[relecture] securing-debian-manuel
Salut,
voici la relecture des chapitres 2 & 3.
J'ai envoyé la relecture de l'introduction il y a quelques jours ; mais
ce message est tombé, semble-t-il, dans un puits de silence !
Faut-il continuer à relire ?
a+
--
Philippe Batailler
in girum imus nocte et consumimur igni
--- securing-debian-manual-fr.sgml.1 Sat Oct 26 17:15:48 2002
+++ securing-debian-manual-fr.sgml Sat Oct 26 16:54:36 2002
@@ -608,29 +608,28 @@
<p>
Sécuriser un système Debian n'est pas différent de la sécurisation d'un autre
système ; de façon à procéder correctement, vous devez tout d'abord
-décider quelle en sera son utilisation. Après cela, vous devrez
-envisager d'appliquer à la lettre les tâches qui vont suivre si vous
-désirez réellement sécuriser votre système.
+décider quelle en sera l'utilisation. Ensuite, vous devez penser aux tâches
+à prendre en compte si vous désirez réellement sécuriser votre système.
<p>
-Vous constaterez que ce manuel est écrit a posteriori, cela étant,
-vous trouverez des informations sur les tâches à réaliser avant,
+Vous constaterez que ce manuel va du début à la fin, c.-à-d. que vous
+trouverez des informations sur les tâches à réaliser avant,
pendant et après l'installation de votre système Debian. Les tâches
-peuvent aussi être découpées comme ceci:
+peuvent être découpées comme ceci:
<list>
<item>Décider quels sont les services dont vous avez besoin et vous
-limiter à ceux-là. Ceci inclus la désactivation/désinstallation des
-services indésirables et l'ajout de filtres ou de tcpwrappers.
+limiter à ceux-là. Ceci inclut la désactivation ou la désinstallation des
+services indésirables et l'ajout de filtres de type pare-feu ou de tcpwrappers.
<item>Limiter les utilisateurs et les permissions sur votre système.
-<item>Durcir les services disponibles ainsi, même en cas d'intrusion,
-l'impact sur votre système sera minimisé.
+<item>Consolider les services disponibles ; ainsi, même en cas
+d'intrusion, l'impact sur votre système sera minimisé.
<item>Utiliser des outils appropriés pour garantir qu'une utilisation
-non autorisée soit détectée et que vous puissiez prendre des mesures
+non autorisée sera détectée et que vous pourrez prendre des mesures
adéquates.
</list>
@@ -638,18 +637,18 @@
<sect id="references">Être conscient des problèmes de sécurité
<p>
-Ce manuel ne va, généralement, pas dans les détails pour démontrer que
-certains problèmes sont considérés comme des risques pour la sécurité.
-Toutefois, vous pourriez désirer avoir une meilleure vision de la sécurité
-Unix en général et plus particulièrement celle liée à Linux. Prenez le
-temps de lire les documentations relatives à la sécurité afin que
-vous soyez bien informés lorsque vous êtes confrontés à différents choix
-à prendre. Debian GNU/Linux est basée sur le noyau Linux, ainsi de
-nombreuses informations sur la sécurité UNIX en général concernant Linux
-peuvent être appliquées à d'autres distributions (même si les outils
+Ce manuel n'explique pas pourquoi certains problèmes sont considérés comme
+des risques pour la sécurité. Toutefois, vous pourriez désirer avoir une
+meilleure vision de la sécurité sur les systèmes Unix et plus
+particulièrement le système Linux. Prenez le
+temps de lire les documentations relatives à la sécurité afin que,
+confrontés à différents choix, vous puissiez prendre des décisions éclairées.
+Debian GNU/Linux est basée sur le noyau Linux ; aussi, la plupart des
+informations concernant Linux, venant d'autres distributions ou d'UNIX en
+général, peuvent être appliquées (même si les outils
utilisés ou les programmes disponibles diffèrent).
-<p>Quelques documents pratique :
+<p>Quelques documents pratiques :
<list>
@@ -661,31 +660,32 @@
<item>Le <url name="Security Quick-Start HOWTO for Linux"
id="http://www.linuxsecurity.com/docs/LDP/Security-Quickstart-HOWTO/";>
est également une très bonne base pour les utilisateurs néophytes
-(aussi bien en matière de Linux qu'en sécurité).
+(aussi bien en matière de Linux qu'en matière de sécurité).
<item>
Le <url id="http://seifried.org/lasg/"; name="Linux Security
- Administrator's Guide"> (fourni dans Debian via le paquet
+ Administrator's Guide"> (paquet Debian
<package>lasg</package>) est un guide complet qui englobe tous les
problèmes de sécurité Linux, de la sécurité du noyau jusqu'au VPN.
- Il est un peu obsolète (pas de mise à jour depuis 1999) et a été
- remplacé par la Base de connaissance de la Sécurité Linux (actuellement
- non disponible en ligne, était présent sur http://www.securityportal.com/lskb/
- (mais n'est plus disponible sur cette adresse). Cette documentation est
+ Il est un peu obsolète (pas de mise à jour depuis 1999) et il a été
+ remplacé par le <url id="http://seifried.org/lskb"; name="Linux
+ Security Knowledge Base "> Cette documentation est
également disponible dans Debian via le paquet <package>lksb</package>.
+<!-- j'ai mis à jour sur version 2.6 pb -->
<item>Dans <url name="Securing and Optimizing Linux: RedHat Edition"
id="http://www.linuxdoc.org/links/p_books.html#securing_linux";> vous
-pouvez trouver un document similaire à ce manuel mais qui s'applique à RedHat,
-quelques problèmes ne sont pas spécifiques à une certaine distribution et
+pouvez trouver un document similaire à ce manuel, mais destiné à RedHat ;
+certaines questions ne sont pas spécifiques à cette distribution et
peuvent s'appliquer à Debian.
-<item>IntersectAlliance a publié un document qui peut être utilisé comme une
-référence sur la manière de renforcer les serveurs linux, il est disponible sur
- <url id="http://www.intersectalliance.com/projects/index.html"; name="their site">.
+<item>IntersectAlliance a publié des documents qui peuvent être utilisés
+comme fiches de référence sur la manière de consolider les serveurs
+linux ; ils sont disponibles sur
+ <url id="http://www.intersectalliance.com/projects/index.html"; name="leur site">.
-<item>Pour les administrateurs réseaux, une bonne référence pour bâtir un réseau
-sécurisé est le <url name="Securing your Domain HOWTO"
+<item>Pour les administrateurs-réseaux, une bonne référence pour bâtir un
+réseau sécurisé est le <url name="Securing your Domain HOWTO"
id="http://www.linuxsecurity.com/docs/LDP/Securing-Domain-HOWTO/";>.
@@ -693,13 +693,14 @@
en ajouter de nouveaux) vous devriez lire le <url name="Secure Programs HOWTO"
id="http://www.linuxdoc.org/HOWTO/Secure-Programs-HOWTO.html";>.
-<!-- FIXME: vérifier les URLs --> <item>Si vous pensez avoir les capacités à installer un pare-feux, vous
+<!-- FIXME: vérifier les URLs -->
+<item>Si vous pensez installer un pare-feux, vous
devriez lire le <url name="Firewall HOWTO"
id="http://www.linuxdoc.org/HOWTO/Firewall-HOWTO.html";> et le <url
name="IPCHAINS HOWTO"
id="http://www.linuxdoc.org/HOWTO/IPCHAINS-HOWTO.html";>.
-<item>Finalement, une bonne carte à avoir sous la main est le
+<item>Finalement, une bonne fiche de référence à avoir sous la main est le
<url name="Linux Security RefenceCard"
id="http://www.linuxsecurity.com/docs/QuickRefCard.pdf";>
@@ -707,13 +708,13 @@
<p>
Dans tous les cas, vous avez des informations concernant les services
-expliqués ici (NFS, NIS, SMB ...) dans les nombreux HOWTO du <url
+expliqués ici (NFS, NIS, SMB...) dans les nombreux HOWTO du <url
name="Projet Linuxdoc" id="http://www.linuxdoc.org/";>, certains d'entre
eux discutent de la sécurité d'un service donné, donc n'oubliez pas
de jeter un oeil là-dessus également.
<p>Les documents HOWTO du Projet de Documentation Linux sont disponibles
-dans la Debian GNU/Linux via l'installation des paquets
+dans Debian GNU/Linux via l'installation des paquets
<package>doc-linux-text</package> (version texte) ou
<package>doc-linux-html</package> (version html). Après l'installation,
ces documents seront disponibles dans, respectivement, les répertoires
@@ -733,8 +734,8 @@
</list>
-<p>Livres divers (qui peuvent se rapporter aux problèmes concernant UNIX
-ainsi que la sécurité mais spécifiquement à Linux) :
+<p>Livres divers (qui se rapportent à des questions générales concernant UNIX
+et la sécurité, pas spécifiques à Linux) :
<list>
@@ -748,7 +749,7 @@
</list>
-<p>Quelques sites Web utiles pour se tenir informé de la sécurité :
+<p>Quelques sites Web utiles pour se tenir informé des questions de sécurité :
<list>
@@ -772,9 +773,9 @@
<sect>Comment Debian gère la sécurité ?
<p>
-Afin d'avoir un aperçu général de la sécurité dans la Debian GNU/Linux,
-vous devriez prendre note de tous les différents problèmes que Debian
-rencontre afin de fournir un système sécurisé :
+Tout comme vous avez une vue générale de la sécurité dans Debian GNU/Linux,
+vous devez connaître les différents problèmes auxquels Debian s'attaque
+afin de fournir un système sécurisé :
<list>
@@ -783,25 +784,26 @@
<url name="Contrat Social Debian" id="http://www.debian.org/social_contract";> :
<em>
Nous ne cacherons pas les problèmes.
-Nous garderons toujours notre base de données des rapports de bogues ouvertes
-au public. Les rapports que les utilisateurs archivent en ligne seront
-immédiatement visible aux autres.
+Nous garderons toujours notre base de données des rapports de bogues ouverte
+au public. Les rapports que les utilisateurs remplissent en ligne seront
+immédiatement visibles par les autres.
</em>
Les problèmes de sécurité sont abordés ouvertement sur la liste de discussion
debian-security.
-Les Commissions de Sécurité Debian sont envoyées sur les listes de discussions
+Les alertes de Sécurité Debian <!-- voir la traduction choisie par les
+spécialistes -->sont envoyées sur les listes de discussions
publiques (interne et externe) et publiées sur les serveurs publiques.
<item>Debian suit les problèmes de sécurité de très près. L'équipe de la sécurité
-se tient à jour par rapport aux sources liées à la sécurité, la plus importante
+consulte les sources liées à la sécurité, la plus importante
étant <url name="Bugtraq" id="http://www.securityfocus.com/cgi-bin/vulns.pl";>,
-en étant aux aguets de paquets avec des problèmes de sécurité et qui pourraient
-être inclus dans Debian.
+à la recherche de paquets possédant des problèmes de sécurité et qui
+pourraient être inclus dans Debian.
-<item>Les mises à jour liées à la sécurité sont les premières priorités. Lorsqu'un
+<item>Les mises à jour liées à la sécurité sont la première priorité. Lorsqu'un
problème survient dans un paquet Debian, la mise à jour est préparée aussi vite
-que possible et est répartie sur nos versions stable et unstable, y compris sur
-toutes les architectures.
+que possible et elle est intégrée dans nos versions stable et unstable, et
+pour toutes les architectures.
<item>Les informations concernant la sécurité sont centralisées en un point unique,
<url id="http://security.debian.org/";>.
@@ -810,28 +812,31 @@
nouveaux projets de la distribution, comme les vérifications automatiques des
signatures de paquets.
-<item>Debian essaye de fournir un nombre profitable d'outils liés à la sécurité
+<item>Debian fournit de nombreux outils liés à la sécurité
pour l'administration système et la surveillance. Les développeurs essayent
-solidement d'intégrer ces outils avec la distribution de façon à renforcer
-les règles de sécurité. Les outils disponibles sont : vérificateurs d'intégrité,
-outils d'audit, outils de durcissement, outils pour pare-feux, outils de détection
-d'intrusion, etc...
+de lier étroitement ces outils à la distribution de façon à créer une suite
+d'outils destinée à rendre effectives les règles locales de sécurité. Les
+outils disponibles sont : vérificateurs d'intégrité,
+outils d'audit, outils de consolidation, outils pour pare-feux, outils de
+détection d'intrusion, etc.
<item>Les responsables de paquets sont avertis des problèmes de sécurité.
-Ceci conduit à de nombreuses installations de services "sécurisés par défaut"
-ce qui peut engendrer certaines limites, parfois, à son utilisation normale.
+Ceci conduit à de nombreuses installations de service « sécurisé par
+défaut » ; cela peut parfois engendrer certaines limitations à
+une utilisation normale.
Toutefois, Debian essaye d'équilibrer les problèmes de sécurité et la facilité
-d'administration, par exemple, les systèmes ne sont pas installés désactivés comme
-sur les distributions de la famille BSD. Dans tous les cas, quelques problèmes
-spéciaux, tels les programmes setuid, font partie de la
-<url id="http://www.debian.org/doc/debian-policy/"; name="Politique Debian">.
+d'administration :; par exemple, les systèmes ne sont pas installés en
+mode <em>désactivé</em> comme sur les distributions de la famille BSD.
+Quelques problèmes spéciaux, tels les programmes setuid, sont abordés par la
+<url id="http://www.debian.org/doc/debian-policy/"; name="Charte Debian">.
</list>
<p>
-Ce même document essaye d'imposer, en outre une distribution sécurisée recommandable,
-une source d'information sur la sécurité spécifique à la Debian qui complète d'autres
-documents liés à la sécurité concernant les outils utilisés par Debian ou le système
+Ce document vise à une meilleure distribution en matière de sécurité, en
+publiant des informations sur la sécurité spécifiques à Debian qui complètent
+d'autres documents liés à la sécurité concernant les outils utilisés par
+Debian ou par le système
d'exploitation lui-même (voir <ref id="references">).
<chapt>Avant et pendant l'installation
--- securing-debian-manual-fr.sgml.2 Sat Oct 26 17:27:30 2002
+++ securing-debian-manual-fr.sgml Mon Oct 28 12:33:16 2002
@@ -843,131 +843,140 @@
<sect>Choisir un mot de passe pour le BIOS
<p>
-Avant d'installer un système d'exploitation sur votre ordinateur, établissez un
-mot de passe pour le BIOS et désactivez les séquences de boot afin de rendre
-inutilisable le démarrage à partir d'une disquette, d'un cdrom ou de tout autre
+Avant d'installer un système d'exploitation sur votre ordinateur, créez un
+mot de passe pour le BIOS. Après l'installation (une fois que vous avez rendu
+possible un démarrage à partir du disque dur), retournez dans le BIOS et
+changez la séquence de démarrage afin de rendre
+impossible le démarrage à partir d'une disquette, d'un cdrom ou de tout autre
périphérique. Sinon un pirate n'a besoin que d'un accès physique et d'une disquette
de démarrage pour accéder au système complet.
-
+<!-- traduit selon la version 2.6 -->
<p>
Désactiver le démarrage sans mot de passe est solution encore meilleure.
+<!-- excellent ! pb -->
Ceci peut être efficace pour un serveur car il n'est pas redémarré très souvent.
-Le mauvais point de cette méthode est que le redémarrage nécessite l'intervention
-d'une personne ce qui peut poser des problèmes si la machine n'est pas facilement
+L'inconvénient de cette méthode est que le redémarrage nécessite l'intervention
+d'une personne, ce qui peut poser des problèmes si la machine n'est pas facilement
accessible.
<sect>Choisir un schéma de partitionnement intelligent
<p>
Un schéma de partitionnement intelligent dépend de l'utilisation de la
machine. Une bonne règle est d'être assez large avec vos partitions et
-de faire attention aux facteurs suivants :
+de faire attention aux facteurs suivants :
<list>
-<item>Toutes arborescences de répertoires auxquelles un utilisateur a
-accès, telles que /home et /tmp, se doivent d'être sur une partition
-séparée. Ceci réduit le risque qu'un utilisateur malveillant remplisse
-votre point de montage "/" et rende votre système inutilisable. (Note:
-Ceci n'est pas forcément vrai car il existe toujours de l'espace pour
-l'utilisateur root et qu'un utilisateur normal ne pourra remplir).
+<item>Une arborescence de répertoires modifiables par un utilisateur,
+telles que /home et /tmp, doit d'être sur une partition distincte.
+Cela réduit le risque qu'un utilisateur malveillant <!-- c'est bien : a user
+DoS, deny of service par un utilisateur que tu traduis ? --> remplisse
+votre point de montage « / » et rende votre système inutilisable.
+(Note : ce n'est pas strictement vrai car il existe toujours un espace
+réservé à l'utilisateur root qu'un utilisateur normal ne pourra remplir.)
<item>Toute partition qui peut fluctuer, par exemple /var (surtout
-/var/log) devrait être également sur une partition séparée. Sur un
+/var/log) devrait être également sur une partition distincte. Sur un
système Debian, vous devriez créer /var un petit peu plus grand que la
-normale car les paquets téléchargés (apt cache) sont stockés dans
+normale car les paquets téléchargés (le cache d'apt) sont stockés dans
/var/apt/cache/archives.
<item>Toute partition où vous voulez installer des logiciels ne faisant
-pas partie de la distribution devrait être sur une partition séparée.
-Se référant au Standard Hiérarchique des Fichiers, ceci devrait être
-/opt ou /usr/local. Si ce sont des partitions séparées, elles ne seront
+pas partie de la distribution devrait être sur une partition distincte.
+Selon le standard sur la hiérarchie des fichiers (FHS), c'est
+/opt ou /usr/local. Si ce sont des partitions distinctes, elles ne seront
pas effacées si vous devez réinstaller Debian.
-<item>D'un point de vue sécurité, il est bien d'essayer de déplacer les
-données statiques sur une partition donnée et de monter celle-ci en
+<item>D'un point de vue sécurité, il est bien d'essayer de mettre les
+données statiques sur une partition et de monter celle-ci en
lecture seule. Encore mieux, mettre les données sur un périphérique en
-lecture seule. Voir ci-dessous pour plus d'infos.
+lecture seule. Voir ci-dessous pour plus d'informations.
</list>
+<!-- sup de version 2.6 pb -->
+
<sect>Ne pas se connecter à Internet tant que tout n'est pas prêt
-<p>Le système que vous êtes sur le point d'installer ne devrait pas
+<p>Le système ne devrait pas
être connecté à Internet pendant l'installation. Ceci peut paraître
-stupide mais c'est généralement le cas. Étant donné que le système
+stupide mais il faut savoir que l'installation par le réseau est une méthode
+d'installation habituelle. Étant donné que le système
va installer et activer les services immédiatement, si le système est
connecté à Internet et que les services ne sont pas configurés correctement
vous les exposez à des attaques.
-<p>Noter également que certains services peuvent avoir des trous de
-sécurité qui ne sont pas encore réglés dans les paquets que vous
-utilisez pour l'installation. Ceci est généralement vrai si vous
-installez depuis de vieux médias (comme les CDroms). Dans ce
+<p>Il faut noter également que certains services peuvent avoir des trous de
+sécurité qui n'ont pas encore été corrigés dans les paquets que vous
+utilisez pour l'installation. C'est généralement vrai si vous
+installez depuis de vieux médias (comme des CDroms). Dans ce
cas, il se peut que votre système soit compromis avant même la
fin de l'installation !
<p>Attendu que l'installation et les mises à jours peuvent être
-faites par Internet vous pourriez penser que cela serait une bonne idée
+faites par Internet, vous pourriez penser que c'est une bonne idée
d'utiliser cette caractéristique lors de l'installation. Si le système
va être connecté directement à Internet (et pas protégé par un pare-feux
-ou NAT), il est plus judicieux de l'installer sans connexion
-à Internet et d'utiliser un miroir local de paquets des sources de
-paquets Debian et les mises à jours de sécurité. Vous pouvez mettre en
+ou un NAT), il est plus judicieux de l'installer sans connexion
+à Internet et d'utiliser un miroir local de paquets contenant à la fois les
+paquets sources et les mises à jours de sécurité. Vous pouvez mettre en
place des miroirs de paquets en utilisant un autre système connecté à
-Internet et des outils spécifiques Debian (si ce n'est pas un système
+Internet et des outils spécifiques à Debian (si c'est un système
Debian) tels que <package>apt-move</package> ou
<package>apt-proxy</package> ou tout autre outil de miroir pour fournir
l'archive aux systèmes installés.
+<!-- sup en 2.6 pb -->
<sect>Définir un mot de passe root
<p>
Définir un bon mot de passe est la condition de base pour avoir un
système sécurisé.
+<!-- sup en 2.6 pb -->
-<sect>Activer les mots de passe masqués et mots de passes MD5
+<sect>Activer les mots de passe masqués et les mots de passes MD5
<!-- J'ai change ombrés par masqués car plus significatif. Le terme de shadow peut être conservé
car c'est le processus "shadow" dans son ensemble. jpg -->
<p>
A la fin de l'installation, il vous sera demandé si les mots de passe
-masqués doivent être activés. Répondez oui à cette question, ainsi les
+masqués doivent être activés. Répondez oui à cette question ; ainsi les
mots de passe seront stockés dans le fichier <file>/etc/shadow</file>.
-Seul l'utilisateur root et le groupe shadow ont accès en lecture à ce
+Seul l'utilisateur root et le groupe shadow peuvent lire ce
fichier, ainsi aucun utilisateur ne sera en mesure de récupérer une copie
-de ce fichier afin d'essayer de le pirater à l'aide de logiciels adéquats.
+de ce fichier afin de le donner à un <em>craqueur</em> de mots de passe.
Vous pouvez basculer entre les mots de passe masqués et les mots de passes
normaux à n'importe quel moment en utilisant <tt>shadowconfig</tt>.
De plus, pendant l'installation il vous sera demandé si vous voulez
-utiliser les mots de passe MD5. Ceci est généralement une bonne idée étant
-donné qu'il permet des mots de passe plus longs et une meilleure encryption.
+utiliser les mots de passe MD5. C'est généralement une bonne idée étant
+donné que cela permet des mots de passe plus longs et un meilleur chiffrement.
<p>Lire davantage sur les mots de passes masqués sur
<url
name="Shadow Password"
id="http://www.linuxdoc.org/HOWTO/Shadow-Password-HOWTO.html";>
(<file>/usr/share/doc/HOWTO/en-txt/Shadow-Password.txt.gz</file>).
-
-<sect>Administrer le nombre minimum de services nécessaire
+<!-- plus en 2.6 pb -->
+<sect>Administrer le nombre minimum de services nécessaires
<p>
Les services sont des programmes tels que les serveurs ftp et les
-serveurs web. Attendu qu'ils doivent <em>écouter</em> les connexions
-entrantes afin de répondre aux requêtes d'ordinateurs externes voulant
-se connecter au vôtre. Les services sont parfois vulnérables (entendez par
-là qu'ils peuvent être compromis par certaines attaques) et ce sont des
-risques de sécurité. <!-- ne peut on pas utiliser facteurs risques plutôt que
+serveurs web. Puisqu'ils doivent <em>écouter</em> les connexions
+entrantes qui demandent le service, des ordinateurs externes peuvent se
+connecter au vôtre. Les services sont parfois vulnérables (entendez par
+là qu'ils peuvent être compromis par certaines attaques) : ils créent des
+risques pour la sécurité. <!-- ne peut on pas utiliser facteurs risques plutôt que
risques de sécurité? Il me semble que ca passerait mieux. jpg -->
-
+<!-- facteurs de risque, faiseurs de risques oui pb -->
<p>
Vous ne devriez pas installer les services dont vous n'avez pas besoin
-sur votre machine. Chaque service installé peut introduire de nouveaux,
-non évidents (ou connus), trous de sécurité sur votre ordinateur.
+sur votre machine. Chaque service installé peut introduire de nouveaux
+trous de sécurité, peu évidents ou inconnus, sur votre ordinateur.
<p>
-Comme vous le savez déjà, lorsque vous installez un service donné la
+Comme vous le savez sans doute, lorsque vous installez un service, la
démarche par défaut est de l'activer.
-Dans une installation Debian par défaut sans services installés,
-l'empreinte des services actifs est assez faible et est même plus faible
-quand on parle des services "réseaux".
-L'empreinte de la Debian 2.1 n'était pas aussi ténue que celle de la Debian
-2.2 (quelques services inetd étaient actifs par défaut) et dans la Debian
+Dans une installation Debian par défaut, sans services installés,
+le nombre des services actifs est assez faible et il est même plus faible
+quand on parle des services <em>réseaux</em>.
+Leur nombre dans Debian 2.1 n'était pas aussi faible que celui dans Debian
+2.2 (quelques services inetd étaient actifs par défaut) et dans Debian
2.2 le service rpc est activé à l'installation.
Rpc est installé par défaut car il est nécessaire à de nombreux services,
par exemple NFS, pour tourner sur un système bien spécifique. Cependant,
@@ -975,112 +984,113 @@
de le désactiver.
<p>
-Lorsque vous installez un nouveau service réseau (daemon) sur votre
-système Debian GNU/Linux, il peut être activé de deux façons : via le
-super daemon inetd (une ligne sera ajouté à <file>/etc/inetd.conf</file>)
-ou via un programme qui se fixe à vos interfaces réseaux. Ces programmes
+Lorsque vous installez un nouveau service réseau (démon) sur votre
+système Debian GNU/Linux, il peut être activé de deux façons : via le
+super démon inetd (une ligne sera ajouté à <file>/etc/inetd.conf</file>)
+ou via un programme qui s'attache lui-même aux interfaces réseaux. Ces
+programmes
sont contrôlés via les fichiers <file>/etc/init.d</file> qui sont appelés
lors du démarrage au moyen du mécanisme de SysV (ou un autre) en utilisant
des liens symboliques dans <file>/etc/rc?.d/*</file> (pour plus
-d'informations sur la manière dont cela est fait lire
+d'informations sur la manière dont cela est fait, lire
<file>/usr/share/doc/sysvinit/README.runlevels.gz</file>).
<!-- La traduction de deamon existe => démon. Pourquoi ne pas l'employer? jpg -->
+<!-- d'accord, pb -->
<p>
-Si vous voulez néanmoins avoir certains services mais vous les utilisez
-rarement, utilisez les commandes update, par exemple 'update-inetd' et
- 'update-rc.d' pour leur suppression du processus de démarrage.
+Si vous voulez garder certains services tout en les utilisant rarement,
+utilisez les commandes update, par exemple 'update-inetd' et
+ 'update-rc.d' pour les supprimer du processus de démarrage.
-<sect1 id="disableserv">Désactivation de services daemon
+<sect1 id="disableserv">Désactivation de services.
<p>
La désactivation d'un daemon est relativement simple. Il y a différentes
-méthodes :
+méthodes :
<list>
-<item>supprimer les liens de <file>/etc/rc${runlevel}.d/</file> ou renommer
+<item>supprimer les liens de <file>/etc/rc${runlevel}.d/</file> ou re-nommer
les liens (de sorte qu'ils ne commencent pas avec 'S')
-<item>renommer le script (<file>/etc/init.d/_nom_service_</file>)
-sous un autre nom (par exemple <file>/etc/init.d/OFF._nom_service_</file>)
+<item>donner un autre nom au script <file>/etc/init.d/_nom_service_</file>,
+(par exemple <file>/etc/init.d/OFF._nom_service_</file>)
<item>retirer le droit d'exécution du fichier
<file>/etc/init.d/_nom_service_</file>.
-<item>éditer le script <file>/etc/init.d/_nom_service_</file> pour le voir
-s'arrêter immédiatement.
+<item>modifier le script <file>/etc/init.d/_nom_service_</file> pour qu'il
+s'arrête immédiatement.
</list>
<p>Vous pouvez supprimer les liens de /etc/rc${runlevel}.d/ manuellement ou
en utilisant <tt>update-rc.d</tt> (voir <manref section="8"
name="update-rc.d">). Par exemple, vous pouvez désactiver l'exécution d'un
-service dans le niveau d'exécution multi-utilisateur en faisant :
+service dans le niveau d'exécution multi-utilisateur en faisant :
<example>
update-rc.d stop XX 2 3 4 5 .
</example>
-<p>S'il vous plaît, veuillez noter que, si vous <em>n'utilisez</em> pas
+<p>Veuillez noter que, si vous <em>n'utilisez</em> pas
<package>file-rc</package>, <tt>update-rc.d -f _service_ remove</tt>
ne fonctionnera pas correctement, étant donné que <em>tous</em> les liens
-ont été supprimés, seul la réinstallation ou la mise à jour du paquet
-engendrera la recréation de ces liens (ce n'est probablement pas ce que
-vous voulez). Si vous pensez que cela n'est pas intuitif, vous avez sans
+ont été supprimés, seules la réinstallation ou la mise à jour du paquet
+créeront à nouveau ces liens (ce n'est probablement pas ce que
+vous voulez). Si vous pensez que ce n'est pas intuitif, vous avez sans
doute raison (voir <url
-id="http://bugs.debian.org/67095"; name="Bug 67095">. Depuis la page de man :
-
+id="http://bugs.debian.org/67095"; name="Bug 67095">. Voici un passage de la page de manuel :
+<!-- traduite en français déjà ! pb-->
<example>
-Si n'importe quel fichier /etc/rcrunlevel.d/[SK]??nom existe déjà alors
- update-rc.d ne fera rien. C'est pour cela que l'administrateur système
- peut réarranger les liens, pourvu qu'il reste au moins un lien
- qui n'a pas vu sa configuration récrite.
+Quand un fichier /etc/rcrunlevel.d/[SK]??nom existe déjà, alors
+ update-rc.d ne fait rien. C'est ainsi pour que l'administrateur système
+ puisse réarranger les liens -- à condition qu'il en reste au moins un --
+ sans que sa configuration soit réécrite.
</example>
<p>Si vous utilisez <package>file-rc</package> toutes les informations
-concernant le démarrage des services est géré par un fichier de configuration
-commun et est maintenu même si les paquets sont retirés du système.
+concernant le démarrage des services sont gérées par un fichier de configuration
+commun et sont conservées même si les paquets sont retirés du système.
-<p>Vous pouvez utilisez TUI (Text User Interface)<--!Dois-je le traduire. Comm de jpg: Je ne pense pas.-->
-fourni par <package>rcconf</package> pour faire tous ces changements facilement
+<p>Vous pouvez utilisez l'interface texte (TUI Text User Interface)<!--Dois-je le traduire. Comm de jpg: Je ne pense pas.-->
+fournie par <package>rcconf</package> pour faire tous ces changements facilement
(<prgn>rcconf</prgn> fonctionne pour file-rc ainsi que pour les niveaux
-d'exécutions normaux System V).
+d'exécution normaux de type System V).
<p>Les autres (non recommandées) méthodes de désactivation de services sont :
<tt>chmod 644 /etc/init.d/daemon</tt> (mais ceci donne un message d'erreur au
démarrage), ou modifier le script <file>/etc/init.d/daemon</file> (en ajoutant
une ligne <prgn>exit 0</prgn> au début ou en commentant la partie
<tt>start-stop-daemon</tt>). Étant donné que les fichiers init.d sont des
-fichiers de configurations, ils ne seront pas récris lors d'une mise à jour.
+fichiers de configuration, ils ne seront pas récris lors d'une mise à jour.
-<p>Malheureusement, contrairement à d'autres systèmes d'exploitations (UNIX),
-les services dans la Debian ne peuvent être désactivés en modifiant les fichiers
+<p>Malheureusement, contrairement à d'autres systèmes d'exploitation (UNIX),
+les services dans Debian ne peuvent être désactivés en modifiant les fichiers
dans <file>/etc/default/_nomservice_</file>.
-<p>FIXME: Ajouter des informations sur les démons de manipulation utilisant file-rc
+<p>FIXME: Ajouter des informations sur la gestion des démons par file-rc
<!-- J'ai utilisé démon au lieu de deamon. Quelle uniformisation? jpg -->
<sect1 id="inetd">Désactivation des services inetd
<p>
Vous devriez arrêter tous les services non nécessaires sur votre système, comme
-echo, chargen, discard, daytime, time, talk, ntalk et r-services
-(rsh, rlogin et rcp) qui sont considérés fort dangereux (utilisez ssh à la place).
+echo, chargen, discard, daytime, time, talk, ntalk et les r-services
+(rsh, rlogin et rcp) qui sont très peu sûrs (utilisez ssh à la place).
Après la désactivation de ceux-ci, vous devriez vérifier si vous avez
-réellement besoin du daemon inetd. De nombreuses personnes préfèrent
-utiliser les daemons plutôt que d'appeler des services via inetd. Le
-La possibilité d'utiliser des "denial of service" sur inetd existe, ce
+réellement besoin du démon inetd. De nombreuses personnes préfèrent
+utiliser les démons plutôt que d'appeler des services via inetd. Le
+La possibilité de <em>denial of service</em> sur inetd existe, ce
qui peut augmenter notablement la charge de la machine. Si vous désirez
toujours lancer un service du genre d'inetd, tournez-vous plutôt vers un
daemon inetd plus configurable tel xinetd ou rlinetd.
<p>
-Vous pouvez désactiver les services en éditant directement
-<file>/etc/inetd.conf</file>, mais Debian offre un meilleur moyen
-de faire ceci :
+Vous pouvez désactiver les services en modifiant directement
+<file>/etc/inetd.conf</file>, mais Debian offre un meilleur moyen :
<tt>update-inetd</tt> (qui commente les services de manière à ce qu'ils
-soient facilement réactivés). Vous pouvez supprimer le daemon telnet
+puissent être facilement réactivés). Vous pouvez supprimer le démon telnet
en exécutant cette commande pour changer le fichier de configuration
-et redémarrer le daemon (dans ce cas le service est désactivé) :
+et redémarrer le démon (dans ce cas le service est désactivé) :
<example>
/usr/sbin/update-inetd --disable telnet
@@ -1095,16 +1105,18 @@
by Alexander to the debian-security mailing list -->. Ou utiliser un autre
daemon tel que <prgn>xinetd</prgn>.
+<!-- sup en 2.6 pb -->
+
<sect>Lire les listes de discussions debian sur la sécurité
<p>Cela ne fait pas de mal de jeter un oeil à la liste de discussion
-debian-security-announce, où des conseils et solutions pour les paquets
+debian-security-announce, où des alertes et des solutions pour les paquets
sont annoncés par l'équipe sécurité de Debian, ou sur la liste
debian-security@lists.debian.org, où vous pouvez participer aux discussions
à propos de différentes choses liées à la sécurité Debian.
-<p>De façon à recevoir d'importantes alertes concernant les mises à jour liées
-à la sécurité, envoyez un émail à
+<p>De façon à recevoir les alertes importantes concernant les mises à jour liées
+à la sécurité, envoyez un courriel à
<url name="debian-security-announce-request@lists.debian.org"
id="mailto:debian-security-announce-request@lists.debian.org";> avec le mot
"subscribe" dans le sujet du courrier. Vous pouvez également vous inscrire à
Reply to: