Re: [DDR] Manuel de s?curisation Debian
On Tue, Oct 22, 2002 at 12:02:04PM +0200, STOJICEVIC Edi EXPSIA wrote:
> Bonjour,
>
> Le manuel de s?curisation ?tant traduit il ne demande plus
> qu'? ?tre relu ;)
>
> Le document peut-?tre trouv? sur www.debianworld.org/Docs_livres.php
>
> Je suis maintenant en attente de vos remarques, modifications, ....
>
> Amicalement,
>
> ES
> --
Voici un premier patch de correction.
Une fois que le document aura été relu/corrigé on pourrait enlever les
commentaires de traduction, non ?
Arnaud.
--- securing-debian-manual-fr.sgml.ori Tue Oct 22 17:02:45 2002
+++ securing-debian-manual-fr.sgml Wed Oct 23 18:36:54 2002
@@ -43,7 +43,7 @@
Une des choses les plus dures dans l'écriture de documents liés à la sécurité est
que chaque cas est unique. Deux choses auxquelles il faut prêter attention sont les
menaces pour un environnement et les besoins liés à un site individuel, un hôte ou
-un réseau. Par exemple, les besoins pour une utilisation familliale sont complètement
+un réseau. Par exemple, les besoins pour une utilisation familiale sont complètement
différents de ceux liés à un réseau d'une banque. Alors que la première menace à laquelle un
utilisateur quelconque doit faire face est le "script kiddie", un réseau banquier
doit se soucier des attaques dont il peut être la cible. De plus, la banque se
@@ -132,7 +132,7 @@
<p>
Le thème de ce manuel est relativement clair et il est important de le
-maintenir à jour, vous pouvez apporter votre pierre à l'édifice. S'il vous plait,
+maintenir à jour, vous pouvez apporter votre pierre à l'édifice. S'il vous plaît,
aidez-nous.
<sect>Connaissances requises
@@ -279,7 +279,7 @@
n'est plus un problème inetd).
<item>Clarification d'une information sur la désactivation de services pour le rendre
-plus rigoureux (les infos sur rpc se réferent toujours à update-rc.d)
+plus rigoureux (les infos sur rpc se réfèrent toujours à update-rc.d)
<item>Ajout d'une petite note sur lprng.
@@ -298,7 +298,7 @@
<item>Réorganisation de la section <em>Après l'installation</em> afin de permettre
une lecture plus aisée du document.
-<item>Ecriture d'information sur la manière de paramétrer des pares-feux avec
+<item>Écriture d'information sur la manière de paramétrer des pares-feux avec
l'installation standard Debian 3.0 (paquet iptables).
<item>Petit paragraphe expliquant pour quelles raisons l'installation étant connecté
@@ -306,13 +306,13 @@
<item>Petit paragraphe sur un article de l'IEEE relatant de l'opportunité du patchage par référence.
-<--! A verifier si je trouve le paragraphe plus bas. jpg ?! -->
+<--! A vérifier si je trouve le paragraphe plus bas. jpg ?! -->
<item>Appendice sur la manière de paramétrer une bécane snort Debian, basé sur ce que Vladimir
a envoyé à la liste de discussion debian-security (3 septembre 2001)
<item>Information sur la manière dont est configurée logcheck dans la Debian et comment
-il peut être utlisé pour paramétrer HIDS.
+il peut être utilisé pour paramétrer HIDS.
<item>Information sur les comptes utilisateurs et sur les analyses de profile.
@@ -346,7 +346,7 @@
<item>Ajout d'un nouveau sujet de FAQ concernant le temps à résoudre les vulnérabilités
liées à la sécurité.
<item>Réorganisation des sections de la FAQ.
-<item>Début de l'écriture d'une section concerant les pares-feux dans la Debian
+<item>Début de l'écriture d'une section concernant les pares-feux dans la Debian
GNU/Linux (pourrait être élargi un peu).
<item>Fautes de frappes envoyées par Matt Kraai.
<item>Correction sur les informations DNS.
@@ -616,7 +616,7 @@
l'impact sur votre système sera minimisé.
<item>Utiliser des outils appropriés pour garantir qu'une utilisation
-non authorisée soit détectée et que vous puissiez prendre des mesures
+non autorisée soit détectée et que vous puissiez prendre des mesures
adéquates.
</list>
@@ -625,7 +625,7 @@
<p>
Ce manuel ne va, généralement, pas dans les détails pour démontrer que
-certains problèmes sont considérés commes des risques pour la sécurité.
+certains problèmes sont considérés comme des risques pour la sécurité.
Toutefois, vous pourriez désirer avoir une meilleure vision de la sécurité
Unix en général et plus particulièrement celle liée à Linux. Prenez le
temps de lire les documentations relatives à la sécurité afin que
@@ -670,7 +670,7 @@
référence sur la manière de renforcer les serveurs linux, il est disponible sur
<url id="http://www.intersectalliance.com/projects/index.html"; name="their site">.
-<item>Pour les administrateurs réseaux, une bonne référence pour batir un réseau
+<item>Pour les administrateurs réseaux, une bonne référence pour bâtir un réseau
sécurisé est le <url name="Securing your Domain HOWTO"
id="http://www.linuxsecurity.com/docs/LDP/Securing-Domain-HOWTO/";>.
@@ -873,7 +873,7 @@
<p>Le système que vous êtes sur le point d'installer ne devrait pas
être connecté à Internet pendant l'installation. Ceci peut paraître
-stupide mais c'est généralement le cas. Etant donné que le système
+stupide mais c'est généralement le cas. Étant donné que le système
va installer et activer les services immédiatement, si le système est
connecté à Internet et que les services ne sont pas configurés correctement
vous les exposez à des attaques.
@@ -934,7 +934,7 @@
se connecter au vôtre. Les services sont parfois vulnérables (entendez par
là qu'ils peuvent être compromis par certaines attaques) et ce sont des
risques de sécurité. <!-- ne peut on pas utiliser facteurs risques plutôt que
-risques de sécurité? Il me semble que ca passerait mieux. jpg -->
+risques de sécurité? Il me semble que ça passerait mieux. jpg -->
<p>
Vous ne devriez pas installer les services dont vous n'avez pas besoin
@@ -961,7 +961,7 @@
super daemon inetd (une ligne sera ajouté à <file>/etc/inetd.conf</file>)
ou via un programme qui se fixe à vos interfaces réseaux. Ces programmes
sont contrôlés via les fichiers <file>/etc/init.d</file> qui sont appelés
-lors du démarrage au moyen du mecanisme de SysV (ou un autre) en utilisant
+lors du démarrage au moyen du mécanisme de SysV (ou un autre) en utilisant
des liens symboliques dans <file>/etc/rc?.d/*</file> (pour plus
d'informations sur la manière dont cela est fait lire
<file>/usr/share/doc/sysvinit/README.runlevels.gz</file>).
@@ -1015,7 +1015,7 @@
Si n'importe quel fichier /etc/rcrunlevel.d/[SK]??nom existe déjà alors
update-rc.d ne fera rien. C'est pour cela que l'administrateur système
peut réarranger les liens, pourvu qu'il reste au moins un lien
- qui n'a pas vu sa configuration réécrite.
+ qui n'a pas vu sa configuration ré-écrite.
</example>
<p>Si vous utilisez <package>file-rc</package> toutes les informations
@@ -1031,7 +1031,7 @@
<tt>chmod 644 /etc/init.d/daemon</tt> (mais ceci donne un message d'erreur au
démarrage), ou modifier le script <file>/etc/init.d/daemon</file> (en ajoutant
une ligne <prgn>exit 0</prgn> au début ou en commentant la partie
-<tt>start-stop-daemon</tt>). Etant donné que les fichiers init.d sont des
+<tt>start-stop-daemon</tt>). Étant donné que les fichiers init.d sont des
fichiers de configurations, ils ne seront pas réécris lors d'une mise à jour.
<p>Malheureusement, contrairement à d'autres systèmes d'exploitations (UNIX),
@@ -1093,7 +1093,7 @@
<url name="http://www.debian.org/MailingLists/subscribe";
id="http://www.debian.org/MailingLists/subscribe";>
-<p>Cette liste de discussion a peu de traffic, et en vous inscrivant vous
+<p>Cette liste de discussion a peu de trafic, et en vous inscrivant vous
serez tenu au courant des mises à jour pour la distribution Debian.
Cela vous permet de télécharger rapidement les nouveaux paquets sans les bogues,
ce qui est relativement important dans le maintien d'un système sécurisé. (Voir
@@ -1108,7 +1108,7 @@
init=/bin/sh". Apres le changement du mot de passe et le redémarrage du
système, la personne à un accès root illimité et peut faire tout ce qu'il
veut sur le système. Après ceci, vous n'aurez plus d'accès root sur votre machine,
-vu que vous ne connaitrez pas le mot de passe.
+vu que vous ne connaîtrez pas le mot de passe.
<p>
Pour être sûr que cela ne puisse pas se produire, vous devriez attribuer un
mot de passe au démarrage. Vous avez le choix entre un mot de passe global et un
@@ -1184,7 +1184,7 @@
<p>Maintenant LILO est mis dans le MBR. Ceci peut être fait également
en ajoutant "boot=/dev/hda" au fichier lilo.conf. Il y a encore une
-autre solution qui désactivera completement le prompt MBR :
+autre solution qui désactivera complètement le prompt MBR :
<example>
install-mbr -i n /dev/hda
@@ -1244,7 +1244,7 @@
<p>
Vous voyez la différence dans la section des options. L'option
-<tt>nosuid</tt> ignore completement les bits setuid et setgid, tandis que
+<tt>nosuid</tt> ignore complètement les bits setuid et setgid, tandis que
<tt>noexec</tt> interdit l'exécution de tout programme sur ce point de
montage et <tt>nodev</tt> ignore les périphériques. Ceci semble bon mais cela
<list>
@@ -1323,7 +1323,7 @@
Si vous mettez <file>/usr</file> en lecture seule, vous serez dans l'incapacité
d'installer de nouveaux paquets sur votre système Debian GNU/Linux. Vous devrez,
avant tout la remonter en lecture-écriture, puis installer les nouveaux paquets
-et enfin la remonter en lecture seule. La dernière version d'apt (dans la debian
+et enfin la remonter en lecture seule. La dernière version d'apt (dans la Debian
3.0 "woody") peut être configurer pour lancer des commandes avant et après
l'installation de paquets, ainsi vous pouvez avoir envie de le configurer correctement.
@@ -1343,14 +1343,14 @@
Notez que le Post-invoke peut échouer avec un message d'erreur "/usr busy".
Ceci survient principalement lorsque vous utilisez des fichiers lors de la
mise à jour et que ces fichiers sont justement mis à jour. C'est agaçant mais
-pas rééllement un problème. Vérifier juste qu'ils ne soient plus utilisés puis
+pas réellement un problème. Vérifier juste qu'ils ne soient plus utilisés puis
lancer le Post-Invoke manuellement.
<sect id="update">Se mettre à jour au niveau de la sécurité
<p>
Dès que des nouveaux bogues de sécurité sont décelés dans les paquets, les
-responsables Debian et les auteurs en amont les raccomodent dans la journée ou les
+responsables Debian et les auteurs en amont les raccommodent dans la journée ou les
heures suivantes. Une fois le bogue résolu, un nouveau paquet est fourni sur
name="http://security.debian.org";
id="http://security.debian.org";>. Mettre la ligne suivante dans votre
@@ -1376,9 +1376,9 @@
<p>
Vous devriez procéder à des mises à jour fréquemment, la plupart des piratages
-est le résultat de vulnérabilités connues mais qui n'ont pas été raccomodées à
+est le résultat de vulnérabilités connues mais qui n'ont pas été raccommodées à
temps, tel que le décrit le <url id="http://www.cs.umd.edu/~waa/vulnerability.html";
- name="texte de Bill Arbaugh"> (presenté au Symposium IEEE 2001 sur la Sécurité et
+ name="texte de Bill Arbaugh"> (présenté au Symposium IEEE 2001 sur la Sécurité et
la Vie Privé).
<p>FIXME: Ajouter des informations sur comment est réalisé la signature des paquets, ce qui peut
@@ -1469,7 +1469,7 @@
Vous devriez ajouter l'option "md5" pour utiliser les mots de passe MD5, modifiez
la longueur du mot de passe de 4 à 6 (ou plus) et fixez une longueur maximale si
vous le désirez. La ligne devrait ressembler à quelque chose comme ceci :
-<!-- J'ai change les verbes a l'infinitif par un imperatif qui me semble plus adequat, non? jpg -->
+<!-- J'ai change les verbes a l'infinitif par un impératif qui me semble plus adéquat, non? jpg -->
<example>
password required pam_unix.so nullok obscure min=6 max=11 md5
@@ -1489,7 +1489,7 @@
</example>
<p>
-Ceci permet d'être sûr qu'uniquement les personnes du groupe wheel pouront
+Ceci permet d'être sûr qu'uniquement les personnes du groupe wheel pourront
utiliser <prgn>su</prgn> pour devenir root. Les autres utilisateurs ne
seront pas capable de le devenir. En somme, ils seront confrontés à un message d'interdiction
s'ils essayent de devenir root.
@@ -1533,7 +1533,7 @@
<sect1 id="user-limits">Le fichier limits.conf
<p>
-Vous devriez sérieusement jeter un oeil à ce fichier. Ici voux pouvez
+Vous devriez sérieusement jeter un oeil à ce fichier. Ici vous pouvez
définir les limites par utilisateur des ressources. Si vous utilisez
PAM, le fichier <file>/etc/limits.conf</file> est ignoré et vous
devriez utiliser <file>/etc/security/limits.conf</file> à la place.
@@ -1610,12 +1610,12 @@
Si les mots de passe MD5 sont activés dans votre configuration PAM,
alors cette variable devrait avoir la même valeur.
-<sect1>Editer /etc/ftpusers
+<sect1>Éditer /etc/ftpusers
<p>
Ce fichier contient une liste d'utilisateurs qui ne sont pas autorisés
à se connecter à l'hôte en utilisant ftp. Utiliser uniquement ce fichier
-si vous voulez rééllement autorisez le ftp (qui n'est, en général, pas
+si vous voulez réellement autorisez le ftp (qui n'est, en général, pas
recommandé car il utilise des mots de passe en clair). Si votre daemon
supporte PAM, celui-ci peut-être utilisé pour permettre ou refuser
certains services aux utilisateurs.
@@ -1670,7 +1670,7 @@
<p>
Debian ne fourni pas à l'heure actuelle (mais peut être dans le futur) le module
-<file>pam_chroot</file>. Une alternative à celà est de chroot le service qui
+<file>pam_chroot</file>. Une alternative à cela est de chroot le service qui
fourni les connexions à distances (ssh, telnet).
<p>
@@ -1814,7 +1814,7 @@
<p>
Si vous êtes complètement paranoïaque et que vous voulez auditer toutes
-les commandes des utilisateurs, vous pouvez prendres les codes sources du
+les commandes des utilisateurs, vous pouvez prendre les codes sources du
bash, les éditer et récupérer dans un fichier toutes les commandes que
l'utilisateur tape. Ou avoir <package>ttysnoop</package> constamment en
attente de nouveaux ttys et reverser toutes les sorties dans un fichier.
@@ -1822,7 +1822,7 @@
<url name="Snoopy" id="http://sourceforge.net/project/?group_id=2091";>
qui est un programme transparent pour l'utilisateur qui se positionne
comme une librairie fournissant une encapsulation des appels execve(),
-toute commande éxécutée est loguée en utilisant la facilité <tt>authpriv</tt>
+toute commande exécutée est loguée en utilisant la facilité <tt>authpriv</tt>
(généralement stoqué dans <file>/var/log/auth.log</file> .
<!-- FIXME: Debian package for snoopy??? --> <p>
Notez que vous ne pouvez pas utiliser la commande <prgn>script</prgn>
@@ -2058,7 +2058,7 @@
name="syslog.conf" section="5"> pour toutes informations complémentaires.
<--! ES garder fichiers de log ou de logs ? => apparemment ils utilisent sur
-la liste journaux d'évenements ...-->
+la liste journaux d'évènements ...-->
<sect1>Permissions du fichier d'archivage
@@ -2102,15 +2102,15 @@
une prison autour de votre cible, dont votre cible ne peut s'échapper
(normalement, mais il y a encore beaucoup de conditions qui permettent de
s'échapper d'une telle prison). Si vous ne faites pas confiance à un utilisateur,
-vous pouvez créer un environement à racine modifiée pour lui. Cela peut utiliser
+vous pouvez créer un environnement à racine modifiée pour lui. Cela peut utiliser
pas mal d'espace disque comme vous avez besoin de copier tous les exécutables
nécessaires, ainsi que les librairies, dans la prison. Même si l'utilisateur
-fait quelquechose de malveillant, la portée des dégats sera limitée à la prison.
+fait quelque chose de malveillant, la portée des dégâts sera limitée à la prison.
<p>Un bon exemple pour ce cas est, si vous n'authentifiez pas avec
<file>/etc/passwd</file> mais utilisez LDAP ou MySQL à la place. Donc votre
daemon-ftp a seulement besoin d'un binaire et peut être de quelques librairies.
-Un environement chrooté serait une excellent amélioration de la sécurité; si
+Un environnement chrooté serait une excellent amélioration de la sécurité; si
un nouvel exploit est découvert pour ce daemon-ftp, alors les attaquants pourront
seulement exploiter l'UID de l'utilisateur-daemon-ftp et rien d'autre.
@@ -2118,17 +2118,17 @@
d'aménagement aussi.
<p>Cependant, soyez averti qu'une prison chroot peut être brisée si
-l'utilisateur qui y évolue est le superutilisateur. Donc, vous devez
-faire s'éxécuter le service comme un utilisateur non-priviligié. En
-limitant son environement vous limitez les fichiers lisibles/inscriptibles
-par tout le monde auxquels le service peut accèder, ainsi, vous limitez les
+l'utilisateur qui y évolue est le super utilisateur. Donc, vous devez
+faire s'exécuter le service comme un utilisateur non-priviligié. En
+limitant son environnement vous limitez les fichiers lisibles/inscriptibles
+par tout le monde auxquels le service peut accéder, ainsi, vous limitez les
possibilités d'élévation de privilège en utilisant des vulnérabilités du
système local. Même si dans cette situation vous ne pouvez être complètement
sur qu'il n'y a aucun moyen pour un attaquant intelligent de s'échapper d'une
façon ou d'une autre de la prison. L'utilisation des seuls programmes serveurs
qui ont la réputation d'être surs est une bonne mesure de sécurité supplémentaire.
Même des failles minuscules comme des références de fichier ouverts peuvent être
-utilisées par un attaquant talentueux pour s'introduire dans le sytème. Après
+utilisées par un attaquant talentueux pour s'introduire dans le système. Après
tout <prgn>chroot</prgn> n'a pas été conçu comme un outil de sécurité mais comme
un outil de test.
@@ -2139,11 +2139,11 @@
Internet) n'est pas livré chrooté par défaut; en fait, aucun daemon n'est
chrooté. Cela pourrait changer dans la version woody (3.0).
-<!-- Il faudrait peut etre signifier ici que BIND est un outil très vulnérable.
+<!-- Il faudrait peut être signifier ici que BIND est un outil très vulnérable.
il est impératif de mettre les dernières mises à jour? jpg -->
<p>Il y a aussi des logiciels (pas dans la Debian actuellement mais qui pourraient
-fournis dans le futur) qui peuvent aider à configurer des environements chroot.
+fournis dans le futur) qui peuvent aider à configurer des environnements chroot.
<prgn>makejail</prgn> par exemple, peut créer et mettre à jour une prison chroot
avec de petits fichiers de configuration. il essaie aussi de deviner et
<!-- AA ou peu de fichiers ? -->
@@ -2161,11 +2161,11 @@
<p>
Beaucoup de fonctionnalités du kernel peuvent être modifiées en cours
-de fonctionnement en envoyant quelquechose (via la commande echo) dans
+de fonctionnement en envoyant quelque chose (via la commande echo) dans
le système de fichier /proc ou en utilisant sysctl. En entrant
<tt>sysctl -A</tt> vous pouvez voir ce que vous pouvez configurer et quelles
sont les options. Vous aurez seulement en de rares occasions à éditer
-quelquechose ici, mais vous pouvez augmenter la sécurité de cette mannière aussi.
+quelque chose ici, mais vous pouvez augmenter la sécurité de cette manière aussi.
<!-- FIXME: /proc/sys/ ne devrait-il pas préfixer tout ça ? era -->
@@ -2174,7 +2174,7 @@
net/ipv4/icmp_echo_ignore_broadcasts = 1
</example>
-C'est un 'émulateur windows' parceque ça agit comme windows sur les ping de
+C'est un 'émulateur windows' parce que ça agit comme windows sur les ping de
broadcast si celui-ci est positionné à 1.
<!-- Ce qui veut dire quoi exactement? Simplement que ça ignore les broadcasts? FIXME -->
Sinon, ça ne fait rien.
@@ -2203,7 +2203,7 @@
/proc/sys/net/ipv4/conf/all/log_martians = 1
</example>
-<p>Les paquets avec des adresses impossibles (du fait de routes eronnées) sur
+<p>Les paquets avec des adresses impossibles (du fait de routes erronées) sur
votre système sont logués.
<p>
@@ -2357,7 +2357,7 @@
votre espace disque.
<item>Garder les quotas suffisamment grands, ainsi les utilisateurs ne
-se plainderont pas. Pensez aussi a leur reserver de la place pour qu'ils puissent
+se plaindront pas. Pensez aussi a leur réserver de la place pour qu'ils puissent
conserver leurs mails sur une longue période.
<item>Utilisez des quotas sur tous les espaces accessibles en écriture par les
utilisateurs, /home aussi bien que /tmp.
@@ -2373,7 +2373,7 @@
Bon, maintenant vous désirez utiliser les quotas. Avant tout, vous avez besoin
de vérifier si vous avez activé le support du quota dans votre noyau. Si non,
vous devrez le recompiler.<!-- FIXME: Comment verifier si les quotas sont activés? Qu'y a t'il
-à faire pour recompiler? --> Après celà, contrôlez si le paquet "quota" est
+à faire pour recompiler? --> Après cela, contrôlez si le paquet "quota" est
installé. Si non vous en aurez également besoin.
<p>
@@ -2397,7 +2397,7 @@
être modifiés avec <tt>edquota -g <group></tt>. Ensuite, paramétrez
les quotas soft et hard et/ou les quotas pour inodes correspondant.
-<!-- Quota permet d'etablir des quotas par utilisateur, ou par groupe d'utilisateurs.
+<!-- Quota permet d'établir des quotas par utilisateur, ou par groupe d'utilisateurs.
Il faut faire attention dans cette partie de traduction qui amha est a revoir pour affiner.jpg -->
<p>
@@ -2446,8 +2446,8 @@
<sect1 id="check-integ">Vérifier l'intégrité des systèmes de fichiers
<p>
-Etes-vous sûr que le /bin/login présent sur votre disque dur soit le même
-que celui que vous aviez installé il y a de celà quelques mois ? Que faire
+Êtes-vous sûr que le /bin/login présent sur votre disque dur soit le même
+que celui que vous aviez installé il y a de cela quelques mois ? Que faire
si c'est une version piratée, qui enregistre les mots de passe entrés
dans un fichier caché ou les envoi en clair à travers internet ?
@@ -2491,9 +2491,9 @@
<p>Pour que cette vérification soit faite vous devez positionner
<tt>CHECKSECURITY_DISABLE="FALSE"</tt> dans <file>/etc/checksecurity.conf</file>.
Notez, que c'est la configuration par défaut, donc à moins que vous ayez changé
-quelquechose, cette option sera déjà positionnée à "FALSE".
+quelque chose, cette option sera déjà positionnée à "FALSE".
-<p>Le comportement par défaut est de ne pas envoyer cette information au superutilisateur
+<p>Le comportement par défaut est de ne pas envoyer cette information au super utilisateur
mais à la place de garder une copie journalière des changements dans
<file>/var/log/setuid.changes</file>. Vous devrez positionner
CHECKSECURITY_EMAIL (dans <file>/etc/checksecurity.conf</file>) à 'root' pour
@@ -2528,7 +2528,7 @@
</list>
<p>Restreindre les services ainsi ils ne seront accessibles que depuis un
-endroit bien spécifique. Ces restrictions peuvent-être faites au niveau
+endroit bien spécifique. Ces restrictions peuvent être faites au niveau
du noyau (pare-feu), configurez les services pour écouter uniquement sur
une interface définie (certains services ne fournissent peut-être pas cette
fonctionnalité) ou utilisez tout autre méthode, par exemple la rustine vserver
@@ -2564,7 +2564,7 @@
<p>
Si vous utilisez toujours telnet au lieu de ssh, vous devriez prendre
-une pause dans la lecture de ce manuel pour remedier à cela. Ssh devrait
+une pause dans la lecture de ce manuel pour remédier à cela. Ssh devrait
être utilisé pour toutes les connexions distantes à la place de telnet.
A une époque où il est facile de renifler le trafic Internet et d'obtenir les
mots de passe en clair, vous devriez utiliser uniquement les protocoles qui
@@ -2591,7 +2591,7 @@
Si quelqun veut devenir root via ssh, deux logins sont maintenant nécessaires et
le mot de passe root ne peut être attaqué par moulinette via SSH.
-<!--force brute =>trouver une autre traduction. Moulinette est aussi employe dans le milieu en reference
+<!--force brute =>trouver une autre traduction. Moulinette est aussi employé dans le milieu en reference
a l'action repetitive. jpg -->
@@ -2641,7 +2641,7 @@
est choisi.
<p>
-Vous pouvez obtenir plus d'informations concerant la mise en place de SSH
+Vous pouvez obtenir plus d'informations concernant la mise en place de SSH
avec le support PAM dans les <url
id="http://lists.debian.org/debian-security/2001/debian-security-200111/msg00395.html";
name="archives de la liste de discussion sécurité">.
@@ -2707,11 +2707,11 @@
<tt>DenyFilter \*.*/</tt>
<p>
-Rappelez-vous toujous que le FTP envoi les identifiants et les mots de
-passe d'autentification en clair (ceci n'est pas un problème si vous
+Rappelez-vous toujours que le FTP envoi les identifiants et les mots de
+passe d'authentification en clair (ceci n'est pas un problème si vous
fournissez un service public anonyme) et il existe de meilleures
alternatives dans Debian pour cela. Par exemple, <prgn>sftp</prgn> (fourni par <package>ssh</package>). Il existe également d'autres
-implémentatations de SSH pour d'autres systèmes d'exploitation : <url
+implémentations de SSH pour d'autres systèmes d'exploitation : <url
id="http://www.chiark.greenend.org.uk/~sgtatham/putty/"; name="putty">
et <url id="http://www.cygwin.com"; name="cygwin"> par exemple.
@@ -2737,7 +2737,7 @@
le contrôle d'accès basé dur xhost. <!-- FIXME: check. The text said "has to be disabled" [sic] -->
<p>
-Pour une securité accrue, si vous n'avez pas besoin d'accéder à X depuis
+Pour une sécurité accrue, si vous n'avez pas besoin d'accéder à X depuis
d'autres machines, désactivez-le du port 6000 en tapant simplement :
<tt>startx -- -nolisten tcp</tt>
@@ -2775,8 +2775,8 @@
DisplayManager.requestPort: 0
</example>
-<p>Normallement, tous les gestionnaires d'affichages sont configurés par défaut
-pour ne pas démmarrer les services XDMCP dans la Debian.
+<p>Normalement, tous les gestionnaires d'affichages sont configurés par défaut
+pour ne pas démarrer les services XDMCP dans la Debian.
<sect>Sécurisation de l'accès à l'impression (Le problème lpd et lprng)
@@ -2793,7 +2793,7 @@
<p>
Cependant, même si vous faites cela, le daemon lpr accepte les connexions entrantes
sur le port 515 de n'importe quelle interface. Vous devriez réfléchir au filtrage
-par un pare-feux des connexions provenant de réseaux/hôtes qui ne sont pas
+par un pare-feu des connexions provenant de réseaux/hôtes qui ne sont pas
autorisés à imprimer (le daemon lpr ne peut être limité pour écouter seulement
sur une adresse IP donnée).
@@ -2802,15 +2802,15 @@
de façon à ce que la fonction connect se fasse uniquement sur "127.0.0.1".
apt-get source lpr et patcher l'appel bind (finet)
-->
-<p>Lprng doît être préferé à lpr car il peut être configuré pour faire du contrôle
+<p>Lprng doît être préféré à lpr car il peut être configuré pour faire du contrôle
d'accès basé sur l'IP. Vous pouvez spécifier l'interface sur laquelle on se
lie (cependant d'une manière un peu bizarre)
<!-- FIXME: questionner Craig Small au sujet de son post dans debian-private du
19 octobre 2001 -->
-<p>Si vous utilisez une imprimate sur votre système, mais seulement localement,
-vous ne voullez pas partager ce service sur le réseau. Vous pouvez considérer
+<p>Si vous utilisez une imprimante sur votre système, mais seulement localement,
+vous ne voulez pas partager ce service sur le réseau. Vous pouvez considérer
l'utilisation d'autres systèmes d'impression, comme celui fournit par
<package>cups</package> ou <url name="PDQ" id="http://pdq.sourceforge.net/";>
qui est basé sur les permissions utilisateurs du périphérique <file>/dev/lp0</file>.
@@ -2828,7 +2828,7 @@
intéressants).
<p>FIXME: Vérifier la disponibilité de PDG dans la Debian, et si il l'est,
-le suggérer comme le système d'impression préferé.
+le suggérer comme le système d'impression préféré.
<p>FIXME: Vérifier si Farmer/Wietse a une alternative pour le daemon d'imprimante
et si il est disponible dans la Debian.
@@ -2964,15 +2964,15 @@
<p> L'option <em>listen-on</em> lie uniquement le DNS à l'interface
-ayant une adresse interne, mais, meme si cette interface
+ayant une adresse interne, mais, même si cette interface
est la même que l'interface qui permet la connexion à Internet (Par l'utilisation
-de NAT, par exemple), les requêtes ne seront accéptées que si celles-ci proviennent
+de NAT, par exemple), les requêtes ne seront acceptées que si celles-ci proviennent
d'hôtes internes. Si le système est constitué de plusieurs interfaces et que
le <em>listen-on</em> n'est pas présent, seuls les utilisateurs internes pourront
-émettre des requêtes, mais, puisque le port restera accesible à des attaquants
+émettre des requêtes, mais, puisque le port restera accessible à des attaquants
externes, ils pourront essayer de cracher (ou tenter une attaque d'exploit de
-débordement de tampon) le serveur DNS. Vous pouvez meme le mettre uniqument en
-ecoute sur l'adresse 127.0.0.1 si vous ne désirez pas offrir le service a quelqu'un
+débordement de tampon) le serveur DNS. Vous pouvez même le mettre uniquement en
+écoute sur l'adresse 127.0.0.1 si vous ne désirez pas offrir le service a quelqu'un
d'autre qu'à vous même.
</p>
@@ -3062,7 +3062,7 @@
var/log/named - si vous configurez le log vers un fichier, doit être inscriptible
par l'utilisateur named
dev/log - syslogd devrait écouter ici si named est configuré pour loguer
- grace à lui
+ grâce à lui
</example>
@@ -3124,7 +3124,7 @@
<p>
Vous pouvez limiter l'accès au serveur Apache si vous voulez uniquement l'utiliser en interne
(dans un but d'essai, pour accéder à l'archive <package>doc-central</package>
-, etc..) et ne pas vouloir que des intus y accèdent. Pour réaliser cela, utilisez les directives
+, etc..) et ne pas vouloir que des intrus y accèdent. Pour réaliser cela, utilisez les directives
<tt>Listen</tt> ou <tt>BindAddress</tt> dans <file>/etc/apache/http.conf</file>.
<p>Using Listen:
@@ -3171,7 +3171,7 @@
donné d'hôtes (en utilisant tcp wrappers) et de l'avoir en écoute uniquement
sur une interface bien définie.
-<sect>Paranoia généralisée du suid et du chroot
+<sect>Paranoïa généralisée du suid et du chroot
<p>Il est probablement juste de dire que la complexité de BIND est la raison pour
laquelle il a été exposé à de nombreuses attaques ces dernières années.
@@ -3188,7 +3188,7 @@
plus sûrs.
-<sect>Paranoia généralisée du mot de passe en texte clair
+<sect>Paranoïa généralisée du mot de passe en texte clair
<p>
Vous devriez essayer d'éviter tout service réseau qui envoie et reçoit des
@@ -3252,7 +3252,7 @@
au fait que le programme fait partie du paquetage <package>net-base</package> (qui ne peut être desinstallé sans endommager le système).
<p>Cela enlève en fait tous les liens symboliques relatifs au portmap dans
-<tt>/etc/rc${runlevel}.d/</tt>, qui est aussi quelquechose que vous pourriez
+<tt>/etc/rc${runlevel}.d/</tt>, qui est aussi quelque chose que vous pourriez
faire manuellement. Une autre possibilité est de faire <tt>chmod 644
/etc/init.d/portmap</tt>, mais cela produit un message d'erreur lors du
démarrage. Vous pouvez aussi enlever la partie <tt>start-stop-daemon</tt>
@@ -3264,7 +3264,7 @@
fournies par le noyau Linux. Cela signifie que si vous installez un système
potato (Debian version 2.2, le noyau par défaut est le 2.2) vous aurez la
fonctionnalité pare-feu <prgn>ipchains</prgn> disponible dans le noyau, vous
-avez à installer le paquetage <package>ipchains</package> qui sera surement
+avez à installer le paquetage <package>ipchains</package> qui sera sûrement
déjà (de part sa priorité) installé. Si vous installez un système woody
(Debian version 3.0, le noyau par défaut est le 2.4) vous aurez la
fonctionnalité pare-feu <prgn>iptables</prgn> (neftfilter) disponible.
@@ -3273,7 +3273,7 @@
<!-- AA Le paragraphe suivant est à retraduire, tous les commentaires sont
bienvenus. J'ai retraduit. jpg -->
<p>
-Certains utilisateurs peuvent aussi bien vouloir ajouter des regles de pare-feu dans ce script.
+Certains utilisateurs peuvent aussi bien vouloir ajouter des règles de pare-feu dans ce script.
Cependant, vérifiez quels programmes/composants pare-feu vous voulez utiliser puisqu'ils peuvent
modifier d'autres fichiers et changer les définitions que vous avez ajouté au démarrage. Par exemple,
<package>firewalk>, pour n'en citer qu'un, utilisera un autre fichier de configuration pour configurer
@@ -3299,7 +3299,7 @@
<item>Pour créer une configuration de pare-feu en utilisant iptables, vous pouvez utiliser la ligne
de commande (see <manref name="iptables" section="8">) ou un des outils
fournit par les paquetages pare-feu Debian (voir <ref
-id="firewall-pack">). Vous devez creer un jeu de règles du pare-feu pour
+id="firewall-pack">). Vous devez créer un jeu de règles du pare-feu pour
les utiliser quand le pare-feu est en état <em>actif</em> et un autre lorsque le pare-feu est en état <em>inactif</em> (Ceux peuvent être
juste des règles vides).
@@ -3312,7 +3312,7 @@
<p>
Une fois ceci fait l'installation de votre pare-feu est sauvegardée dans
le répertoire <file>/var/lib/iptables/</file> et sera exécutée quand le
-système démarrera (ou lorsque le script initd sera lancée aves les arguments
+système démarrera (ou lorsque le script initd sera lancée avec les arguments
<em>start</em> et <em>stop</em>). Notez que l'installation par défaut de
Debian démarre le pare-feu dans le niveau d'exécution multi-utilisateurs
(2 à 5) bientôt (10). De plus, il est arrêté en mode mono-utilisateur (1),
@@ -3366,12 +3366,12 @@
<p>
Vous pouvez même installer une bécane Debian GNU/Linux en tant que pont
-pare-feux, c'est-à-dire un pare-feu filtrant complètement transparent
+pare-feu, c'est-à-dire un pare-feu filtrant complètement transparent
pour le réseau qui est dépourvu d'adresse IP et donc ne peut pas être
attaqué directement.
<p>
-Si vous ne connaissez pas grand chose aux pare-feux, vous pouvez lire le
+Si vous ne connaissez pas grand chose aux pare-feu, vous pouvez lire le
Firewalling-HOWTO qui se trouve dans le paquet
<package>doc-linux-text</package> (d'autres formats de document
sont également disponibles). Voir <ref id="references"> pour plus de
@@ -3382,15 +3382,15 @@
<p>
Il existe plusieurs logiciels qui peuvent être utilisés pour configurer
-des règles de pare-feux dans un système Debian :
+des règles de pare-feu dans un système Debian :
<list>
<item><package>fwbuilder</package>
-<item><package>mason</package>, qui peut suggérer des règles de pare-feux
-basé sur le traffic réseau que votre réseau "voit".
-<item><package>bastille</package> (parmis les étapes de durcissement qui
+<item><package>mason</package>, qui peut suggérer des règles de pare-feu
+basé sur le trafic réseau que votre réseau "voit".
+<item><package>bastille</package> (parmi les étapes de durcissement qui
constituent les nouvelles versions de bastille, une d'entre-elles est
-l'ajout de règles de pare-feux exécutable au démarrage du système).
+l'ajout de règles de pare-feu exécutable au démarrage du système).
<item><package>ferm</package>
<item><package>fwctl</package>
<item><package>easyfw</package>
@@ -3410,7 +3410,7 @@
<p>FIXME: Ajouter plus d'informations concernant ces paquets
-<p>FIXME: Vérifier les informations sur les pare-feux Debian et quoi/comment cela change sur les autres
+<p>FIXME: Vérifier les informations sur les pare-feu Debian et quoi/comment cela change sur les autres
distributions.
<p>FIXME: A quel endroit la personnalisation du pare-feu peut elle être activée (FAQ générale dans debian-firewall?)
@@ -3460,7 +3460,7 @@
<list>
<item><package>harden-tools</package>: outils pour améliorer la sécurité
-sytème (vérificateur d'intégrité, détection d'intrusion, rustines pour
+système (vérificateur d'intégrité, détection d'intrusion, rustines pour
noyau, ...)
<item><package>harden-doc</package>: fourni ce même manuel et d'autres
@@ -3532,7 +3532,7 @@
de sécurité désiré de votre système (en utilisant
<manref name="InteractiveBastille" section="8">)
-<item>Utiliser un paramétrage par défaut pour la sécurité (parmis trois :
+<item>Utiliser un paramétrage par défaut pour la sécurité (parmi trois :
Lax, Moderate ou Paranoia) dans une installation définie (serveur ou poste de
travail) et laissez Bastille décider quelle politique de sécurité appliquer
(en utilisant <manref name="BastilleChooser" section="8">)
@@ -3583,7 +3583,7 @@
</list>
<p>
-En suivant la chaine de sommes MD5, <prgn>apt</prgn> est capable de vérifier
+En suivant la chaîne de sommes MD5, <prgn>apt</prgn> est capable de vérifier
qu'un paquet est originaire d'une sortie bien spécifique. Ceci est plus ou moins
souple plutôt que de signer chaque paquet un par un mais peut-être combiné
également avec ce schéma suivant (vois ci-dessous).
@@ -3620,10 +3620,10 @@
sécurité qui permettent à l'utilisateur d'étre sûr que le téléchargement du
logiciel qu'il/elle fait correspond à la distribution de logiciels Debian.
-Cela empèche des développeurs Debian d'intégrer des nouveautés au système de quelqu'un
+Cela empêche des développeurs Debian d'intégrer des nouveautés au système de quelqu'un
en outrepassant les responsabilités qui incombe au chargement vers l'archive
principale, ou encore cela empêche une duplication similaire mais pas exactement
-identique, ou pour finir cela empêche l'utilisation de mirroirs fournissant des copies
+identique, ou pour finir cela empêche l'utilisation de miroirs fournissant des copies
anciennes de la version instable ou connaissant des problèmes de sécurité.
<!-- J'ai tenté une autre approche... jpg -->
@@ -3994,7 +3994,7 @@
</list>
<p>
-IPsec (FreeSWAN) est probablement le meilleur choix parmis tous étant donné
+IPsec (FreeSWAN) est probablement le meilleur choix parmi tous étant donné
qu'il promet d'être fonctionnel avec tout matériel supportant l'IPsec, mais
ces autres paquets peuvent vous aider à obtenir un tunnel sécurisé rapidement.
PPTP est le protocole Microsoft pour les VPN. Il est supporté sous Linux mais
@@ -4028,7 +4028,7 @@
<item>Les applications basés sur les certificats de confiance peuvent utiliser des certificats distribués par
des CA pour engager une communication chiffrée et vérifier les certificats délivrés contre un
- CRL (pour l'autentification et les solutions de signature complète unique)
+ CRL (pour l'authentification et les solutions de signature complète unique)
<item>Une autorité estampillée pour les documents signés numériquement
@@ -4037,13 +4037,13 @@
</list>
-<p>Vous pouvez utilisez des outils disponible sur Debiann GNU/Linux pour
+<p>Vous pouvez utilisez des outils disponible sur Debian GNU/Linux pour
couvrir un certains nombre de ses outils, cela inclus openSSL (pour la génération
de certificat), OpenLDAP (comme répertoire pour maintenir les certificats), gnupg
et le support freeswan (avec X.509). Cependant, le système d'exploitation ne fournit pas
-(comme dans la version woody, 3.0) d'Autorité de délivrance de certificat comme
+(comme dans la version woody, 3.0) d'autorité de délivrance de certificat comme
pyCA, <url id="http://www.openca.org"; name="OpenCA"> ou l'exemple CA d'OpenSSL.
-Pour plus d'information, repportez-vous à<url
+Pour plus d'information, reportez vous à<url
id="http://ospkme ibook.sourceforge.net/" name="Open PKI book">.
<sect>Outils antivirus
@@ -4053,7 +4053,7 @@
car les utilisateurs de GNU/Linux ne sont pas ravagés réellement par
les virus. Il y a eu, toutefois, des vers et virus pour GNU/Linux même
s'il n'y pas (encore) eu de virus qui se soient étendus sur les
-ditributions Debian. Dans tous les cas, les administrateurs peuvent
+distributions Debian. Dans tous les cas, les administrateurs peuvent
vouloir de mettre en place des passerelles antivirus ou de se protéger
eux-mêmes.
@@ -4071,7 +4071,7 @@
<p>
Comme vous pouvez le voir, Debian ne fourni pas à l'heure actuelle un logiciel
antivirus. Il existe, toutefois, des projets de logiciels antivirus qui pourront
-(dans le futut) être inclus dans Debian
+(dans le futur) être inclus dans Debian
<url id="http://sourceforge.net/projects/openantivirus/"; name="openantivirus">
et
<url id="http://sourceforge.net/projects/jvirus/"; name="jvirus"> (peu de chance
@@ -4092,7 +4092,7 @@
<p>
Debian inclus certains outils pour la détection d'intrusion qui sont utiles
pour défendre votre système local (si vous êtes paranoïaque ou si votre
-système est rééllement critique) ou pour défendre d'autres systèmes dans
+système est réellement critique) ou pour défendre d'autres systèmes dans
le même réseau.
<p>
@@ -4110,7 +4110,7 @@
Un administrateur doit les configurer convenablement afin que de fausses alertes
ne soient pas envoyées. Les alertes peuvent indiquées une attaque en cours et ne seraient
pas très utiles un jour plus tard, puisque l'attaque pourrait déjà alors avoir été
-courronnée de succés. Assurez-vous donc qu'une police correcte a été mise en place
+couronnée de succès. Assurez-vous donc qu'une police correcte a été mise en place
vis à vis des alertes et que le mécanisme mécanique pour les implémenter est en place.
<p>
@@ -4122,7 +4122,7 @@
<p><package>snort</package> est un renifleur flexible de paquet ou un logueur
qui détecte les attaques selon un dictionnaire de signature. Il détecte une variété
-d'attaque et de vérifications, tels que des dépacement de capacité, les scans dissimulés
+d'attaque et de vérifications, tels que des dépassement de capacité, les scans dissimulés
de ports, les attaques CGI, les vérifications SMB, et bien d'autres. Snort a une capacité
d'alerte en temps réel. C'est un outil qui peut être installé sur n'importe quel routeur
pour garder un oeil sur le réseau. Installez le simplement via
@@ -4131,7 +4131,7 @@
<p>
Snort dans Debian est activé avec de nombreuses vérifications de sécurité
que vous pourriez vouloir; toutefois, vous devriez prendre le temps de
-personaliser l'installation pour prendre en compte les services que vous
+personnaliser l'installation pour prendre en compte les services que vous
utilisez sur votre système. Vous pouvez très bien aussi recevoir des vérifications
supplémentaires à propos de ces services.
@@ -4140,7 +4140,7 @@
les attaques réseaux contre votre propre hôte.
<p>Il y a d'autres outils qui peuvent être utilisés pour détecter les attaques réseaux
-(bien que plus simplistes). <package>Portsentry</package> est un autre paquetage interessant
+(bien que plus simplistes). <package>Portsentry</package> est un autre paquetage intéressant
qui peut vous informer lorsqu'un scan de votre réseau est effectué sur votre site.
D'autres outils tel que<package>ippl</package> ou
<package>iplogger</package> peuvent aussi détecter des attaques IP (TCP et ICMP),
@@ -4193,16 +4193,16 @@
<p>Vous pourrez aussi trouver un ensemble de vérificateurs d'intégrité (voir <ref
id="check-integ">) qui peuvent être très utiles pour instaurer une vérification d'anomalies
-dans un environement sécurisé. Une intrusion effective sur un système, à coup sûr,
+dans un environnement sécurisé. Une intrusion effective sur un système, à coup sûr,
modifie les fichiers dans le système de fichier local pour contourner les polices de sécurité
-locales, installer des trojans, créer des utilisateurs... ces évenements peuvent être détectés
+locales, installer des troyens, créer des utilisateurs... ces évènements peuvent être détectés
grâce à ces outils.
<sect id="kernel-patches">Les utilitaires pour mettre des rustines au noyau
<p>FIXME: Cette section a besoin de couvrir la manière d'installer ces
-rustines spécifiques sur Debian en utilissant les paquets kernel-2.x.x-patch-XXX.
+rustines spécifiques sur Debian en utilisant les paquets kernel-2.x.x-patch-XXX.
</p>
<p>
@@ -4223,8 +4223,8 @@
Linux dur plus facile. Vous pouvez restreindre chaque processus, donner les droits pour
écrire ou lire les fichiers, ou les supprimer, par défaut, vous pouvez lire
les fichiers. De plus vous pouvez aussi installer des capacités pour certains
-processus. Bien que tout cela soit encore en phase beta, c'est un outil incontournable
-pour une administration paranoiaque d'un système. Site Internet: <url
+processus. Bien que tout cela soit encore en phase bêta, c'est un outil incontournable
+pour une administration paranoïaque d'un système. Site Internet: <url
name="http://www.lids.org"; id="http://www.lids.org";>
<item><em>POSIX Access Control Lists (ACLs) pour Linux</em> Cette rustine
@@ -4247,14 +4247,14 @@
<item><em>SubDomain</em>. Une extension du noyau pour créer plus facilement
et de manière plus sécurisé un environnement chroot. Vous pouvez manuellement
-spécifier les fichiers nécessaires ays service chroot et n'avez pas besoin de
+spécifier les fichiers nécessaires au service chroot et n'avez pas besoin de
compiler statiquement ces services. Site Internet: <url
name="http://www.immunix.org/subdomain.html";
id="http://www.immunix.org/subdomain.html";>
<item><em>UserIPAcct</em>. Ce n'est pas réellement une rustine liée à la sécurité,
-mais il vous permet de créer des quotas par utilisateur pour le traffic sur votre
-serveur. Vous pouvez ressortir des statistiques sur le traffic utilisateur.
+mais il vous permet de créer des quotas par utilisateur pour le trafic sur votre
+serveur. Vous pouvez ressortir des statistiques sur le trafic utilisateur.
Site Internet: <url id="http://ramses.smeyers.be/useripacct";>.
<item><em>FreeS/WAN</em>. Si vous voulez utiliser IPSec avec Linux, vous avez besoin
@@ -4264,7 +4264,7 @@
</list>
-<sect>Eviter les rootkits
+<sect>Éviter les rootkits
<p>
<sect1 id="LKM">LKM - Loadable Kernel Modules
@@ -4298,14 +4298,14 @@
<p>
La détection peut-être simple et sans douleur ou difficile et
usante selon la mesure que vous choisissez. Il existe deux
-mesures de défense concernant la sécurité LKM, la proactive et
+mesures de défense concernant la sécurité LKM, la pro-active et
la réactive.
-<sect2>Défense proactive
+<sect2>Défense pro-active
<p>
L'avantage de cette défense est qu'elle prévient des dommages que
-pourrait entrainer un rootkit au système. La défense proactive la
+pourrait entraîner un rootkit au système. La défense pro-active la
plus utilisé est "attrapons-les en premier", ceci permet de charger
un LKM bien défini afin de protéger le système d'un LKM infecté.
Une autre mesure consiste à retirer ces options dans le noyau, rendant
@@ -4314,7 +4314,7 @@
<p>
Sur les systèmes Debian, vous pouvez trouver certains paquets qui sont
-des outils proactifs :
+des outils pro-actifs :
<list>
<item> <package>kernel-patch-2.4-lsm</package> - LSM est le projet Linux
Security Modules.
@@ -4363,7 +4363,7 @@
<sect>Idées géniales/paranoïaques — ce que vous pourriez faire
<p><!-- AA duh ? -->
-C'est probablement la section la plus instable et amusante, car j'éspère
+C'est probablement la section la plus instable et amusante, car j'espère
que quelques unes des idées "bah. ça semble dingue" pourraient être réalisées.
Plus loin vous trouverez certaines idées — Suivant votre point de vue
vous les qualifierez de géniales, paranoïaques, folles ou sûres — pour
@@ -4374,7 +4374,7 @@
Comme il est dit dans l'article PAM du phrack 56, la chose bien avec PAM est
qu' "On est limité seulement par son imagination." C'est vrai. Imaginez une
connexion root seulement possible avec empreinte digitale ou un scan de l'oeil
-ou une cryptocarte (Pourquoi ai-je fait une conjoction de OU et pas de ET ici).
+ou une cryptocarte (Pourquoi ai-je fait une conjonction de OU et pas de ET ici).
<item>Journalisation fasciste. Je voudrais dire que tout ce dont nous avons
discuté plus haut est de la "journalisation douce". Si vous voulez effectuer
@@ -4382,9 +4382,9 @@
<!-- traduction de fanfold ? --> et journalisez tout en l'imprimant. Ca semble
amusant, mais c'est fiable et ne peut être supprimé.
-<item>Distribution CD. Cette idée est trés simple à réaliser et offre une assez
+<item>Distribution CD. Cette idée est très simple à réaliser et offre une assez
bonne sécurité. Créez une distribution Debian durcie, avec les bonnes règles
-pare-feu, faites-en une image ISO et gravez la sur un CD.
+pare-feu, faites en une image ISO et gravez la sur un CD.
Rendez le amorçable. C'est une bonne distribution en lecture-seule avec seulement
600 MB d'espace pour les services, et c'est impossible pour des intrus d'obtenir
un accès en lecture/écriture sur ce système. Assurez vous juste que toutes les
@@ -4399,10 +4399,10 @@
l'installation de modules noyau modifiés.
<item>Journalisation par cable série (contribution de Gaby schilders).
-Tant que les serveurs ont toujours des ports serie, imaginez-vous ayant une machine
+Tant que les serveurs ont toujours des ports série, imaginez-vous ayant une machine
dédiée à la journalisation déconnectée du net au milieu avec un multiplexeur de
ports série (cyclades ou similaire). Maintenant faites journaliser vos serveurs
-vers leurs ports serie. Ecriture seulement. La machine de journalisation
+vers leurs ports série. Écriture seulement. La machine de journalisation
acceptera du texte clair en entrée sur ses ports séries et écrira seulement sur
un fichier journal. Branchez un graveur de cd/dvd. Quand le journal approche
600MB il l'écrit sur un cd-rom. Maintenant si seulement ils faisaient des graveurs
@@ -4426,27 +4426,27 @@
vous êtes connecté en root. Vous n'écraserez pas des fichiers avec un opérateur
de redirection égaré, et vous ne rendrez pas votre système inutilisable avec
un espace mal placé dans une commande <prgn>rm -fr</prgn> (vous pourriez encore
- faire pas mal de dégats à vos données — mais vos librairies et binaires
+ faire pas mal de dégâts à vos données — mais vos librairies et binaires
seront plus à l'abris).
-<p>Cela rend aussi un large éventail d'exploits de sécurité et de deni de
+<p>Cela rend aussi un large éventail d'exploits de sécurité et de déni de
service soit impossible soit plus difficile (car beaucoup d'entre eux comptent
sur l'écrasement d'un fichier à travers les actions d'un programme SUID qui
<em>ne fournit pas une commande shell arbitraire</em>).
<p>Le seul inconvénient de cela est présent lorsque vous compilez et exécutez votre
<prgn>make install</prgn> sur différentes sortes de binaires systèmes. D'un
-autre côté cela empèche aussi le <prgn>make install</prgn> d'écraser les
+autre côté cela empêche aussi le <prgn>make install</prgn> d'écraser les
fichiers. Quand vous oubliez de lire le Makefile et chattr -i les fichiers
-qui vont être réécrits (et les répertoires auquels vous voulez ajouter des
+qui vont être réécrits (et les répertoires auxquels vous voulez ajouter des
fichiers) ‐ le make échoue, utilisez juste la commande chattr et relancez
le. Vous pouvez aussi profiter de l'occasion pour déplacer vos vieux binaires,
librairies <!-- AA ou parle t'on de répertoires ? --> ou quoique ce soit
d'autre dans un répertoire .old/ ou les renommer ou les sauvegarder avec tar...
-<p>Notez que cela vous empèche aussi de mettre à jour vos paquetages systèmes.
+<p>Notez que cela vous empêche aussi de mettre à jour vos paquetages systèmes.
Car les fichiers qu'ils fournissent ne peuvent être réécrits, vous pourriez donc
-souhaiter avoir un méchanisme pour désactiver le sémaphore immuable sur tous
+souhaiter avoir un mécanisme pour désactiver le sémaphore immuable sur tous
les binaires juste avant de faire un <prgn>apt-get update</prgn>.
</list>
@@ -4457,7 +4457,7 @@
<p>FIXME. Nécessite plus de contenu spécifique à la Debian.
<p>Si vous le souhaitez (et pouvez aussi l'implémenter et y consacrer du temps)
-vous pous pouvez aussi configurer un pot de miel complet en utilisant un système
+vous pouvez aussi configurer un pot de miel complet en utilisant un système
Debian GNU/Linux. Vous avez tous les outils requis pour configurer un "réseau de
miel" (i.e. le réseau, le pot de miel est juste le serveur factice): le firewall,
le détecteur d'intrusion réseau et le faux serveur. Faites attention cependant,
@@ -4473,7 +4473,7 @@
<item><package>syslog-ng</package> pour envoyer les logs du pot de miel
vers un serveur syslog distant.
-<item><package>snort</package> pour configurer la capture de tout le traffic
+<item><package>snort</package> pour configurer la capture de tout le trafic
réseau arrivant sur le pot de miel et détecter les attaques.
@@ -4488,7 +4488,7 @@
<item>Vérificateurs d'intégrité (voir <ref id="check-integ">) et la boîte à
outils du légiste (The Coroner's Toolkit (<package>tct</package>)) pour faire
-des audits post-attaques.
+des audits après attaque.
</list>
@@ -4511,8 +4511,8 @@
<sect>Comportement général
<p>Si vous êtes physiquement présent quand l'attaque se déroule et que faire
-ce qui suit n'a pas d'effet facheux sur vos transactions d'affaires,
-débranchez simplement la carte réseau jusqu'a ce que vous puissiez comprendre
+ce qui suit n'a pas d'effet fâcheux sur vos transactions d'affaires,
+débranchez simplement la carte réseau jusqu'à ce que vous puissiez comprendre
ce que l'intrus a fait et sécurisez votre machine. La désactivation du réseau
à la couche 1 est le seul vrai moyen de garder un attaquant hors d'une machine
compromise. (Conseil sage de Phillip Hofmeister)
@@ -4532,7 +4532,7 @@
<p>Rappelez vous que si vous êtes sûr que le système a été compromis, vous
ne pouvez faire confiance aux logiciels qui s'y trouvent ou à n'importe quelle
autre information qu'il vous donne. Les applications pourraient contenir un
-trojan, des modules noyau pourraient être installés, etc.
+troyen, des modules noyau pourraient être installés, etc.
<p>La meilleure chose à faire est une sauvegarde complète du système de fichier
(en utilisant <prgn>dd</prgn>) après avoir démarré d'un média sûr. Les CDs
@@ -4543,10 +4543,10 @@
travers NFS/FTP...) pour analyse pendant que le système est hors-ligne (ou
réinstallé).
-<p>Si vous êtes sûr qu'il y a seulement un module noyau trojan, vous pouvez
+<p>Si vous êtes sûr qu'il y a seulement un module noyau troyen, vous pouvez
essayer d'exécuter l'image noyau du CD en mode <em>rescue</em>. Assurez vous
aussi de démarrer en mode <em>single</em> de façon à ce qu'aucun autre processus
-trojan ne s'exécute après le noyau.
+troyen ne s'exécute après le noyau.
<sect>Analyse post-mortem
<p>Si vous souhaitez rassembler plus d'informations, le paquetage <package>tct
@@ -4557,7 +4557,7 @@
incluse pour plus d'informations.
<p>L'analyse post mortem devrait toujours être faite sur une copie de sauvegarde
-des données, <em>jamais</em> sur les données elles-même car elles pourraient être
+des données, <em>jamais</em> sur les données elles-mêmes car elles pourraient être
altérées par cette analyse (et perdues).
<p>FIXME. Ce paragraphe fournira, je l'espère plus d'informations sur la
@@ -4605,7 +4605,7 @@
vendeurs et d'autres distributions. Vérifiez la partie "Debian
specific: yes/no" en haut de chaque document (DSA). Si il est inscrit
"yes", cela signifie que seul Debian est affecté, si il est inscrit "no", c'est probablement
-que d'autres distrubutions sont aussi affectées.
+que d'autres distributions sont aussi affectées.
<sect1>Debian possède t'il une certification touchant à la sécurité?
@@ -4615,7 +4615,7 @@
<p>Réponse longue : la certification coûte de l'argent et personne
n'a attribué de ressources pour faire certifier la distribution Debian
GNU/Linux à n'importe quel niveau que ce soit, par exemple, la Common
-Criteria. Si vous êtes intéressés par l'otention d'une distribution
+Criteria. Si vous êtes intéressés par l'obtention d'une distribution
GNU/Linux certifié, essayez de fournir les ressources pour que cela
devienne possible.
@@ -4656,18 +4656,18 @@
or the <url name="Linux Security-Audit Project"
id="http://www.lsap.org/";>.
-<p>Au fond, un développeur Debian peut distribuer un trojan dans un paquet
+<p>Au fond, un développeur Debian peut distribuer un troyen dans un paquet
et il n'y a pas moyen de le vérifier. Même s'il était introduit dans
la Debian, il serait impossible de couvrir toutes les situations imaginables
-dans lesquelles le trojan pourrait agir.
+dans lesquelles le troyen pourrait agir.
-<p>Cela colle a la clause <em>aucunes garanties</em> de la license. Dans
+<p>Cela colle a la clause <em>aucunes garanties</em> de la licence. Dans
tous les cas, les utilisateurs Debian peuvent être assurés que le code stable
rassemble une large audience et que la plupart des problèmes seront découvert
de pendant l'utilisation (si problème il y a). Il n'est pas recommandé d'installer
des logiciels non testés dans un système correct (si vous n'êtes pas en mesure
de fournir un nécessaire audit de code). Pour finir, si des failles de
-sécurites etaient incluses dans la distribution, le processus permettant de
+sécurités étaient incluses dans la distribution, le processus permettant de
les inclure (utilisation de signature numérique) assure que le problème pourra
être remonté jusqu'au développeur, et que le projet Debian ne prend pas cela à
la légère.
@@ -4767,7 +4767,7 @@
<item>majordom:
Majordomo a un uid alloué statiquement sur les systèmes Debian pour
- des raisons historiques. Il n'est plus installé sur les nouveaux sytèmes.
+ des raisons historiques. Il n'est plus installé sur les nouveaux systèmes.
<item>postgres:
Les bases de données postgresql appartiennent à cet utilisateur et groupe.
@@ -4777,9 +4777,9 @@
<item>www-data:
Certains navigateurs web tournent en tant que www-data.
Le contenu Internent *ne devrait pas* être approprié par cet utilisateur,
- ou un serveur Internet compromis serait alors en mesure de reécrire un
+ ou un serveur Internet compromis serait alors en mesure de récrire un
site web. Les données transférées par les serveurs Internet, incluant les
- fichiers logs, seront apropriées par www-data.
+ fichiers logs, seront appropriées par www-data.
<item>backup:
De cette manière la responsabilité de Sauvegarde/restauration peut être
@@ -4813,12 +4813,12 @@
<item>adm:
Le groupe adm est utilisé pour les tâches de surveillance du système. Les membres
- de ce groupe peuvent lire de nombreux journaux d'évenements dans /var/log et
+ de ce groupe peuvent lire de nombreux journaux d'évènements dans /var/log et
peuvent utiliser xconsole. Historiquement, /var/log était /usr/adm (et plus tard
/var/adm)d'où le nom du groupe.
<item>tty:
- les dispositifs Tty appartiennent à ce groupe. On l'utilise pour écrire et empécher
+ les dispositifs Tty appartiennent à ce groupe. On l'utilise pour écrire et empêcher
la possibilité d'écrire sur les tty d'autres personnes.
<item>disk:
@@ -4922,7 +4922,7 @@
<p>Il y a un grand nombre de discussions sur les mailings listes Debian (sur
debian-devel et debian-security) à propos de ce que doit être l'installation
-standart. Cependant, il n'y a pas de consensus à ce jour (10 mars 2002)
+standard. Cependant, il n'y a pas de consensus à ce jour (10 mars 2002)
sur la solution à adopter.
<sect2>Puis-je retirer inetd?
@@ -4946,7 +4946,7 @@
<p>Identd est employé par les administrateurs pour fournir les détails userid
aux systèmes distants qui veulent savoir qui est la personne responsable
pour une connexion donnée sur votre machine. Cela inclus notamment les serveurs mail,
-FTP et IRC, cependant, il peut être utlisé pour remonter l'utilisateur qui attaque
+FTP et IRC, cependant, il peut être utilisé pour remonter l'utilisateur qui attaque
un système distant par l'intermédiaire de votre machine.
<p>Pour suivre une longue discussion à ce propos, voir <url
@@ -4986,7 +4986,7 @@
<p>Si vous les avez limités tous les deux. Vous devez désactiver les
fonctionnalités du BIOS (démarrer uniquement depuis le disque dur) avant de
commencer, si vous avez également oublier votre mot de passe pour le BIOS, vous
-devrez ouovrir votre système et retirer manuellement la pile du BIOS.
+devrez ouvrir votre système et retirer manuellement la pile du BIOS.
<p>Si vous avez des CD-Rom ou des disquettes de démarrage, vous pouvez :
<list>
@@ -5056,7 +5056,7 @@
<p>Lire ce document et prendre les mesures appropriées récapitulés ici.
Si vous avez besoin d'aide, vous pouvez utiliser debian-security@lists.debian.org
-pour demander conseil sur la manière de rétablir/raccomoder votre système.
+pour demander conseil sur la manière de rétablir/raccommoder votre système.
<sect1>Comment puis-je dépister une attaque ?
@@ -5070,12 +5070,12 @@
Un scan distant est il une attaque? Un test de failles de sécurité est il une attaque?
<sect1>le program X dans Debian est vulnérable, que dois-je faire?
-<p>Tout dabord, prenez un moment pour regarder si la vulnérabilité a été
+<p>Tout d'abord, prenez un moment pour regarder si la vulnérabilité a été
annoncée sur les mailing listes publiques de sécurité (comme Bugtraq) ou
autre forums. L'équipe de sécurité Debian se met à jour à l'aide de ces listes,
ils sont donc peut être déjà conscient du problème. Ne lancez pas d'autres actions
si vous avez vu paraître l'annonce sur <url id="http://security.debian.org";>.
-<p>Si vous n'avez rien vu de cela, envoyez s'il vous plait sur les paquets affectés
+<p>Si vous n'avez rien vu de cela, envoyez s'il vous plaît sur les paquets affectés
avec une description de la vulnérabilité rencontrée aussi détaillée que possible
(la preuve par un code conçu est aussi bienvenue) à security@debian.org qui vous mettra
en rapport avec l'équipe de sécurité.
@@ -5086,11 +5086,11 @@
ainsi est simple. Elle permet d'assurer qu'une version a le moins de changement possible,
de cette manière les choses ne changeront pas ou ne se briseront pas et ce dû à une
mise à jour de sécurité. Vous pouvez vérifier que vous utilisez une version sécurisée
-de votre paque en regardant le changelog du paquet ou en comparant
+de votre paquet en regardant le changelog du paquet ou en comparant
(version antérieure -slash- version Debian) exactement le numéro de version
avec celui indiqué dans le journal de sécurité Debian (Debian Security Advisory).
-<sect1>J'ai trouvé des utilisateurs utilsant 'su' dans mes logs.
+<sect1>J'ai trouvé des utilisateurs utilisant 'su' dans mes logs.
<p>Vous pouvez trouver des lignes comme celles-ci dans vos logs:
<example>
Apr 1 09:25:01 server su[30315]: + ??? root-nobody
@@ -5124,7 +5124,7 @@
<sect1>Qu'est ce qu'un rapport de sécurité Debian (Debian Security Advisory (DSA))
<p>C'est l'information envoyée par l'Equipe de Sécurité Debian (voir ci-dessous)
-informant qu'une mise à jour de sécurité concernant une vulnérabilité est dispobible
+informant qu'une mise à jour de sécurité concernant une vulnérabilité est disponible
pour le système d'exploitation Debian. Les DSAs signés sont envoyés aux mailing
listes publique et postés sur le site Debian (sur la page de garde
et sur <url id="http://www.debian.org/security/"; name="security area">).
@@ -5139,27 +5139,27 @@
<p>D'autre part, certains logiciels de courrier changent la fin des messages
ce qui rompt la signature. Assurez-vous pour cela que votre logiciel
- ne fait aucun encodage ou décodage MIME, ou de conversion de taulation/espace.
+ ne fait aucun encodage ou décodage MIME, ou de conversion de tabulation/espace.
<p>Des coupables connus sont fetchmail (avec l'option mimedecode activée)
et formail (pour procmail 3.14 uniquement).
<sect1>Comment les incidents sont-ils gérés dans Debian ?
-<p>Dès que l'Equipe Sécurité reçoit une notification d'un incident,
+<p>Dès que l'équipe Sécurité reçoit une notification d'un incident,
un ou plusieurs membres l'inspecte et délibère si Debian/stable est
vulnérable ou pas. Si votre système est vulnérable, un travail est
entrepris pour résoudre le problème. Le responsable du paquet est
-également contacté s'il n'a pas déjà contacter l'Equipe Sécurité.
+également contacté s'il n'a pas déjà contacter l'équipe Sécurité.
Finalement, la solution est testée et de nouveaux paquets sont
préparés qui sont ensuite compilés sur toutes les architectures
stables et mis à disposition après coup. Après que toutes ces tâches
soient terminées un "Debian Security Advisory (DSA)" est envoyé sur
les listes de diffusions publiques.
-<sect1>Combien de temps faudra-t-il à debian pour résoudre la vulnérabilité XXXX?
+<sect1>Combien de temps faudra-t-il à Debian pour résoudre la vulnérabilité XXXX?
-<p>L'analyse du temps que prend l'Equipe de Sécurité Debian pour envoyer
+<p>L'analyse du temps que prend l'équipe de Sécurité Debian pour envoyer
un rapport et produire un paquet réparé à partir du moment où une vulnérabilité
est connue, démontre qu'il faut un temps minimal avant que cette vulnérabilité ne soit
réparée dans la distribution stable.
@@ -5167,7 +5167,7 @@
<p>Un rapport
<url id="http://lists.debian.org/debian-security/2001/debian-security-200112/msg00257.html"; name="published in the debian-security mailinglist">
montre que durant l'année 2001, il fallait un temps moyen de
-35 jours à l'Equipe de Sécurité Debian pour sécuriser les vulnérabilités découvertes.
+35 jours à l'équipe de Sécurité Debian pour sécuriser les vulnérabilités découvertes.
Cependant, plus de 50% de ces vulnérabilités ont été réparé dans un espace
de dix jours, et plus de 15% de celles-ci ont été réparé <em>le jour même</em> de la sortie du rapport.
@@ -5177,14 +5177,14 @@
<item>Les DSAs ne sont pas envoyés jusqu'à ce que:
<list>
<item>les paquets soient disponibles pour <em>toutes</em>
-les architectures surpportées par Debian (Cela prend du temps pour les paquets
+les architectures supportées par Debian (Cela prend du temps pour les paquets
qui font partie intégrante du système core, spécialement si on considère le nombre
d'architecture supporté dans la version stable).
<item>Les nouveaux paquets sont ensuite testés pour s'assurer qu'aucun
nouveau bug ne s'est introduit
</list>
<item>Les paquets doivent être disponibles avant que le DSA ne soit envoyé (dans la file
-d'arrivée ou sur les mirroirs).
+d'arrivée ou sur les miroirs).
<item>Debian est un projet basé sur le volontariat.
<item>Il y une clause de "non-garantie", qui est une part de la licence livrée avec
la Debian.
@@ -5201,10 +5201,10 @@
rapidement disponible en amont (Pour les autres versions, comme celles
introduites dans la stable, il est nécessaire de faire un report).
-<sect1>Pourquoi n'y a t'il pas de mirroir officiel de security.debian.org?
+<sect1>Pourquoi n'y a t'il pas de miroir officiel de security.debian.org?
<p>A: Le but de security.debian.org est de mettre à disposition les mises
- à jour de sécurité qussi vite et facilement que possible. Les mirrors
- ajouteraient un niveau de complexite qui n'est pas nécessaire et qui
+ à jour de sécurité aussi vite et facilement que possible. Les miroirs
+ ajouteraient un niveau de complexité qui n'est pas nécessaire et qui
provoquerait une certaine frustration en cas de non mise à jour.
<!-- FIXME:
@@ -5232,7 +5232,7 @@
sont envoyés aux mailing listes des développeurs (debian-private) à laquelle
tous les développeurs Debian sont inscrits; tous les envois à cette liste
sont tenus confidentiels (i.e. ne sont pas archivés sur le site public).
-Debian-security@lists.debian.org est une mailing liste publuque,
+Debian-security@lists.debian.org est une mailing liste publique,
ouverte à tous ceux qui le désirent, et des archives sont disponible pour
la recherche à partir du site Internet.
@@ -5270,24 +5270,24 @@
<sect1>Qui compose l'Equipe de Sécurité ?
<p>
-L'Equipe de Sécurité Debian se résume à cinq membres et deux secrétaires.
-L'Equipe Securité elle-même invite tout le monde à se joindre à l'équipe.
+L'équipe de Sécurité Debian se résume à cinq membres et deux secrétaires.
+L'équipe Securité elle-même invite tout le monde à se joindre à l'équipe.
-<sect1>L'Equipe Sécurité Debian vérifie-t-elle chaque nouveau paquet dans Debian ?
+<sect1>L'équipe Sécurité Debian vérifie-t-elle chaque nouveau paquet dans Debian ?
<p>
-Non, l'équipe securité Debian ne vérifie pas tous les paquets et il n'existe pas
+Non, l'équipe sécurité Debian ne vérifie pas tous les paquets et il n'existe pas
de vérification automatique (lintian) afin de déceler de nouveaux paquets
malveillants étant donné que ces vérifications sont plutôt impossible à détecter
automatiquement. Les développeurs, toutefois, sont complètement responsables du
logiciel qui est introduit dans Debian et aucun logiciel n'est introduit tant
qu'il n'est pas signé par des développeurs habilités. Ceux-ci ont la responsabilité
-d'analyser le logiciel qu'ils maintiennent et la sécurité afférante. <--! Attente d'une meilleure traduction. Fait. jpg -->
+d'analyser le logiciel qu'ils maintiennent et la sécurité afférente. <--! Attente d'une meilleure traduction. Fait. jpg -->
<sect1>Je possède un ancienne version de Debian, la sécurité est-elle supportée ?
<p>
-Malheureusement non, l'Equipe Sécurité Debian ne peut pas gérer les deux versions
+Malheureusement non, l'équipe Sécurité Debian ne peut pas gérer les deux versions
stables (officieusement elle ne gère pas non plus la version unstable) et d'autres
anciennes versions. Cependant, vous pouvez espérer des actualisations de la sécurité
pour une période limitée juste après la sortie de la nouvelle distribution Debian.
@@ -5303,7 +5303,7 @@
-->
<p>
-Une procédure est touours utile étant donné qu'elle permet de voir
+Une procédure est toujours utile étant donné qu'elle permet de voir
les étapes du durcissement du système et permet une prise de décisions.
Une approche possible d'une telle procédure pour Debian 2.2 GNU/Linux est
présentée ci-dessous. Ceci est une procédure post-installation, avec une
@@ -5433,21 +5433,21 @@
<list>
-<item>Ajouter au système des possibilités de pare-feux, acceptant les connexions entrantes
+<item>Ajouter au système des possibilités de pare-feu, acceptant les connexions entrantes
uniquement pour les services définis et limitant les connexions sortantes à celles autorisées.
<item>Revérifier l'installation avec une nouvelle évaluation de vulnérabilité à l'aide
d'un scanner de réseaux.
<item>Vérifier les connexions sortantes en utilisant un scanner de réseaux depuis le système
-jusqu'à un hôte à l'extérieur et verifier que les connexions non voulues ne trouvent pas leur
+jusqu'à un hôte à l'extérieur et vérifier que les connexions non voulues ne trouvent pas leur
sortie.
</list>
<p>FIXME: cette procédure considère le service harden mais pas le
-sytème harden au niveau utilisateur, incluant des informations
+système harden au niveau utilisateur, incluant des informations
à propos de la vérification des permissions utilisateurs, les fichiers
setuid et le gel des changements dans le système en utilisant
le système de fichier ext2.
@@ -5468,7 +5468,7 @@
<list>
-<item>Limiter les accès physisques et les possibilités de démarrage.
+<item>Limiter les accès physiques et les possibilités de démarrage.
<list>
<item>Activer un mot de passe pour le BIOS.
<item>Désactiver le démarrage sur disquette/cdrom/...
@@ -5485,7 +5485,7 @@
<item>Partitionnement
<list>
-<item>Séparer les données où lesutilisateurs peuvent écrire, données non-système, et
+<item>Séparer les données où les utilisateurs peuvent écrire, données non-système, et
rapidement changer les données runtime pour leurs propres partitions
@@ -5499,12 +5499,12 @@
<item>Hygiène pour les mots de passes et la sécurité des connexions.
<list>
-<item>Etablir un bon mot de passe root.
+<item>Établir un bon mot de passe root.
<item>Activer les mots de passes ombrés et MD5.
<item>Installer et utiliser PAM.
<list>
-<item>Ajouter le suppport du MD5 à PAM et être sûr que
+<item>Ajouter le support du MD5 à PAM et être sûr que
(de manière générale) les entrées dans les fichiers
<file>/etc/pam.d/</file> qui ouvrent les droits d'accès
à la machine ont un second champs dans
@@ -5523,7 +5523,7 @@
utilisateur.
<item>Modifiez <file>/etc/pam.d/passwd</file>: augmenter la taille minimum
- du mot de passe (6 caractères peut-êre).
+ du mot de passe (6 caractères peut-être).
<item>Ajouter le groupe wheel à <file>/etc/group</file> si vous voulez;
ajouter l'entrée pam_wheel.so group=wheel au fichier
@@ -5537,7 +5537,7 @@
</list>
<item>Fixer des limites dans <file>/etc/security/limits.conf</file>
-(notez que <file>/etc/limits</file> n'est pas utilisé is vous utiliser
+(notez que <file>/etc/limits</file> n'est pas utilisé si vous utiliser
PAM)
<item>Resserrer <file>/etc/login.defs</file>; de même que, si vous
@@ -5564,10 +5564,10 @@
<item>Rustines pour noyaux
(voir <ref id="kernel-patches">)
- <item>Reserrer les permissions sur les fichiers de logs.
+ <item>Resserrer les permissions sur les fichiers de logs.
(<file>/var/log/{last,fail}log</file>, logs d'Apache)
- <item>Verifier que la vérification de setuid soit active dans
+ <item>Vérifier que la vérification de setuid soit active dans
<file>/etc/checksecurity.conf</file>
<item>Penser à créer des fichiers de logs en avec uniquement le droit d'ajout<--! Traduction de append-only nécessaire. Fait. jpg -->
et des fichiers de configuration invariable en utilisant chattr (système de fichier ext2 uniquement)
@@ -5592,9 +5592,9 @@
PermitEmptyPasswords No;
noter d'autre suggestion de texte)
- <item>Envisager la désactivation ou la suppresion de in.telnetd.
+ <item>Envisager la désactivation ou la suppression de in.telnetd.
- <item>Générallement, désactiver les services inutiles dans le fichier
+ <item>Généralement, désactiver les services inutiles dans le fichier
<file>/etc/inetd.conf</file> en utilisant <tt>update-inetd
--disable</tt> (ou désactiver inetd complètement, ou utiliser une
solution de rechange tel xinetd ou rlinetd).
@@ -5628,10 +5628,10 @@
<item>Encryptez toute session IMAP ou POP via SSL ou SSH;
installez stunnel si vous voulez fournir ce service pour des utilisateurs distant.
- <item>Mettre en place un hote de logs et configurer les autres machines afin qu'elles envoient
+ <item>Mettre en place un hôte de logs et configurer les autres machines afin qu'elles envoient
les logs à cet hôte (<file>/etc/syslog.conf</file>).
- <item>Sécuriser BIND, Sendmail et tout autre daemon complèxe
+ <item>Sécuriser BIND, Sendmail et tout autre daemon complexe
(Lancer dans une prison chroot; lancer en tant qu'utilisateur non root)
<item>Installer snort ou un outil similaire.
@@ -5641,7 +5641,7 @@
</list>
<item>Problèmes de politique
<list>
-<item>Eduquer les utilisateurs sur le comment et le pourquoi de vos règles.
+<item>Éduquer les utilisateurs sur le comment et le pourquoi de vos règles.
Lorsque que vous avez interdit quelque chose qui est généralement
disponible sur d'autres systèmes, fournissez leur une documentation qui
explique comment arriver aux mêmes résultats d'une manière plus sécurisée.
@@ -5707,7 +5707,7 @@
du réseau à analyser.
<p>
-De façon à configurer les cartes réseaux sans adresses ip vous ne pouvez pas
+De façon à configurer les cartes réseaux sans adresses IP vous ne pouvez pas
utilisez le fichier standard Debian <file>/etc/network/interfaces</file> étant donné que le programme <prgn>ifup</prgn> et <prgn>ifdown</prgn> attendent plus d'informations que nécessaire. Vous devez faire, simplement,
<tt>ifconfig eth0 up</tt>.
@@ -5715,7 +5715,7 @@
Vous avez besoin, en outre de l'installation standard Debian, d'Apache,
MySQL et PHP4 pour faire fonctionner ACID. Paquets téléchargés (Note:
les versions peuvent différer en fonction de quelle distribution Debian
-vous utilisez, ceux-ci sont de la debian <em>woody</em> de septembre 2001) :
+vous utilisez, ceux-ci sont de la Debian <em>woody</em> de septembre 2001) :
<example>
ACID-0.9.5b9.tar.gz
Reply to: