvez configurer et quelles
sont les options. Vous aurez seulement en de rares occasions à éditer
-quelquechose ici, mais vous pouvez augmenter la sécurité de cette mannière aussi.
+quelque chose ici, mais vous pouvez augmenter la sécurité de cette manière aussi.
<!-- FIXME: /proc/sys/ ne devrait-il pas préfixer tout ça ? era -->
@@ -2174,7 +2188,7 @@
net/ipv4/icmp_echo_ignore_broadcasts = 1
</example>
-C'est un 'émulateur windows' parceque ça agit comme windows sur les ping de
+C'est un 'émulateur windows' parce que ça agit comme windows sur les ping de
broadcast si celui-ci est positionné à 1.
<!-- Ce qui veut dire quoi exactement? Simplement que ça ignore les broadcasts? FIXME -->
Sinon, ça ne fait rien.
@@ -2195,7 +2209,7 @@
<p>Cette option est à double tranchant. D'un côté elle protège votre système
contre le syn flooding; d'un autre côté elle viole les standards définis (RFCs).
Cette option est assez stupide car elle floode l'autre partie de la même manière
-qu'elle wous flood, ainsi l'autre partie est aussi occupée. Si vous voulez changer
+qu'elle vous flood, ainsi l'autre partie est aussi occupée. Si vous voulez changer
cette option vous pouvez aussi la changer dans
<tt>/etc/network/options</tt> en positionnant <tt>syncookies=yes</tt>.
@@ -2203,7 +2217,7 @@
/proc/sys/net/ipv4/conf/all/log_martians = 1
</example>
-<p>Les paquets avec des adresses impossibles (du fait de routes eronnées) sur
+<p>Les paquets avec des adresses impossibles (du fait de routes éronnées) sur
votre système sont logués.
<p>
@@ -2357,7 +2371,7 @@
votre espace disque.
<item>Garder les quotas suffisamment grands, ainsi les utilisateurs ne
-se plainderont pas. Pensez aussi a leur reserver de la place pour qu'ils puissent
+se plainderont pas. Pensez aussi a leur réserver de la place pour qu'ils puissent
conserver leurs mails sur une longue période.
<item>Utilisez des quotas sur tous les espaces accessibles en écriture par les
utilisateurs, /home aussi bien que /tmp.
@@ -2373,7 +2387,7 @@
Bon, maintenant vous désirez utiliser les quotas. Avant tout, vous avez besoin
de vérifier si vous avez activé le support du quota dans votre noyau. Si non,
vous devrez le recompiler.<!-- FIXME: Comment verifier si les quotas sont activés? Qu'y a t'il
-à faire pour recompiler? --> Après celà, contrôlez si le paquet "quota" est
+à faire pour recompiler? --> Après cela, contrôlez si le paquet "quota" est
installé. Si non vous en aurez également besoin.
<p>
@@ -2446,8 +2460,8 @@
<sect1 id="check-integ">Vérifier l'intégrité des systèmes de fichiers
<p>
-Etes-vous sûr que le /bin/login présent sur votre disque dur soit le même
-que celui que vous aviez installé il y a de celà quelques mois ? Que faire
+Êtes-vous sûr que le /bin/login présent sur votre disque dur soit le même
+que celui que vous aviez installé il y a de cela quelques mois ? Que faire
si c'est une version piratée, qui enregistre les mots de passe entrés
dans un fichier caché ou les envoi en clair à travers internet ?
@@ -2491,9 +2505,9 @@
<p>Pour que cette vérification soit faite vous devez positionner
<tt>CHECKSECURITY_DISABLE="FALSE"</tt> dans <file>/etc/checksecurity.conf</file>.
Notez, que c'est la configuration par défaut, donc à moins que vous ayez changé
-quelquechose, cette option sera déjà positionnée à "FALSE".
+quelque chose, cette option sera déjà positionnée à "FALSE".
-<p>Le comportement par défaut est de ne pas envoyer cette information au superutilisateur
+<p>Le comportement par défaut est de ne pas envoyer cette information au super-utilisateur
mais à la place de garder une copie journalière des changements dans
<file>/var/log/setuid.changes</file>. Vous devrez positionner
CHECKSECURITY_EMAIL (dans <file>/etc/checksecurity.conf</file>) à 'root' pour
@@ -2588,10 +2602,10 @@
<item><tt>PermitRootLogin No</tt>
<p>Essayez autant que possible de ne pas autoriser de connexion en tant que root.
-Si quelqun veut devenir root via ssh, deux logins sont maintenant nécessaires et
+Si quelqu'un veut devenir root via ssh, deux logins sont maintenant nécessaires et
le mot de passe root ne peut être attaqué par moulinette via SSH.
-<!--force brute =>trouver une autre traduction. Moulinette est aussi employe dans le milieu en reference
+<!--force brute =>trouver une autre traduction. Moulinette est aussi employé dans le milieu en reference
a l'action repetitive. jpg -->
@@ -2641,7 +2655,7 @@
est choisi.
<p>
-Vous pouvez obtenir plus d'informations concerant la mise en place de SSH
+Vous pouvez obtenir plus d'informations concernant la mise en place de SSH
avec le support PAM dans les <url
id="http://lists.debian.org/debian-security/2001/debian-security-200111/msg00395.html";
name="archives de la liste de discussion sécurité">.
@@ -2707,8 +2721,8 @@
<tt>DenyFilter \*.*/</tt>
<p>
-Rappelez-vous toujous que le FTP envoi les identifiants et les mots de
-passe d'autentification en clair (ceci n'est pas un problème si vous
+Rappelez-vous toujours que le FTP envoi les identifiants et les mots de
+passe d'authentification en clair (ceci n'est pas un problème si vous
fournissez un service public anonyme) et il existe de meilleures
alternatives dans Debian pour cela. Par exemple, <prgn>sftp</prgn> (fourni par <package>ssh</package>). Il existe également d'autres
implémentatations de SSH pour d'autres systèmes d'exploitation : <url
@@ -2737,7 +2751,7 @@
le contrôle d'accès basé dur xhost. <!-- FIXME: check. The text said "has to be disabled" [sic] -->
<p>
-Pour une securité accrue, si vous n'avez pas besoin d'accéder à X depuis
+Pour une sécurité accrue, si vous n'avez pas besoin d'accéder à X depuis
d'autres machines, désactivez-le du port 6000 en tapant simplement :
<tt>startx -- -nolisten tcp</tt>
@@ -2775,14 +2789,14 @@
DisplayManager.requestPort: 0
</example>
-<p>Normallement, tous les gestionnaires d'affichages sont configurés par défaut
-pour ne pas démmarrer les services XDMCP dans la Debian.
+<p>Normalement, tous les gestionnaires d'affichages sont configurés par défaut
+pour ne pas démarrer les services XDMCP dans la Debian.
<sect>Sécurisation de l'accès à l'impression (Le problème lpd et lprng)
<p>Imaginez, vous arrivez au travail et l'imprimante crache une quantité
-infinie de papier car quelqun est en train de provoquer un déni de service
+infinie de papier car quelqu'un est en train de provoquer un déni de service
sur votre daemon d'impression. Méchant, n'est ce pas? Donc, gardez vos serveurs
d'impression particulièrement sûrs. Cela veut dire qu'il est nécessaire de
configurer votre service d'impression pour qu'il autorise seulement les
@@ -2802,15 +2816,15 @@
de façon à ce que la fonction connect se fasse uniquement sur "127.0.0.1".
apt-get source lpr et patcher l'appel bind (finet)
-->
-<p>Lprng doît être préferé à lpr car il peut être configuré pour faire du contrôle
+<p>Lprng doit être préféré à lpr car il peut être configuré pour faire du contrôle
d'accès basé sur l'IP. Vous pouvez spécifier l'interface sur laquelle on se
lie (cependant d'une manière un peu bizarre)
<!-- FIXME: questionner Craig Small au sujet de son post dans debian-private du
19 octobre 2001 -->
-<p>Si vous utilisez une imprimate sur votre système, mais seulement localement,
-vous ne voullez pas partager ce service sur le réseau. Vous pouvez considérer
+<p>Si vous utilisez une imprimante sur votre système, mais seulement localement,
+vous ne voulez pas partager ce service sur le réseau. Vous pouvez considérer
l'utilisation d'autres systèmes d'impression, comme celui fournit par
<package>cups</package> ou <url name="PDQ" id="http://pdq.sourceforge.net/";>
qui est basé sur les permissions utilisateurs du périphérique <file>/dev/lp0</file>.
@@ -2828,7 +2842,7 @@
intéressants).
<p>FIXME: Vérifier la disponibilité de PDG dans la Debian, et si il l'est,
-le suggérer comme le système d'impression préferé.
+le suggérer comme le système d'impression préféré.
<p>FIXME: Vérifier si Farmer/Wietse a une alternative pour le daemon d'imprimante
et si il est disponible dans la Debian.
@@ -2964,15 +2978,15 @@
<p> L'option <em>listen-on</em> lie uniquement le DNS à l'interface
-ayant une adresse interne, mais, meme si cette interface
+ayant une adresse interne, mais, même si cette interface
est la même que l'interface qui permet la connexion à Internet (Par l'utilisation
-de NAT, par exemple), les requêtes ne seront accéptées que si celles-ci proviennent
+de NAT, par exemple), les requêtes ne seront acceptées que si celles-ci proviennent
d'hôtes internes. Si le système est constitué de plusieurs interfaces et que
le <em>listen-on</em> n'est pas présent, seuls les utilisateurs internes pourront
-émettre des requêtes, mais, puisque le port restera accesible à des attaquants
+émettre des requêtes, mais, puisque le port restera accessible à des attaquants
externes, ils pourront essayer de cracher (ou tenter une attaque d'exploit de
-débordement de tampon) le serveur DNS. Vous pouvez meme le mettre uniqument en
-ecoute sur l'adresse 127.0.0.1 si vous ne désirez pas offrir le service a quelqu'un
+débordement de tampon) le serveur DNS. Vous pouvez même le mettre uniquement en
+écoute sur l'adresse 127.0.0.1 si vous ne désirez pas offrir le service a quelqu'un
d'autre qu'à vous même.
</p>
@@ -3124,7 +3138,7 @@
<p>
Vous pouvez limiter l'accès au serveur Apache si vous voulez uniquement l'utiliser en interne
(dans un but d'essai, pour accéder à l'archive <package>doc-central</package>
-, etc..) et ne pas vouloir que des intus y accèdent. Pour réaliser cela, utilisez les directives
+, etc..) et ne pas vouloir que des intrus y accèdent. Pour réaliser cela, utilisez les directives
<tt>Listen</tt> ou <tt>BindAddress</tt> dans <file>/etc/apache/http.conf</file>.
<p>Using Listen:
@@ -3171,7 +3185,7 @@
donné d'hôtes (en utilisant tcp wrappers) et de l'avoir en écoute uniquement
sur une interface bien définie.
-<sect>Paranoia généralisée du suid et du chroot
+<sect>Paranoïa généralisée du suid et du chroot
<p>Il est probablement juste de dire que la complexité de BIND est la raison pour
laquelle il a été exposé à de nombreuses attaques ces dernières années.
@@ -3188,7 +3202,7 @@
plus sûrs.
-<sect>Paranoia généralisée du mot de passe en texte clair
+<sect>Paranoïa généralisée du mot de passe en texte clair
<p>
Vous devriez essayer d'éviter tout service réseau qui envoie et reçoit des
@@ -3252,7 +3266,7 @@
au fait que le programme fait partie du paquetage <package>net-base</package> (qui ne peut être desinstallé sans endommager le système).
<p>Cela enlève en fait tous les liens symboliques relatifs au portmap dans
-<tt>/etc/rc${runlevel}.d/</tt>, qui est aussi quelquechose que vous pourriez
+<tt>/etc/rc${runlevel}.d/</tt>, qui est aussi quelque chose que vous pourriez
faire manuellement. Une autre possibilité est de faire <tt>chmod 644
/etc/init.d/portmap</tt>, mais cela produit un message d'erreur lors du
démarrage. Vous pouvez aussi enlever la partie <tt>start-stop-daemon</tt>
@@ -3264,7 +3278,7 @@
fournies par le noyau Linux. Cela signifie que si vous installez un système
potato (Debian version 2.2, le noyau par défaut est le 2.2) vous aurez la
fonctionnalité pare-feu <prgn>ipchains</prgn> disponible dans le noyau, vous
-avez à installer le paquetage <package>ipchains</package> qui sera surement
+avez à installer le paquetage <package>ipchains</package> qui sera sûrement
déjà (de part sa priorité) installé. Si vous installez un système woody
(Debian version 3.0, le noyau par défaut est le 2.4) vous aurez la
fonctionnalité pare-feu <prgn>iptables</prgn> (neftfilter) disponible.
@@ -3273,7 +3287,7 @@
<!-- AA Le paragraphe suivant est à retraduire, tous les commentaires sont
bienvenus. J'ai retraduit. jpg -->
<p>
-Certains utilisateurs peuvent aussi bien vouloir ajouter des regles de pare-feu dans ce script.
+Certains utilisateurs peuvent aussi bien vouloir ajouter des règles de pare-feu dans ce script.
Cependant, vérifiez quels programmes/composants pare-feu vous voulez utiliser puisqu'ils peuvent
modifier d'autres fichiers et changer les définitions que vous avez ajouté au démarrage. Par exemple,
<package>firewalk>, pour n'en citer qu'un, utilisera un autre fichier de configuration pour configurer
@@ -3313,7 +3327,7 @@
<p>
Une fois ceci fait l'installation de votre pare-feu est sauvegardée dans
le répertoire <file>/var/lib/iptables/</file> et sera exécutée quand le
-système démarrera (ou lorsque le script initd sera lancée aves les arguments
+système démarrera (ou lorsque le script initd sera lancée avec les arguments
<em>start</em> et <em>stop</em>). Notez que l'installation par défaut de
Debian démarre le pare-feu dans le niveau d'exécution multi-utilisateurs
(2 à 5) bientôt (10). De plus, il est arrêté en mode mono-utilisateur (1),
@@ -3389,7 +3403,7 @@
<item><package>fwbuilder</package>
<item><package>mason</package>, qui peut suggérer des règles de pare-feux
basé sur le traffic réseau que votre réseau "voit".
-<item><package>bastille</package> (parmis les étapes de durcissement qui
+<item><package>bastille</package> (parmi les étapes de durcissement qui
constituent les nouvelles versions de bastille, une d'entre-elles est
l'ajout de règles de pare-feux exécutable au démarrage du système).
<item><package>ferm</package>
@@ -3533,7 +3547,7 @@
de sécurité désiré de votre système (en utilisant
<manref name="InteractiveBastille" section="8">)
-<item>Utiliser un paramétrage par défaut pour la sécurité (parmis trois :
+<item>Utiliser un paramétrage par défaut pour la sécurité (parmi trois :
Lax, Moderate ou Paranoia) dans une installation définie (serveur ou poste de
travail) et laissez Bastille décider quelle politique de sécurité appliquer
(en utilisant <manref name="BastilleChooser" section="8">)
@@ -3584,7 +3598,7 @@
</list>
<p>
-En suivant la chaine de sommes MD5, <prgn>apt</prgn> est capable de vérifier
+En suivant la chaîne de sommes MD5, <prgn>apt</prgn> est capable de vérifier
qu'un paquet est originaire d'une sortie bien spécifique. Ceci est plus ou moins
souple plutôt que de signer chaque paquet un par un mais peut-être combiné
également avec ce schéma suivant (vois ci-dessous).
@@ -3618,13 +3632,13 @@
Au cas où vous voudriez ajouter des vérifications de sécurité supplémentaire
vous pouvez utiliser le script ci-dessous fourni par Anthony Thown.
Ce script peut automatiquement faire certaines nouvelles vérifications de
-sécurité qui permettent à l'utilisateur d'étre sûr que le téléchargement du
+sécurité qui permettent à l'utilisateur d'être sûr que le téléchargement du
logiciel qu'il/elle fait correspond à la distribution de logiciels Debian.
-Cela empèche des développeurs Debian d'intégrer des nouveautés au système de quelqu'un
+Cela empêche des développeurs Debian d'intégrer des nouveautés au système de quelqu'un
en outrepassant les responsabilités qui incombe au chargement vers l'archive
principale, ou encore cela empêche une duplication similaire mais pas exactement
-identique, ou pour finir cela empêche l'utilisation de mirroirs fournissant des copies
+identique, ou pour finir cela empêche l'utilisation de miroirs fournissant des copies
anciennes de la version instable ou connaissant des problèmes de sécurité.
<!-- J'ai tenté une autre approche... jpg -->
@@ -3921,7 +3935,7 @@
comme des outils à utiliser pour réaliser un audit.
Ils sont anciens et ne sont pas mis à jour.
Cependant, SATAN a été le premier outil à fournir des tests de vulnérabilités
-de manière simple (GUI) et Bass est toujours un outil de verification très performant.
+de manière simple (GUI) et Bass est toujours un outil de vérification très performant.
<sect>Outils pour parcourir le réseau
@@ -3995,7 +4009,7 @@
</list>
<p>
-IPsec (FreeSWAN) est probablement le meilleur choix parmis tous étant donné
+IPsec (FreeSWAN) est probablement le meilleur choix parmi tous étant donné
qu'il promet d'être fonctionnel avec tout matériel supportant l'IPsec, mais
ces autres paquets peuvent vous aider à obtenir un tunnel sécurisé rapidement.
PPTP est le protocole Microsoft pour les VPN. Il est supporté sous Linux mais
@@ -4012,7 +4026,7 @@
and SSH mini-HOWTO">.
-<sect>Public Key Infraestructure (PKI)
+<sect>Public Key Infrastructure (PKI)
<p>Lorsque vous vous intéressez aux PKI, vous vous trouvez confronté à une grande variété d'outils:
@@ -4029,7 +4043,7 @@
<item>Les applications basés sur les certificats de confiance peuvent utiliser des certificats distribués par
des CA pour engager une communication chiffrée et vérifier les certificats délivrés contre un
- CRL (pour l'autentification et les solutions de signature complète unique)
+ CRL (pour l'authentification et les solutions de signature complète unique)
<item>Une autorité estampillée pour les documents signés numériquement
@@ -4038,11 +4052,11 @@
</list>
-<p>Vous pouvez utilisez des outils disponible sur Debiann GNU/Linux pour
+<p>Vous pouvez utilisez des outils disponible sur Debian GNU/Linux pour
couvrir un certains nombre de ses outils, cela inclus openSSL (pour la génération
de certificat), OpenLDAP (comme répertoire pour maintenir les certificats), gnupg
et le support freeswan (avec X.509). Cependant, le système d'exploitation ne fournit pas
-(comme dans la version woody, 3.0) d'Autorité de délivrance de certificat comme
+(comme dans la version woody, 3.0) d'autorité de délivrance de certificat comme
pyCA, <url id="http://www.openca.org"; name="OpenCA"> ou l'exemple CA d'OpenSSL.
Pour plus d'information, repportez-vous à<url
id="http://ospkme ibook.sourceforge.net/" name="Open PKI book">.
@@ -4054,7 +4068,7 @@
car les utilisateurs de GNU/Linux ne sont pas ravagés réellement par
les virus. Il y a eu, toutefois, des vers et virus pour GNU/Linux même
s'il n'y pas (encore) eu de virus qui se soient étendus sur les
-ditributions Debian. Dans tous les cas, les administrateurs peuvent
+distributions Debian. Dans tous les cas, les administrateurs peuvent
vouloir de mettre en place des passerelles antivirus ou de se protéger
eux-mêmes.
@@ -4072,7 +4086,7 @@
<p>
Comme vous pouvez le voir, Debian ne fourni pas à l'heure actuelle un logiciel
antivirus. Il existe, toutefois, des projets de logiciels antivirus qui pourront
-(dans le futut) être inclus dans Debian
+(dans le futur) être inclus dans Debian
<url id="http://sourceforge.net/projects/openantivirus/"; name="openantivirus">
et
<url id="http://sourceforge.net/projects/jvirus/"; name="jvirus"> (peu de chance
@@ -4099,7 +4113,7 @@
<p>
Soyez toujours aux aguets de manière à réellement améliorer la sécurité
du système avec n'importe lequel de ces outils, vous devez avoir un
-méchanisme alerte+réaction. Donc, n'utilisez pas de système de détection
+mécanisme alerte+réaction. Donc, n'utilisez pas de système de détection
d'intrusion si vous n'avertissez personne (ne perdez pas de temps à configurer
des choses que vous n'utiliserez pas par la suite).
@@ -4111,7 +4125,7 @@
Un administrateur doit les configurer convenablement afin que de fausses alertes
ne soient pas envoyées. Les alertes peuvent indiquées une attaque en cours et ne seraient
pas très utiles un jour plus tard, puisque l'attaque pourrait déjà alors avoir été
-courronnée de succés. Assurez-vous donc qu'une police correcte a été mise en place
+couronnée de succès. Assurez-vous donc qu'une police correcte a été mise en place
vis à vis des alertes et que le mécanisme mécanique pour les implémenter est en place.
<p>
@@ -4123,7 +4137,7 @@
<p><package>snort</package> est un renifleur flexible de paquet ou un logueur
qui détecte les attaques selon un dictionnaire de signature. Il détecte une variété
-d'attaque et de vérifications, tels que des dépacement de capacité, les scans dissimulés
+d'attaque et de vérifications, tels que des déplacement de capacité, les scans dissimulés
de ports, les attaques CGI, les vérifications SMB, et bien d'autres. Snort a une capacité
d'alerte en temps réel. C'est un outil qui peut être installé sur n'importe quel routeur
pour garder un oeil sur le réseau. Installez le simplement via
@@ -4132,7 +4146,7 @@
<p>
Snort dans Debian est activé avec de nombreuses vérifications de sécurité
que vous pourriez vouloir; toutefois, vous devriez prendre le temps de
-personaliser l'installation pour prendre en compte les services que vous
+personnaliser l'installation pour prendre en compte les services que vous
utilisez sur votre système. Vous pouvez très bien aussi recevoir des vérifications
supplémentaires à propos de ces services.
@@ -4141,7 +4155,7 @@
les attaques réseaux contre votre propre hôte.
<p>Il y a d'autres outils qui peuvent être utilisés pour détecter les attaques réseaux
-(bien que plus simplistes). <package>Portsentry</package> est un autre paquetage interessant
+(bien que plus simplistes). <package>Portsentry</package> est un autre paquetage intéressant
qui peut vous informer lorsqu'un scan de votre réseau est effectué sur votre site.
D'autres outils tel que<package>ippl</package> ou
<package>iplogger</package> peuvent aussi détecter des attaques IP (TCP et ICMP),
@@ -4194,16 +4208,16 @@
<p>Vous pourrez aussi trouver un ensemble de vérificateurs d'intégrité (voir <ref
id="check-integ">) qui peuvent être très utiles pour instaurer une vérification d'anomalies
-dans un environement sécurisé. Une intrusion effective sur un système, à coup sûr,
+dans un environnement sécurisé. Une intrusion effective sur un système, à coup sûr,
modifie les fichiers dans le système de fichier local pour contourner les polices de sécurité
-locales, installer des trojans, créer des utilisateurs... ces évenements peuvent être détectés
+locales, installer des trojans, créer des utilisateurs... ces événements peuvent être détectés
grâce à ces outils.
<sect id="kernel-patches">Les utilitaires pour mettre des rustines au noyau
<p>FIXME: Cette section a besoin de couvrir la manière d'installer ces
-rustines spécifiques sur Debian en utilissant les paquets kernel-2.x.x-patch-XXX.
+rustines spécifiques sur Debian en utilisant les paquets kernel-2.x.x-patch-XXX.
</p>
<p>
@@ -4224,8 +4238,8 @@
Linux dur plus facile. Vous pouvez restreindre chaque processus, donner les droits pour
écrire ou lire les fichiers, ou les supprimer, par défaut, vous pouvez lire
les fichiers. De plus vous pouvez aussi installer des capacités pour certains
-processus. Bien que tout cela soit encore en phase beta, c'est un outil incontournable
-pour une administration paranoiaque d'un système. Site Internet: <url
+processus. Bien que tout cela soit encore en phase bêta, c'est un outil incontournable
+pour une administration paranoïaque d'un système. Site Internet: <url
name="http://www.lids.org"; id="http://www.lids.org";>
<item><em>POSIX Access Control Lists (ACLs) pour Linux</em> Cette rustine
@@ -4265,7 +4279,7 @@
</list>
-<sect>Eviter les rootkits
+<sect>Éviter les rootkits
<p>
<sect1 id="LKM">LKM - Loadable Kernel Modules
@@ -4306,7 +4320,7 @@
<p>
L'avantage de cette défense est qu'elle prévient des dommages que
-pourrait entrainer un rootkit au système. La défense proactive la
+pourrait entraîner un rootkit au système. La défense proactive la
plus utilisé est "attrapons-les en premier", ceci permet de charger
un LKM bien défini afin de protéger le système d'un LKM infecté.
Une autre mesure consiste à retirer ces options dans le noyau, rendant
@@ -4332,7 +4346,7 @@
attention que la désactivation des modules peut surcharger le noyau,
parfois cela n'est pas nécessaire.
-<p>Pour désactiver le support des modules chargeable, mettre juste
+<p>Pour désactiver le support des modules chargeables, mettre juste
CONFIG_MODULES=n dans <file>.config</file>.
<sect2>Défense réactive
@@ -4364,7 +4378,7 @@
<sect>Idées géniales/paranoïaques — ce que vous pourriez faire
<p><!-- AA duh ? -->
-C'est probablement la section la plus instable et amusante, car j'éspère
+C'est probablement la section la plus instable et amusante, car j'espère
que quelques unes des idées "bah. ça semble dingue" pourraient être réalisées.
Plus loin vous trouverez certaines idées — Suivant votre point de vue
vous les qualifierez de géniales, paranoïaques, folles ou sûres — pour
@@ -4375,7 +4389,7 @@
Comme il est dit dans l'article PAM du phrack 56, la chose bien avec PAM est
qu' "On est limité seulement par son imagination." C'est vrai. Imaginez une
connexion root seulement possible avec empreinte digitale ou un scan de l'oeil
-ou une cryptocarte (Pourquoi ai-je fait une conjoction de OU et pas de ET ici).
+ou une cryptocarte (Pourquoi ai-je fait une conjonction de OU et pas de ET ici).
<item>Journalisation fasciste. Je voudrais dire que tout ce dont nous avons
discuté plus haut est de la "journalisation douce". Si vous voulez effectuer
@@ -4383,7 +4397,7 @@
<!-- traduction de fanfold ? --> et journalisez tout en l'imprimant. Ca semble
amusant, mais c'est fiable et ne peut être supprimé.
-<item>Distribution CD. Cette idée est trés simple à réaliser et offre une assez
+<item>Distribution CD. Cette idée est très simple à réaliser et offre une assez
bonne sécurité. Créez une distribution Debian durcie, avec les bonnes règles
pare-feu, faites-en une image ISO et gravez la sur un CD.
Rendez le amorçable. C'est une bonne distribution en lecture-seule avec seulement
@@ -4399,11 +4413,11 @@
impossibles à implémenter car la plupart d'entre elles sont basées sur
l'installation de modules noyau modifiés.
-<item>Journalisation par cable série (contribution de Gaby schilders).
-Tant que les serveurs ont toujours des ports serie, imaginez-vous ayant une machine
+<item>Journalisation par câble série (contribution de Gaby schilders).
+Tant que les serveurs ont toujours des ports série, imaginez-vous ayant une machine
dédiée à la journalisation déconnectée du net au milieu avec un multiplexeur de
ports série (cyclades ou similaire). Maintenant faites journaliser vos serveurs
-vers leurs ports serie. Ecriture seulement. La machine de journalisation
+vers leurs ports série. Écriture seulement. La machine de journalisation
acceptera du texte clair en entrée sur ses ports séries et écrira seulement sur
un fichier journal. Branchez un graveur de cd/dvd. Quand le journal approche
600MB il l'écrit sur un cd-rom. Maintenant si seulement ils faisaient des graveurs
@@ -4423,11 +4437,11 @@
(En option vous pouvez juste créer /etc/.dist.tar.gz) -- et marquer cela comme
immuable.
-<p>La raison de tout ceci est de limiter les dégats que vous pouvez faire quand
+<p>La raison de tout ceci est de limiter les dégâts que vous pouvez faire quand
vous êtes connecté en root. Vous n'écraserez pas des fichiers avec un opérateur
de redirection égaré, et vous ne rendrez pas votre système inutilisable avec
un espace mal placé dans une commande <prgn>rm -fr</prgn> (vous pourriez encore
- faire pas mal de dégats à vos données — mais vos librairies et binaires
+ faire pas mal de dégâts à vos données — mais vos librairies et binaires
seront plus à l'abris).
<p>Cela rend aussi un large éventail d'exploits de sécurité et de deni de
@@ -4437,17 +4451,17 @@
<p>Le seul inconvénient de cela est présent lorsque vous compilez et exécutez votre
<prgn>make install</prgn> sur différentes sortes de binaires systèmes. D'un
-autre côté cela empèche aussi le <prgn>make install</prgn> d'écraser les
+autre côté cela empêche aussi le <prgn>make install</prgn> d'écraser les
fichiers. Quand vous oubliez de lire le Makefile et chattr -i les fichiers
-qui vont être réécrits (et les répertoires auquels vous voulez ajouter des
+qui vont être récrits (et les répertoires auxquels vous voulez ajouter des
fichiers) ‐ le make échoue, utilisez juste la commande chattr et relancez
le. Vous pouvez aussi profiter de l'occasion pour déplacer vos vieux binaires,
librairies <!-- AA ou parle t'on de répertoires ? --> ou quoique ce soit
d'autre dans un répertoire .old/ ou les renommer ou les sauvegarder avec tar...
-<p>Notez que cela vous empèche aussi de mettre à jour vos paquetages systèmes.
-Car les fichiers qu'ils fournissent ne peuvent être réécrits, vous pourriez donc
-souhaiter avoir un méchanisme pour désactiver le sémaphore immuable sur tous
+<p>Notez que cela vous empêche aussi de mettre à jour vos paquetages systèmes.
+Car les fichiers qu'ils fournissent ne peuvent être récrits, vous pourriez donc
+souhaiter avoir un mécanisme pour désactiver le sémaphore immuable sur tous
les binaires juste avant de faire un <prgn>apt-get update</prgn>.
</list>
@@ -4512,7 +4526,7 @@
<sect>Comportement général
<p>Si vous êtes physiquement présent quand l'attaque se déroule et que faire
-ce qui suit n'a pas d'effet facheux sur vos transactions d'affaires,
+ce qui suit n'a pas d'effet fâcheux sur vos transactions d'affaires,
débranchez simplement la carte réseau jusqu'a ce que vous puissiez comprendre
ce que l'intrus a fait et sécurisez votre machine. La désactivation du réseau
à la couche 1 est le seul vrai moyen de garder un attaquant hors d'une machine
@@ -4606,7 +4620,7 @@
vendeurs et d'autres distributions. Vérifiez la partie "Debian
specific: yes/no" en haut de chaque document (DSA). Si il est inscrit
"yes", cela signifie que seul Debian est affecté, si il est inscrit "no", c'est probablement
-que d'autres distrubutions sont aussi affectées.
+que d'autres distributions sont aussi affectées.
<sect1>Debian possède t'il une certification touchant à la sécurité?
@@ -4616,7 +4630,7 @@
<p>Réponse longue : la certification coûte de l'argent et personne
n'a attribué de ressources pour faire certifier la distribution Debian
GNU/Linux à n'importe quel niveau que ce soit, par exemple, la Common
-Criteria. Si vous êtes intéressés par l'otention d'une distribution
+Criteria. Si vous êtes intéressés par l'obtention d'une distribution
GNU/Linux certifié, essayez de fournir les ressources pour que cela
devienne possible.
@@ -4662,13 +4676,13 @@
la Debian, il serait impossible de couvrir toutes les situations imaginables
dans lesquelles le trojan pourrait agir.
-<p>Cela colle a la clause <em>aucunes garanties</em> de la license. Dans
+<p>Cela colle a la clause <em>aucune garanties</em> de la license. Dans
tous les cas, les utilisateurs Debian peuvent être assurés que le code stable
rassemble une large audience et que la plupart des problèmes seront découvert
de pendant l'utilisation (si problème il y a). Il n'est pas recommandé d'installer
des logiciels non testés dans un système correct (si vous n'êtes pas en mesure
de fournir un nécessaire audit de code). Pour finir, si des failles de
-sécurites etaient incluses dans la distribution, le processus permettant de
+sécurités étaient incluses dans la distribution, le processus permettant de
les inclure (utilisation de signature numérique) assure que le problème pourra
être remonté jusqu'au développeur, et que le projet Debian ne prend pas cela à
la légère.
@@ -4768,7 +4782,7 @@
<item>majordom:
Majordomo a un uid alloué statiquement sur les systèmes Debian pour
- des raisons historiques. Il n'est plus installé sur les nouveaux sytèmes.
+ des raisons historiques. Il n'est plus installé sur les nouveaux systèmes.
<item>postgres:
Les bases de données postgresql appartiennent à cet utilisateur et groupe.
@@ -4778,9 +4792,9 @@
<item>www-data:
Certains navigateurs web tournent en tant que www-data.
Le contenu Internent *ne devrait pas* être approprié par cet utilisateur,
- ou un serveur Internet compromis serait alors en mesure de reécrire un
+ ou un serveur Internet compromis serait alors en mesure de récrire un
site web. Les données transférées par les serveurs Internet, incluant les
- fichiers logs, seront apropriées par www-data.
+ fichiers logs, seront appropriées par www-data.
<item>backup:
De cette manière la responsabilité de Sauvegarde/restauration peut être
@@ -4819,7 +4833,7 @@
/var/adm)d'où le nom du groupe.
<item>tty:
- les dispositifs Tty appartiennent à ce groupe. On l'utilise pour écrire et empécher
+ les dispositifs Tty appartiennent à ce groupe. On l'utilise pour écrire et empêcher
la possibilité d'écrire sur les tty d'autres personnes.
<item>disk:
@@ -4947,7 +4961,7 @@
<p>Identd est employé par les administrateurs pour fournir les détails userid
aux systèmes distants qui veulent savoir qui est la personne responsable
pour une connexion donnée sur votre machine. Cela inclus notamment les serveurs mail,
-FTP et IRC, cependant, il peut être utlisé pour remonter l'utilisateur qui attaque
+FTP et IRC, cependant, il peut être utilisé pour remonter l'utilisateur qui attaque
un système distant par l'intermédiaire de votre machine.
<p>Pour suivre une longue discussion à ce propos, voir <url
@@ -4987,7 +5001,7 @@
<p>Si vous les avez limités tous les deux. Vous devez désactiver les
fonctionnalités du BIOS (démarrer uniquement depuis le disque dur) avant de
commencer, si vous avez également oublier votre mot de passe pour le BIOS, vous
-devrez ouovrir votre système et retirer manuellement la pile du BIOS.
+devrez ouvrir votre système et retirer manuellement la pile du BIOS.
<p>Si vous avez des CD-Rom ou des disquettes de démarrage, vous pouvez :
<list>
@@ -5057,7 +5071,7 @@
<p>Lire ce document et prendre les mesures appropriées récapitulés ici.
Si vous avez besoin d'aide, vous pouvez utiliser debian-security@lists.debian.org
-pour demander conseil sur la manière de rétablir/raccomoder votre système.
+pour demander conseil sur la manière de rétablir/raccommoder votre système.
<sect1>Comment puis-je dépister une attaque ?
@@ -5071,12 +5085,12 @@
Un scan distant est il une attaque? Un test de failles de sécurité est il une attaque?
<sect1>le program X dans Debian est vulnérable, que dois-je faire?
-<p>Tout dabord, prenez un moment pour regarder si la vulnérabilité a été
+<p>Tout d'abord, prenez un moment pour regarder si la vulnérabilité a été
annoncée sur les mailing listes publiques de sécurité (comme Bugtraq) ou
autre forums. L'équipe de sécurité Debian se met à jour à l'aide de ces listes,
ils sont donc peut être déjà conscient du problème. Ne lancez pas d'autres actions
si vous avez vu paraître l'annonce sur <url id="http://security.debian.org";>.
-<p>Si vous n'avez rien vu de cela, envoyez s'il vous plait sur les paquets affectés
+<p>Si vous n'avez rien vu de cela, envoyez s'il vous plaît sur les paquets affectés
avec une description de la vulnérabilité rencontrée aussi détaillée que possible
(la preuve par un code conçu est aussi bienvenue) à security@debian.org qui vous mettra
en rapport avec l'équipe de sécurité.
@@ -5087,11 +5101,11 @@
ainsi est simple. Elle permet d'assurer qu'une version a le moins de changement possible,
de cette manière les choses ne changeront pas ou ne se briseront pas et ce dû à une
mise à jour de sécurité. Vous pouvez vérifier que vous utilisez une version sécurisée
-de votre paque en regardant le changelog du paquet ou en comparant
+de votre paquet en regardant le changelog du paquet ou en comparant
(version antérieure -slash- version Debian) exactement le numéro de version
avec celui indiqué dans le journal de sécurité Debian (Debian Security Advisory).
-<sect1>J'ai trouvé des utilisateurs utilsant 'su' dans mes logs.
+<sect1>J'ai trouvé des utilisateurs utilisant 'su' dans mes logs.
<p>Vous pouvez trouver des lignes comme celles-ci dans vos logs:
<example>
Apr 1 09:25:01 server su[30315]: + ??? root-nobody
@@ -5125,7 +5139,7 @@
<sect1>Qu'est ce qu'un rapport de sécurité Debian (Debian Security Advisory (DSA))
<p>C'est l'information envoyée par l'Equipe de Sécurité Debian (voir ci-dessous)
-informant qu'une mise à jour de sécurité concernant une vulnérabilité est dispobible
+informant qu'une mise à jour de sécurité concernant une vulnérabilité est disponible
pour le système d'exploitation Debian. Les DSAs signés sont envoyés aux mailing
listes publique et postés sur le site Debian (sur la page de garde
et sur <url id="http://www.debian.org/security/"; name="security area">).
@@ -5178,14 +5192,14 @@
<item>Les DSAs ne sont pas envoyés jusqu'à ce que:
<list>
<item>les paquets soient disponibles pour <em>toutes</em>
-les architectures surpportées par Debian (Cela prend du temps pour les paquets
+les architectures supportées par Debian (Cela prend du temps pour les paquets
qui font partie intégrante du système core, spécialement si on considère le nombre
d'architecture supporté dans la version stable).
<item>Les nouveaux paquets sont ensuite testés pour s'assurer qu'aucun
nouveau bug ne s'est introduit
</list>
<item>Les paquets doivent être disponibles avant que le DSA ne soit envoyé (dans la file
-d'arrivée ou sur les mirroirs).
+d'arrivée ou sur les miroirs).
<item>Debian est un projet basé sur le volontariat.
<item>Il y une clause de "non-garantie", qui est une part de la licence livrée avec
la Debian.
@@ -5202,10 +5216,10 @@
rapidement disponible en amont (Pour les autres versions, comme celles
introduites dans la stable, il est nécessaire de faire un report).
-<sect1>Pourquoi n'y a t'il pas de mirroir officiel de security.debian.org?
+<sect1>Pourquoi n'y a t'il pas de miroir officiel de security.debian.org?
<p>A: Le but de security.debian.org est de mettre à disposition les mises
- à jour de sécurité qussi vite et facilement que possible. Les mirrors
- ajouteraient un niveau de complexite qui n'est pas nécessaire et qui
+ à jour de sécurité aussi vite et facilement que possible. Les mirrors
+ ajouteraient un niveau de complexité qui n'est pas nécessaire et qui
provoquerait une certaine frustration en cas de non mise à jour.
<!-- FIXME:
@@ -5233,7 +5247,7 @@
sont envoyés aux mailing listes des développeurs (debian-private) à laquelle
tous les développeurs Debian sont inscrits; tous les envois à cette liste
sont tenus confidentiels (i.e. ne sont pas archivés sur le site public).
-Debian-security@lists.debian.org est une mailing liste publuque,
+Debian-security@lists.debian.org est une mailing liste publique,
ouverte à tous ceux qui le désirent, et des archives sont disponible pour
la recherche à partir du site Internet.
@@ -5271,10 +5285,10 @@
<sect1>Qui compose l'Equipe de Sécurité ?
<p>
-L'Equipe de Sécurité Debian se résume à cinq membres et deux secrétaires.
-L'Equipe Securité elle-même invite tout le monde à se joindre à l'équipe.
+l'Equipe de Sécurité Debian se résume à cinq membres et deux secrétaires.
+l'Equipe Sécurité elle-même invite tout le monde à se joindre à l'équipe.
-<sect1>L'Equipe Sécurité Debian vérifie-t-elle chaque nouveau paquet dans Debian ?
+<sect1>l'Equipe Sécurité Debian vérifie-t-elle chaque nouveau paquet dans Debian ?
<p>
Non, l'équipe securité Debian ne vérifie pas tous les paquets et il n'existe pas
@@ -5304,7 +5318,7 @@
-->
<p>
-Une procédure est touours utile étant donné qu'elle permet de voir
+Une procédure est toujours utile étant donné qu'elle permet de voir
les étapes du durcissement du système et permet une prise de décisions.
Une approche possible d'une telle procédure pour Debian 2.2 GNU/Linux est
présentée ci-dessous. Ceci est une procédure post-installation, avec une
@@ -5441,7 +5455,7 @@
d'un scanner de réseaux.
<item>Vérifier les connexions sortantes en utilisant un scanner de réseaux depuis le système
-jusqu'à un hôte à l'extérieur et verifier que les connexions non voulues ne trouvent pas leur
+jusqu'à un hôte à l'extérieur et vérifier que les connexions non voulues ne trouvent pas leur
sortie.
</list>
@@ -5469,7 +5483,7 @@
<list>
-<item>Limiter les accès physisques et les possibilités de démarrage.
+<item>Limiter les accès physiques et les possibilités de démarrage.
<list>
<item>Activer un mot de passe pour le BIOS.
<item>Désactiver le démarrage sur disquette/cdrom/...
@@ -5479,14 +5493,14 @@
vérifier que le fichier de configuration de LILO ou de GRUB soit en lecture
seule.
- <item>Interdire le démarrage par disquette sur le MBR en réécrivant par dessus le MBR
+ <item>Interdire le démarrage par disquette sur le MBR en récrivant par dessus le MBR
(peut-être pas ?)
</list>
<item>Partitionnement
<list>
-<item>Séparer les données où lesutilisateurs peuvent écrire, données non-système, et
+<item>Séparer les données où les utilisateurs peuvent écrire, données non-système, et
rapidement changer les données runtime pour leurs propres partitions
@@ -5500,12 +5514,12 @@
<item>Hygiène pour les mots de passes et la sécurité des connexions.
<list>
-<item>Etablir un bon mot de passe root.
+<item>Établir un bon mot de passe root.
<item>Activer les mots de passes ombrés et MD5.
<item>Installer et utiliser PAM.
<list>
-<item>Ajouter le suppport du MD5 à PAM et être sûr que
+<item>Ajouter le support du MD5 à PAM et être sûr que
(de manière générale) les entrées dans les fichiers
<file>/etc/pam.d/</file> qui ouvrent les droits d'accès
à la machine ont un second champs dans
@@ -5515,7 +5529,7 @@
<item>Modifiez <file>/etc/pam.d/login</file> pour que
seul le root puisse se loguer localement.
- <item>Indiquer également les tty:s authorisés dans
+ <item>Indiquer également les tty:s autorisés dans
<file>/etc/security/access.conf</file> et généralement
limiter le plus possible l'accès à ce fichier par l'utilisateur
root.
@@ -5524,7 +5538,7 @@
utilisateur.
<item>Modifiez <file>/etc/pam.d/passwd</file>: augmenter la taille minimum
- du mot de passe (6 caractères peut-êre).
+ du mot de passe (6 caractères peut-être).
<item>Ajouter le groupe wheel à <file>/etc/group</file> si vous voulez;
ajouter l'entrée pam_wheel.so group=wheel au fichier
@@ -5565,7 +5579,7 @@
<item>Rustines pour noyaux
(voir <ref id="kernel-patches">)
- <item>Reserrer les permissions sur les fichiers de logs.
+ <item>Resserrer les permissions sur les fichiers de logs.
(<file>/var/log/{last,fail}log</file>, logs d'Apache)
<item>Verifier que la vérification de setuid soit active dans
@@ -5593,9 +5607,9 @@
PermitEmptyPasswords No;
noter d'autre suggestion de texte)
- <item>Envisager la désactivation ou la suppresion de in.telnetd.
+ <item>Envisager la désactivation ou la suppression de in.telnetd.
- <item>Générallement, désactiver les services inutiles dans le fichier
+ <item>Généralement, désactiver les services inutiles dans le fichier
<file>/etc/inetd.conf</file> en utilisant <tt>update-inetd
--disable</tt> (ou désactiver inetd complètement, ou utiliser une
solution de rechange tel xinetd ou rlinetd).
@@ -5621,7 +5635,7 @@
<item>Si vous utiliser X, désactiver l'authentification xhost et utiliser plutôt ssh;
de façon encore plus sécurisé, désactiver X à distance si vous pouvez (ajouter -nolisten tcp
- à la ligne se réferrant à la commande X et mettre hors service XDMCP dans le fichier
+ à la ligne se référant à la commande X et mettre hors service XDMCP dans le fichier
<file>/etc/X11/xdm/xdm-config</file> en plaçant la valeur 0 à requestPort).
<item>Désactivez l'accès aux imprimantes de l'extérieur.
@@ -5629,10 +5643,10 @@
<item>Encryptez toute session IMAP ou POP via SSL ou SSH;
installez stunnel si vous voulez fournir ce service pour des utilisateurs distant.
- <item>Mettre en place un hote de logs et configurer les autres machines afin qu'elles envoient
+ <item>Mettre en place un hôte de logs et configurer les autres machines afin qu'elles envoient
les logs à cet hôte (<file>/etc/syslog.conf</file>).
- <item>Sécuriser BIND, Sendmail et tout autre daemon complèxe
+ <item>Sécuriser BIND, Sendmail et tout autre daemon complexe
(Lancer dans une prison chroot; lancer en tant qu'utilisateur non root)
<item>Installer snort ou un outil similaire.
@@ -5642,7 +5656,7 @@
</list>
<item>Problèmes de politique
<list>
-<item>Eduquer les utilisateurs sur le comment et le pourquoi de vos règles.
+<item>Éduquer les utilisateurs sur le comment et le pourquoi de vos règles.
Lorsque que vous avez interdit quelque chose qui est généralement
disponible sur d'autres systèmes, fournissez leur une documentation qui
explique comment arriver aux mêmes résultats d'une manière plus sécurisée.
Reply to: