[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[Relecture] securing-howto



Bonsoir

J'ai l'intention de relire le securing-howto.

Voila déjà ma relecture pour les chapitres 7, 8 et 9

eric
--- sec-tools.sgml	2005-04-20 21:45:34.000000000 +0200
+++ sec-tools.relu.sgml	2005-04-20 22:00:37.000000000 +0200
@@ -150,10 +150,10 @@
 
 <p>Un réseau privé virtuel (VPN) est un groupe de deux ou plusieurs ordinateurs,
 habituellement connecté à un réseau privé avec un accès réseau public limité,
-qui communiquent de façon sécurisée par un réseau public. Les VPN peuvent
+qui communiquent de façon sécurisée via un réseau public. Les VPN peuvent
 connecter un seul ordinateur à un réseau privé (client-serveur) ou un réseau
 local (LAN) distant à un réseau privé (serveur-serveur). Les VPN incluent
-souvent l'utilisation de chiffrage, une authentification forte des utilisateurs
+souvent l'utilisation du chiffrage, une authentification forte des utilisateurs
 ou hôtes distants et des méthodes pour cacher la topologie du réseau privé.
 
 <p>Debian fournit un nombre assez important de paquets pour mettre en place 
@@ -221,8 +221,8 @@
 <p>Vous devez cependant appliquer le correctif noyau fourni par le paquet
 <package>kernel-patch-mppe</package> qui fournit le module pp_mppe pour pppd.
 
-<p>Prenez également en compte que le chiffrag dans pptp vous force à stocker les
-mots de passer utilisateur en clair et que le protocole MS-CHAPv2 contient des
+<p>Prenez également en compte que le chiffrage dans pptp vous force à stocker les
+mots de passe utilisateur en clair et que le protocole MS-CHAPv2 contient des
 <url id="http://mopo.informatik.uni-freiburg.de/pptp_mschapv2/";
 name="failles de sécurité connues">.
 
@@ -287,7 +287,7 @@
 
 <p>
 Il n'y a pas beaucoup d'outils antivirus dans Debian GNU/Linux, probablement 
-car les utilisateurs de GNU/Linux ne sont pas submergés réellement par 
+car les utilisateurs de GNU/Linux ne sont pas réellement submergés par 
 les virus. Le modèle de sécurité UN*X fait une distinction entre les processus
 privilégiés (root) et les processus appartenant aux utilisateurs, c'est pourquoi
 un exécutable «&nbsp;hostile&nbsp;» reçu ou créé par un utilisateur et ensuite
@@ -295,7 +295,7 @@
 autre manière le système entier. Il y a eu, toutefois, des vers et virus pour GNU/Linux même 
 s'il n'y pas (encore) eu de virus qui se soient étendus sur les 
 distributions Debian. Dans tous les cas, les administrateurs peuvent 
-vouloir de mettre en place des passerelles antivirus pour se protéger contre les
+vouloir mettre en place des passerelles antivirus pour se protéger contre les
 virus affectant d'autres systèmes plus vulnérables dans leur réseau.
 
 <p>Debian GNU/Linux fournit à l'heure actuelle les outils suivants pour mettre 
--- infrastructure.sgml	2005-04-20 21:45:33.000000000 +0200
+++ infrastructure.relu.sgml	2005-04-20 21:34:13.000000000 +0200
@@ -53,7 +53,7 @@
 <sect id="dsa">Alertes de sécurité Debian
 
 <p>Les alertes de sécurité Debian sont effectuées à chaque fois qu'une faille
-est découverte affectant un paquet Debian. Ces alerte, signées par l'un des
+est découverte affectant un paquet Debian. Ces alertes, signées par l'un des
 membres de l'équipe de sécurité, incluent des informations sur les versions
 touchées ainsi que l'emplacement des mises à jour et leurs MD5sums. Ces
 informations sont&nbsp;:
@@ -220,7 +220,7 @@
 id="security.debian.org:/org/security.debian.org/queue/unchecked"> ou
 <url id="ftp://security.debian.org/pub/SecurityUploadQueue";>
 avec un correctif approprié voient leur signature vérifiée dans les quinze
-minutes après l'envoir, une fois ceci fait, ils sont ajoutés à la liste des
+minutes après l'envoie, une fois ceci fait, ils sont ajoutés à la liste des
 autoconstructeurs (qui n'est plus une exécution d'archive journalière). Les
 paquets sont donc automatiquement construits pour <em>toutes</em> les
 architectures trente minutes ou une heure après leur envoi. Cependant, les mises
@@ -228,7 +228,7 @@
 responsables de paquets car, dans certains cas, avant d'être publiées, elles
 doivent attendre de pouvoir être plus testés, qu'une alerte soit rédigée ou
 attendre une semaine ou plus pour éviter de publier le défaut jusqu'à ce que
-tous les vendeurs aient eu une chance raisonnable de la corriger.
+tous les vendeurs aient eu une chance raisonnable de le corriger.
 
 <p>L'archive d'envoi de sécurité fonctionner donc de la façon suivante (dénommée
 <em>"Accepted-Autobuilding"</em>)&nbsp;:
@@ -258,7 +258,7 @@
        système Debian et déplacé dans queue/accepted,
 
 <item>quand l'équipe de sécurité trouve les paquets acceptable (i.e., ils sont
-       correctement construits pour toutes les architectures pertinentes et ils
+       correctement construits pour toutes les architectures pertinentes et qu'ils
        corrigent le trou de sécurité et n'introduisent pas de nouveau problème
        par eux-même), ils exécutent un script qui&nbsp;:
 
@@ -281,7 +281,7 @@
 <p>Cette procédure, auparavant fait à la main, a été testé et mise en place
 pendant l'étape de gel de Debian 3.0 woody (juillet 2002). Grâce à cette
 architecture, l'équipe de sécurité a pu avoir des paquets mis à jour pour les
-problèmes d'Apache et d'OpenSSH issues pour toutes les architectures supportées
+problèmes d'Apache et d'OpenSSH pour toutes les architectures supportées
 (presque vingt) en moins d'un jour.
 
 <sect1>Le guide du développeur aux mises à jour de sécurité
@@ -301,7 +301,7 @@
 
 <sect2>Se coordonner avec l'équipe de sécurité
 
-<p>Si un développeur apprend un problème de sécurit, soit dans son paquet ou
+<p>Si un développeur apprend un problème de sécurité, soit dans son paquet ou
 dans celui de quelqu'un d'autre, il devrait toujours contacter l'équipe de
 sécurité (à team@security.debian.org). Il suivent les problèmes de sécurité
 existants, ils peuvent aider les responsables avec des problèmes de sécurité ou
@@ -309,7 +309,7 @@
 et maintiennent security.debian.org.
 
 <p>Veuillez noter que les alertes de sécurité ne sont effectuées que pour des
-distributions de version, pas pour testing, unstable (voir <ref id="sec-unstable">)
+distributions stable, pas pour testing, ni pour unstable (voir <ref id="sec-unstable">)
 ou d'anciennes distributions (voir <ref id="sec-older">).
 
 <sect2>Prendre connaissance des problèmes de sécurité
@@ -368,7 +368,7 @@
 possible. Les personnes s'attendent à un comportement identique dans une version
 lorsque celle-ci est diffusée, donc tout changement qui est fait est susceptible
 de casser le système de quelqu'un. Ceci est spécialement vrai pour les
-bibliothèques&nbsp;: assurez-vous ne de jamais changer l'API ou l'ABI, quelque
+bibliothèques&nbsp;: assurez-vous de ne jamais changer l'API ou l'ABI, aussi
 minimal que soit le changement.
 
 <p>
@@ -479,7 +479,7 @@
 </footnote>
 
 
-<p>À ce jour (février 2003), Debian ne fournit pas de paquets 
+<p>À ce jour (février 2004), Debian ne fournit pas de paquets 
 signés pour la distribution et la version <em>woody</em> (3.0) n'intègre pas cette fonctionnalité. 
 Il existe une solution pour les paquets signés qui sera, espérons-le, fournie dans les 
 prochaines versions (<em>sarge</em>).
@@ -522,7 +522,7 @@
 souple que de signer chaque paquet un par un, mais peut être combiné 
 également avec ce schéma suivant (voir ci-dessous).
 
-<p>La signature de paquets a été abordée dans la Debian depuis pas mal de temps déjà,
+<p>La signature de paquets a été abordée dans Debian depuis pas mal de temps déjà,
 pour plus d'informations vous pouvez lire&nbsp;:
 <url id="http://www.debian.org/News/weekly/2001/8/";> et
 <url id="http://www.debian.org/News/weekly/2000/11/";>.
@@ -572,7 +572,7 @@
 <!-- à revoir (fbo)-->
 
 <p>
-Ce code exmple, renommé en <prgn>apt-release-check</prgn>, devrait être
+Ce code exemple, renommé en <prgn>apt-release-check</prgn>, devrait être
 utilisé de la manière suivante&nbsp;:
 <example>
 # apt-get update
@@ -607,7 +607,7 @@
 </list>
 
 <p>Ceci est le code exemple pour <prgn>apt-check-sigs</prgn>, la dernière
-version peut être récupérée de <url
+version peut être récupérée à l'adresse <url
 id="http://people.debian.org/~ajt/apt-check-sigs";>.
 Ce code est actuellement en bêta, pour plus d'informations, lisez
 <url id="http://lists.debian.org/debian-devel/2002/debian-devel-200207/msg00421.html";>.
--- before-compromise.sgml	2005-04-20 21:45:33.000000000 +0200
+++ before-compromise.relu.sgml	2005-04-20 21:33:47.000000000 +0200
@@ -6,7 +6,7 @@
 <sect id="keep-up-to-date">Mettre à jour le système en permanence
 
 <p>Vous devriez effectuer des mises à jour de sécurité fréquemment. La grande
-majorité des exploits résulte de failles connues qui n'ont pas été bouchés à
+majorité des exploits résulte de failles connues qui n'ont pas été corrigées à
 temps, comme l'explique ce <url
 id="http://www.cs.umd.edu/~waa/vulnerability.html"; name="papier par
 Bill Arbaugh"> (presenté lors du Symposium 2001 IEEE sur la sécurité et la
@@ -65,14 +65,14 @@
 à l'administrateur système. 
 
 <p>Notez que vous pouvez vouloir vérifier la version de distribution comme
-décrant dans <ref id="check-releases">, si vous avez l'intention de mettre à
+décrit dans <ref id="check-releases">, si vous avez l'intention de mettre à
 jour automatiquement votre système (même si vous ne faites que télécharger les
 paquets). Sinon, vous ne pouvez pas être certain que les paquets téléchargés
 proviennent réellement d'une source de confiance.
 
 <sect1>Utilisez Tiger pour vérifier automatiquement les mises à jour de sécurité
 
-<p>Si vous recherchez un outil pour vérifier rapidement et donner un compte
+<p>Si vous recherchez un outil pour vérifier rapidement et fournir un compte
 rendu sur les failles de sécurité d'un système, essayez le paquet
 <package>tiger</package>. Ce paquet est un ensemble de scripts shell Bourne, de
 programmes C et de fichiers de données utilisés pour effectuer des audits de
@@ -93,7 +93,7 @@
 vulnérables connus (utilisée par certains autres systèmes d'exploitation comme Sun
 Solaris), l'approche <em>vérifier-par-rapport-aux-DSA</em> est utilisée.
 L'approche DSA et l'approche MD5sums souffrent toutes deux du problème que les
-signatures doivent mises à jour régulièrement.
+signatures doivent être mises à jour régulièrement.
 
 <p>Cela est actuellement résolu en créant de nouvelles version du paquet Tiger,
 mais le responsable du paquet pourrait ne pas faire une nouvelle version à
@@ -136,7 +136,7 @@
 <file>/etc/apt/sources.list</file> (comme décrit dans <ref
 id="security-update">), ce script sera capable de vous dire s'il y a de nouveaux
 paquets que vous devez installer. Comme les seuls paquets modifiés dans cette
-configuration sont les mises à jour de sécurit, vous pourriez avoir exactement
+configuration sont les mises à jour de sécurité, vous pourriez avoir exactement
 ce que vous désirez.
 
 <p>Bien sûr, ceci ne fonctionnera par si vous utilisez <em>testing</em>
@@ -145,8 +145,8 @@
 
 <p>Vous pouvez ajouter ce script aux vérifications effectuées par la tâche <prgn>cron</prgn>
 (dans le fichier de configuration ci-dessus) et <prgn>tigercron</prgn> vous
-enverra un courrier (à l'expéditeur désigné par <tt>Tiger_Mail_RCPT</tt> dans le
-fichier <file>/etc/tiger/tigerrc</file>) les nouveaux paquets&nbsp;:
+enverra par courrier (à l'expéditeur désigné par <tt>Tiger_Mail_RCPT</tt> dans le
+fichier <file>/etc/tiger/tigerrc</file>) la liste nouveaux paquets&nbsp;:
 
 <example>
 # Vérifie les mesures de sécurité Debian chaque jour à 1h00
@@ -173,7 +173,7 @@
 
 <p>Le fait est que certains problèmes de sécurité peuvent apparaître dans
 unstable et <em>pas</em> dans la distribution <em>stable</em>. Cela est dû aux
-nouvelles fonctionnalités ajoutés constamment aux applications fournies, ainsi
+nouvelles fonctionnalités ajoutées constamment aux applications fournies, ainsi
 qu'aux nouvelles applications incluses qui peuvent ne pas encore avoir été
 testées en profondeur.
 
@@ -228,8 +228,8 @@
 
 <sect1>Mises à jour automatiques dans un système Debian GNU/Linux
 
-<p>Tout d'abord, les mises à jour automatiques ne sont complètement recommandées
-car les administrateurs devraient vérifier les DSA et comprendre l'imact de
+<p>Tout d'abord, les mises à jour automatiques ne sont pas complètement recommandées
+car les administrateurs devraient vérifier les DSA et comprendre l'impact de
 toute mise à jour de sécurité donnée.
 
 <p>Si vous voulez mettre à jour votre système automatiquement, vous
@@ -239,7 +239,7 @@
 
 <item>Configurer <prgn>apt</prgn> pour que les paquets que vous ne voulez pas
 mettre à jour restent à leur version actuelle, soit avec
-la fonctionnalité de <em>pinning</em> d'<prgn>apt</prgn>, soit en les marquant comme
+la fonctionnalité d'étiquetage d'<prgn>apt</prgn>, soit en les marquant comme
 <em>hold</em> (à garder) avec <prgn>dpkg</prgn> ou <prgn>dselect</prgn>.
 
 <p>Pour conserver les paquets à une version donnée, vous devez éditer
@@ -303,13 +303,13 @@
 
 <p>Si vous avez une distribution mixte, c'est-à-dire, une installation de
 <em>stable</em> avec des paquets mis à jour de <em>testing</em> ou
-d'<em>unstable</em>, vous pouvez jouez avec les préférences de pinning ainsi
+d'<em>unstable</em>, vous pouvez jouez avec les préférences d'étiquetage ainsi
 qu'avec l'option <tt>--target-release</tt> d'<prgn>apt-get</prgn> pour ne mettre
 à jour <em>que</em> les paquets que vous avez mis à jour.
 <footnote>C'est un problème courant car beaucoup d'utilisateurs veulent
 conserver un système stable tout en mettant à jour certains paquets avec
 <em>unstable</em> pour obtenir les dernières fonctionnalités. Ce besoin provient
-de l'volution plus rapide de certains projets que le temps entre les
+de l'évolution plus rapide de certains projets que le temps entre les
 distributions <em>stable</em> de Debian.</footnote>
 
 <sect id="periodic-integrity">Faites des tests d'intégrité périodiques
@@ -411,7 +411,7 @@
 id="http://www.prelude-ids.org"; name="Prelude">.
 
 <p>
-Le paquet <package>snort</package> de Debian est activé avec de nombreuses vérifications de sécurité 
+Le paquet <package>snort</package> de Debian est installé avec de nombreuses vérifications de sécurité 
 activées par défaut. Toutefois, vous devriez prendre le temps de 
 personnaliser l'installation pour prendre en compte les services que vous
 utilisez sur votre système. Vous pouvez très bien aussi demander des vérifications
@@ -424,10 +424,10 @@
 signés) fournis par le responsable à
 <url id="http://people.debian.org/~ssmeenk/snort-stable-i386/";>.
 
-<p>Il y a d'autres plus simples outils qui peuvent être utilisés pour détecter
+<p>Il y a d'autres outils plus simples qui peuvent être utilisés pour détecter
 les attaques réseaux. <package>portsentry</package> est un autre paquet intéressant
 qui peut vous informer lorsqu'un scan de votre réseau est effectué sur votre site.
-D'autres outils comme que<package>ippl</package> ou
+D'autres outils comme que <package>ippl</package> ou
 <package>iplogger</package> peuvent aussi détecter certaines attaques IP (TCP et ICMP),
 même s'ils ne fournissent pas de techniques avancées pour détecter 
 les attaques réseaux (comme le ferait <prgn>snort</prgn>).
@@ -438,7 +438,7 @@
 
 <sect1>La détection d'intrusion fondée sur hôte 
 
-<p>La détection d'intrusion fondée sur l'hôte implique de charger des logiciel
+<p>La détection d'intrusion fondée sur l'hôte implique de charger des logiciels
 sur le système à étudier qui utilise les fichiers de journaux et/ou les
 programmes d'audit du système comme source de données. Il scrute les processus
 suspects, scrute les accès d'hôtes et peut même scruter les changements aux
@@ -485,8 +485,8 @@
 
 <p>
 Les portes dérobées des LKM peuvent être plus sophistiquées et moins détectables
-que des rootkits traditionnels. Ils peuvent cacher des proce, des fichiers, 
-répertoires et même des connexions sans modifier les codes 
+que des rootkits traditionnels. Ils peuvent cacher des processus, des fichiers, 
+des ²répertoires et même des connexions sans modifier les codes 
 sources des binaires.
 Par exemple, un LKM <!-- malicious  --> peut forcer le noyau à cacher des
 processus spécifiques dans <file>procps</file> pour que même une bonne copie du
@@ -572,7 +572,7 @@
 </list>
 
 <p>
-Si vous n'avez pas l'utilité de toutes ces fonctionnalités de noayau sur votre 
+Si vous n'avez pas l'utilité de toutes ces fonctionnalités du noyau sur votre 
 système GNU/Linux, vous pouvez vouloir désactiver le support des modules 
 chargeables lors de la configuration du noyau. Pour désactiver le support des
 modules chargeables, positionnez simplement CONFIG_MODULES=n lors de l'étape de

Reply to: