Frédéric Bothamy <frederic.bothamy@free.fr> (16/05/2005): > Merci d'avance pour les relectures. Une relecture de quelques passages. Une remarque en particulier : dans le copyleft, il est spécifié : <p>Permission is granted to copy and distribute translations of this document into another language, under the above conditions for modified versions, except that this permission notice may be included in translations approved by the Free Software Foundation instead of in the original English. J'imagine que la traduction de cette notice n'a pas été approuvée... -- Thomas Huriaux
Index: securing-howto//fr/after-compromise.sgml
===================================================================
RCS file: /cvs/debian-doc/ddp/manuals.sgml/securing-howto/fr/after-compromise.sgml,v
retrieving revision 1.8
diff -u -r1.8 after-compromise.sgml
--- securing-howto//fr/after-compromise.sgml 15 May 2005 11:32:49 -0000 1.8
+++ securing-howto//fr/after-compromise.sgml 17 Jul 2005 09:25:57 -0000
@@ -7,32 +7,30 @@
<sect>Comportement général
<p>Si vous êtes physiquement présent quand l'attaque se déroule et que faire
-ce qui suit n'a pas d'effet fâcheux sur vos transactions d'affaires,
+ce qui suit n'a pas d'effet fâcheux sur vos transactions commerciales,
votre première réaction devrait être de débrancher simplement la machine du
réseau en débranchant la carte réseau.
-<!-- jusqu'a ce que vous puissiez comprendre ce que l'intrus a fait et de sécuriser -->
-<!-- votre machine -->
-La désactivation du réseau à la couche 1 est le seul vrai moyen
-de garder un attaquant hors d'une machine compromise. (Conseil sage de Phillip Hofmeister)
+La désactivation du réseau au premier niveau est le seul vrai moyen
+de garder un attaquant en dehors d'une machine compromise (conseil avisé de Phillip Hofmeister).
-<p>Cependant, certains rootkits et back doors sont capables de détecter cet
+<p>Cependant, certains rootkits ou accès cachés sont capables de détecter cet
événement et d'y réagir. Voir un <tt>rm -rf /</tt> s'exécuter quand vous
-débranchez le réseau dy système n'est pas vraiment très drole. Si vous ne
+débranchez le réseau du système n'est pas vraiment très drôle. Si vous ne
désirez pas prendre le risque et que vous êtes sûr que le système est compromis,
vous devriez <em>débrancher le cable d'alimentation</em> (tous les cables
d'alimentation s'il y en a plusieurs) et croiser les doigts. Ceci peut être
-extrême, mais en fait cela évitera toute bombe logique que l'intrus pourrait
+extrême, mais en fait cela désamorcera toute bombe à retardement que l'intrus pourrait
avoir programmé. Dans ce cas, le système compromis <em>ne doit pas être
redémarré</em>. Soit le disque dur devrait être déplacé sur un autre système
pour analyse, soir vous devriez utiliser un autre support (un CD-ROM) pour
amorcer le système et pour l'analyser. Vous <em>ne devez pas</em> utiliser les
disquettes de récupération de Debian pour amorcer le système, mais vous
<em>pouvez</em> utiliser le shell fourni par les disquettes d'installation
-(rappelez-vous qu'Alt+F2 vous y amènera) pour analyser le système.
+(rappelez-vous que Alt+F2 vous y amènera) pour analyser le système.
<footnote>
Si vous êtes aventureux, vous pouvez vous connecter au système et sauver les
-informations sur tous les processus en fonctionnement (vous en aurez beaucoup avec
+informations sur tous les processus en fonctionnement (vous en aurez beaucoup dans
/proc/nnn/). Il est possible d'avoir l'intégralité du code exécutable depuis la
mémoire, même si l'attaquant a supprimé les fichiers exécutables du disque. Puis
tirez sur le cordon d'alimentation.
@@ -40,9 +38,9 @@
<p>La méthode la plus recommandée pour récupérer un système compromis est
d'utiliser un système de fichiers autonome sur un CD-ROM avec tous les outils (et
-les modules noyau) dont vous pouvez avoir besoin pour accéder au système
+les modules du noyau) dont vous pouvez avoir besoin pour accéder au système
compromis. Vous pouvez utiliser le paquet <package>mkinitrd-cd</package> pour
-construire un tel CDROM<footnote>En fait, c'est l'outil utilisé pour construire
+construire un tel CD-ROM<footnote>En fait, c'est l'outil utilisé pour construire
les CD-ROM pour le projet <url id="http://www.gibraltar.at/"; name="Gibraltar">
(un pare-feu sur un CD-ROM autonome basé sur la distribution
Debian).</footnote>. Vous pourriez également trouver que le CD-ROM <url
@@ -54,11 +52,11 @@
<package>mkinitrd-cd</package> (vous devrez donc lire la documentation fournie
avec celui-ci pour faire vos propres CD-ROM).
-<p>Si vous voulez réellement corriger la compromission rapidement, vous devriez
+<p>Si vous voulez corriger la compromission vraiment rapidement, vous devriez
retirer l'hôte compromis du réseau et réinstaller le système d'exploitation à
partir de zéro. Cela pourrait n'avoir aucun effet si vous ne savez pas comment
-l'intrus est devenu root. Dans ce cas vous devez tout vérifier : pare-feu,
-intégrité fichier, journaux de l'hôte de journalisation, etc. Pour
+l'intrus a obtenu les droits du superutilisateur. Dans ce cas vous devez tout vérifier : pare-feu,
+intégrité des fichiers, journaux de l'hôte de journalisation, etc. Pour
plus d'informations sur quoi faire après une intrusion, voir <url name="Sans'
Incident Handling Guide" id="http://www.sans.org/y2k/DDoS.htm";> ou
<url id="http://www.cert.org/tech_tips/root_compromise.html";
@@ -70,13 +68,13 @@
<sect>Sauvegarde du système
<p>Rappelez-vous que si vous êtes sûr que le système a été compromis, vous
-ne pouvez faire confiance aux logiciels qui s'y trouvent ou à n'importe quelle
+ne pouvez pas faire confiance aux logiciels qui s'y trouvent ou à n'importe quelle
autre information qu'il vous donne. Les applications pourraient contenir un
-trojan, des modules noyau pourraient être installés, etc.
+trojan, des modules noyau pourraient être installés, etc...
<p>La meilleure chose à faire est une sauvegarde complète du système de fichiers
-(en utilisant <prgn>dd</prgn>) après avoir démarré d'un média sûr. Les CDs
-Debian GNU/Linux peuvent utiles pour cela car il fournissent un shell en
+(en utilisant <prgn>dd</prgn>) après avoir démarré depuis un média sûr. Les CD-ROMs
+Debian GNU/Linux peuvent être utiles pour cela car ils fournissent un shell en
console 2 quand l'installation est commencée (allez-y en utilisant Alt+2 et en
appuyant sur la touche Entrée). Le shell peut être utilisé pour sauvegarder les
informations vers un autre endroit si possible (peut-être un serveur de fichier réseau à
@@ -84,13 +82,13 @@
réinstallé).
<p>Si vous êtes sûr qu'il y a seulement un module noyau trojan, vous pouvez
-essayer d'exécuter l'image noyau du CD en mode <em>rescue</em>. Assurez-vous
+essayer d'exécuter l'image noyau du CD-ROM en mode <em>rescue</em>. Assurez-vous
aussi de démarrer en mode <em>single</em> de façon à ce qu'aucun autre processus
trojan ne s'exécute après le noyau.
<sect>Contacter votre CERT local
<p>Le CERT (<em>Computer and Emergency Response Team</em>) est une organisation
-qui peut vous aider à récupérer d'une compromission d'un système. Il y a des
+qui peut vous aider à récupérer un système compromis. Il y a des
CERT partout dans le monde
<footnote>
Voici une liste de quelques CERT, pour la liste complète, consultez le
@@ -121,10 +119,10 @@
<p>Fournir à votre CERT (ou au centre de coordination CERT) des informations sur
la compromission même si vous ne demandez pas d'aide peut également aider
-d'autres personnes car les informations aggrégées des incidents reportés sont
+d'autres personnes car les informations agrégées des incidents reportés sont
utilisées pour déterminer si une faille donnée est répandue, s'il y a un nouveau
ver dans la nature, quels nouveaux outils d'attaque sont utilisés. Cette
-information est utilisé pour fournir à la communeauté Internet des information
+information est utilisé pour fournir à la communauté Internet des informations
sur les <url id="http://www.cert.org/current/"; name="activités actuelles des
incidents de sécurité"> et pour publier des
<url id="http://www.cert.org/incident_notes/"; name="notes d'incident"> et même
@@ -134,7 +132,7 @@
name="règles de compte-rendu d'incident du CERT">.
<p>Vous pouvez également utiliser un mécanisme moins formel si vous avez besoin
-d'aide pour récupérer d'un compromis ou si vous voulez discuter d'informations
+d'aide pour récupérer un système compromis ou si vous voulez discuter d'informations
d'incident. Cela inclut la
<url id="http://marc.theaimsgroup.com/?l=incidents"; name="liste de diffusion des
incidents"> et la
@@ -144,8 +142,8 @@
<sect>Analyse post-mortem
<p>Si vous souhaitez rassembler plus d'informations, le paquetage
<package>tct</package> (The Coroner's Toolkit de Dan Farmer et Wietse Venema) contient
-des utilitaires qui effectuent une analyse « post mortem » d'un système.
-<package>tct</package> permet à l'utilisateur de collecter des informations sur
+des utilitaires qui effectuent une analyse « post-mortem » d'un système.
+<package>Tct</package> permet à l'utilisateur de collecter des informations sur
les fichiers effacés, les processus qui s'exécutent et plus. Voir la documentation
incluse pour plus d'informations. Vous pouvez également regarder les paquets semblables
<url name="Sleuthkit and Autopsy" id="http://www.sleuthkit.org/";> par Brian Carrier.
@@ -172,7 +170,7 @@
un utilisateur avec des privilèges bas). Sinon votre propre système peut être
victime de la porte dérobée et également contaminé !
-<p>L'analyse post mortem devrait toujours être faite sur une copie de sauvegarde
+<p>L'analyse post-mortem devrait toujours être faite sur une copie de sauvegarde
des données, <em>jamais</em> sur les données elles-même car elles pourraient être
altérées par cette analyse (et toutes les preuves perdues).
@@ -181,9 +179,9 @@
un futur proche.
<p>FIXME: décrire comment faire des debsums sur un système stable avec md5sums
-sur un CD et avec le système de fichiers récupérés restorés sur une partition
+sur un CD-ROM et avec le système de fichiers récupérés restaurés sur une partition
séparée
-<p>FIXME ajouter des liens vers des papiers d'analyse post-mortem (comme le
-challnge inversé de Honeynet ou les <url id="http://staff.washington.edu/dittrich/";
+<p>FIXME ajouter des liens vers des articles d'analyse post-mortem (comme le
+challenge inversé de Honeynet ou les <url id="http://staff.washington.edu/dittrich/";
name="papiers de David Dittrich">).
Index: securing-howto//fr/after-install.sgml
===================================================================
RCS file: /cvs/debian-doc/ddp/manuals.sgml/securing-howto/fr/after-install.sgml,v
retrieving revision 1.21
diff -u -r1.21 after-install.sgml
--- securing-howto//fr/after-install.sgml 29 May 2005 21:32:31 -0000 1.21
+++ securing-howto//fr/after-install.sgml 17 Jul 2005 09:25:57 -0000
@@ -2,30 +2,30 @@
<chapt>Après l'installation
-<p>Une fois que le système est installé, vous pouvez encore faire plus pour
+<p>Une fois que le système est installé, vous pouvez encore en faire plus pour
sécuriser le système ; certaines des étapes décrites ci-dessous peuvent
être effectuées. Bien sûr, cela dépend vraiment de votre configuration, mais
-pour prévenir un accès physique, vous devriez lire <ref id="bios-boot">,<ref
-id="lilo-passwd">,<ref id="kernel-root-prompt">, <ref id="floppy-boot">, <ref
+pour prévenir un accès physique, vous devriez lire <ref id="bios-boot">, <ref
+id="lilo-passwd">, <ref id="kernel-root-prompt">, <ref id="floppy-boot">, <ref
id="restrict-console-login"> et <ref id="restrict-reboots">.
<p>Avant de vous connecter à tout réseau, particulièrement s'il s'agit d'un
-réseau public, vous devez, au minimum, exécuter une mise à jour de sécurité
-(voir <ref id="security-update">). Vous pouvez optionnellement prendre un
+réseau public, vous devriez, au minimum, faire une mise à jour de sécurité
+(voir <ref id="security-update">). Vous pouvez optionnellement faire un
instantané de votre système (voir <ref id="snapshot">).
<sect id="debian-sec-announce">S'abonner à la liste de diffusion Debian Security Announce
<p>Pour recevoir des informations sur les mises à jour de sécurité disponibles,
vous devriez vous abonner à la liste de diffusion debian-security-announce pour
-recevoir les Avis de Sécurité Debian<footnote>
-Debian Security Advisories</footnote> (DSAs). Voir <ref id="debian-sec-team">
+recevoir les bulletins de sécurité de Debian<footnote>
+Debian Security Advisories (DSA)</footnote>. Voir <ref id="debian-sec-team">
pour plus d'informations sur la façon dont fonctionne l'équipe de sécurité
Debian. Pour des informations sur l'inscription aux listes de diffusion Debian,
lisez <url id="http://lists.debian.org";>.
-<p>Les DSAs sont signées par la signature de l'équipe de sécurité Debian qui
-peut être récupérée depuis <url id="http://security.debian.org";>.
+<p>Les DSA sont signées par la signature de l'équipe de sécurité Debian qui
+peut être récupérée sur <url id="http://security.debian.org";>.
<p>Vous devriez également envisager de vous abonner à la <url
id="http://lists.debian.org/debian-security"; name="liste de diffusion
@@ -37,37 +37,37 @@
<p>FIXME: ajouter la clé ici également ?
-<sect id="security-update">Se mettre à jour au niveau de la sécurité
+<sect id="security-update">Faire une mise à jour de sécurité
<p>
Dès que de nouveaux bogues de sécurité sont décelés dans les paquets, les
-responsables Debian et les auteurs en amont les corrigent dans les journées ou les
+responsables Debian et les auteurs amont les corrigent généralement dans les journées ou les
heures suivantes. Une fois le bogue résolu, un nouveau paquet est fourni sur <url
name="http://security.debian.org"; id="http://security.debian.org";>.
-<p>Si vous installez une version de Debian, vous devez prendre en compte qu'il a
-pu y avoir des mises à jour de sécurité depuis la publication après qu'il a été
-déterminé qu'un paquet donné est vulnérable. Ainsi, il a pu y avoir des révisions
-mineures (il y en a eu sept dans la version Debian 2.2 <em>Potato</em>) incluant
+<p>Si vous installez une publication de Debian, vous devez prendre en compte le fait qu'il a
+pu y avoir des mises à jour de sécurité depuis la parution, à chaque fois après qu'un paquet a été
+découvert comme vulnérable. Ainsi, il a pu y avoir des révisions
+mineures (il y en a eu sept dans la version Debian 2.2 <em>Potato</em>) incluant
ces mises à jour de paquets.
<p>Vous devez noter la date à laquelle votre support amovible (si vous en
utilisez un) a été créé et vérifier le site de sécurité pour savoir s'il y a eu
-des mises à jour de sécurité. S'il y en a et que vous ne pouvez pas télécharger
+des mises à jour de sécurité. S'il y en a eu et que vous ne pouvez pas télécharger
les paquets du site de sécurité sur un autre système (vous n'êtes pas encore
connecté à l'Internet, n'est-ce pas ?) avant de vous connecter au réseau,
-vous devriez évaluer (si vous n'êtes pas protégé par un pare-feu par exemple)
+vous devriez envisager (si vous n'êtes pas protégé par un pare-feu par exemple)
d'ajouter des règles de pare-feu pour que votre système ne puisse se connecter
qu'à security.debian.org et ensuite réaliser la mise à jour. Une configuration
exemple est donnée dans <ref id="fw-security-update">.
-<p><em>Remarque :</em>Depuis Debian Woody 3.0, après l'installation, il
+<p><em>Remarque :</em> Depuis Debian Woody 3.0, après l'installation, il
vous est donné la possibilité d'ajouter les mises à jour de sécurité au système.
-Si vous répondez « oui » (yes ?) à cette question, le système d'installation
-prendra les étapes nécessaires pour ajouter la source pour les mises à jour de
-sécurité aux sources de paquets et votre système, s'il a une connexion Internet,
+Si vous répondez « oui » (<i>yes</i>) à cette question, le système d'installation
+fera les démarches nécessaires pour ajouter la source pour les mises à jour de
+sécurité aux sources de paquets et votre système, si vous êtes connecté à l'Internet,
téléchargera et installera toutes les mises à jour de sécurité qui auront pu
-être produites depuis la création de votre support. Si vous mettez à jour depuis
+être produites depuis la création de votre support. Si vous mettez à niveau depuis
une version précédente de Debian ou si vous demandez au système de ne pas faire
cela, vous devriez suivre les étapes décrites ici.
@@ -86,13 +86,13 @@
<list>
<item>Si vous voulez utiliser <package>apt</package>, exécutez simplement (en
-tant que root) :
+tant que superutilisateur) :
<example>
# apt-get update
# apt-get upgrade
</example>
<item>Si vous voulez utiliser <package>dselect</package>, choisissez
-tout d'abord [M]ise à jour ([U]pdate), puis [I]nstaller ([I]nstall) et
+tout d'abord [M]?ise à jour ([U]pdate), puis [I]nstaller ([I]nstall) et
enfin [C]onfigurer ([C]onfigure) pour mettre à jour et installer les paquets.
</list>
@@ -132,28 +132,28 @@
démons qui fonctionnent avec une mise à jour peuvent encore utiliser les
anciennes bibliothèques après la mise à jour<footnote>Bien que les
bibliothèques aient été supprimées du système de
-fichiers, les i-noeuds ne seront pas nettoyés tant qu'un programme a
+fichiers, les i-noeuds? ne seront pas nettoyés tant qu'un programme a
encore un descripteur de fichier pointant dessus</footnote>. Pour détecter
quels démons peuvent devoir être redémarrés, vous pouvez utiliser le
programme <prgn>checkrestart</prgn> (disponible dans le paquet
-<package>debian-goodies</package>) ou utiliser cet ligne de commande (en
-tant que root) :
+<package>debian-goodies</package>) ou utiliser cette ligne de commande (en
+tant que superutilisateur) :
<example>
# lsof | grep dpkg- | awk '{print $1, $8}' | sort +0
</example>
<P>Certains paquets (comme <package>libc6</package>) feront cette
-vérification dans la phase de post-installation pour un nombre limité de
-services en particulier car une mise à jour de bibliothèques
+vérification dans la phase de postinstallation pour un nombre limité de
+services, en particulier car une mise à jour de bibliothèques
essentielles peut casser certaines applications (avant leur
redémarrage)<footnote>Ceci s'est produit, par exemple, dans la mise à
-jour de la libc6 2.2.x à la 2.3.x à cause de problèmes
+jour de la libc6 2.2.x à la 2.3.x à cause de problèmes
d'authentification NSS, voir <url
id="http://lists.debian.org/debian-glibc/2003/debian-glibc-200303/msg00276.html";>.</footnote>.
<P>Faire passer le système en niveau d'exécution 1 (utilisateur
-seul), puis ensuite au niveau d'exécution 3 (multi-utilisateurs)
+seul), puis ensuite au niveau d'exécution 3 (multiutilisateur)
devrait entraîner le redémarrage de la plupart (si ce n'est tous) des
services système. Mais cela n'est pas une possibilité si vous exécutez
la mise à jour de sécurité depuis une connexion distante (comme ssh) car
@@ -162,7 +162,7 @@
<p>Apportez le plus grand soin lors des mises à jour de sécurité si vous
les réalisez depuis une connexion à distance comme ssh. Une procédure
suggérée pour une mise à jour de sécurité qui implique un redémarrage de
-service est de redémarrer le démon SSH, puis immédiatement de tenter une
+services est de redémarrer le démon SSH, puis immédiatement de tenter une
nouvelle connexion ssh sans interrompre la précédente. Si la connexion
échoue, annulez la mise à jour et analysez le problème.
@@ -181,27 +181,27 @@
kernel-image-2.4.27-2-686: /boot/vmlinuz-2.4.27-2-686
</example>
-<p>Si votre noyau n'est pas géré par ce système, vous verrez un message
+<p>Si votre noyau n'est pas géré, vous verrez un message
indiquant que le gestionnaire de paquets n'a pas trouvé le fichier
-associé à un paquet au lieu du message ci-dessus qui veut dire que
+associé à un paquet au lieu du message ci-dessus, qui dit que
le fichier associé au noyau actuellement en fonctionnement est fourni
par le paquet <package>kernel-image-2.4.27-2-686</package>. Dans le
premier cas, vous devrez installer manuellement un paquet d'image de
-noyau. L'image de noyau exact que vous devez installer dépend de votre
+noyau. L'image exacte du noyau que vous devez installer dépend de votre
architecture et de votre version de noyau préférée. Une fois ceci fait,
vous pourrez gérer les mises à jour de sécurité du noyau comme pour tout
-autre paquet. Dans tous les cas, notez que les mises à jour de noyau ne
-seront faites <em>que</em> pour la même version de noyau que celui que vous
+autre paquet. Dans tous les cas, notez que les mises à jour du noyau ne
+seront faites <em>que</em> pour la même version du noyau que celui que vous
utilisez, c'est-à-dire que <prgn>apt</prgn> ne va pas mettre à jour
automatiquement votre noyau de la version 2.4 à la version 2.6
(ou de la version 2.4.26 à la version 2.4.27<footnote>Sauf si
-vous avez installé un méta-paquet de noyau comme
+vous avez installé un métapaquet de noyau comme
<package>kernel-image-2.4-686</package> qui va toujours tirer la
dernière révision mineure de noyau pour une version de noyau et une
architecture donnée</footnote>).
<p>Le système d'installation de la version 3.1 de Debian gérera le
-noyau sélectionné (soit 2.4 ou 2.6) comme partie du système de gestion
+noyau sélectionné (2.4 ou 2.6) comme partie du système de gestion
des paquets. Vous pouvez vérifier quels noyaux sont installés en exécutant :
<example>
@@ -242,14 +242,14 @@
name="Remotely rebooting Debian GNU/Linux machines">). Pour le second
point, vous devez introduire un script de test de connectivité réseau
qui vérifiera si le noyau a lancé le sous-système réseau correctement
-et qui redémarrera le système si ce n'est pas le cas<footnote>Un exemple de
+et qui redémarrera le système si ce n'est pas le cas<footnote>Un exemple d'un
tel script appelé
<url id="http://www.debian-administration.org/articles/70/testnet"; name="testnet">
est disponible dans l'article <url id="http://www.debian-administration.org/?article=70";
name="Remotely rebooting Debian GNU/Linux machines">. Un script de test
de connectivité réseau plus élaboré est disponible dans l'article
<url id="http://www.debian-administration.org/?article=128";
-name="Testing network connectivity">.</footnote>. Ceci devrait prévenir
+name="Testing network connectivity">.</footnote>. Ceci devrait éviter
des surprises désagréables comme une mise à jour du noyau en réalisant
après un redémarrage qu'il n'a pas détecté ou configuré le matériel
réseau correctement et que vous devez parcourir une longue distance pour
Index: securing-howto//fr/before-install.sgml
===================================================================
RCS file: /cvs/debian-doc/ddp/manuals.sgml/securing-howto/fr/before-install.sgml,v
retrieving revision 1.17
diff -u -r1.17 before-install.sgml
--- securing-howto//fr/before-install.sgml 16 Jul 2005 23:56:59 -0000 1.17
+++ securing-howto//fr/before-install.sgml 17 Jul 2005 09:25:57 -0000
@@ -21,7 +21,7 @@
<p>Remarque : certains BIOS ont des mots de passe par défaut bien connus
et des applications existent également pour récupérer les mots de passe du BIOS.
-Corrolaire : ne dépendez pas de cette mesure pour sécuriser l'accès console
+Corollaire : ne dépendez pas de cette mesure pour sécuriser l'accès console
du système.
<sect>Partitionner le système <!-- l'espace disque ? FBO -->
@@ -35,10 +35,10 @@
<list>
<item>Une arborescence de répertoires modifiables par un utilisateur,
telles que <file>/home</file>, <file>/tmp</file> et <file>/var/tmp</file>, doit être sur une partition distincte.
-Cela réduit le risque qu'un déni de service par utilisateur <!-- malveillant -->
+Cela réduit le risque qu'un déni de service soit provoqué par un utilisateur <!-- malveillant -->
<!-- bof, l'utilisateur n'est pas nécessairement malveillant --> <!-- c'est bien : a user
-DoS, deny of service par un utilisateur que tu traduis ? --> remplisse
-votre point de montage « / » et rende votre système inutilisable
+DoS, deny of service par un utilisateur que tu traduis ? --> en remplissant
+votre point de montage « / » rendant ainsi votre système inutilisable
(Note : ce n'est pas strictement vrai car il existe toujours un espace
réservé à l'utilisateur root qu'un utilisateur normal ne pourra pas remplir) et
cela empêche les attaques de « liens durs » (<em>hardlinks</em>).
@@ -52,7 +52,7 @@
dans laquel un utilisateur local <em>cache</em> profondément une application
setuid vulnérable en faisant un lien dur sur celle-ci, évitant de manière
efficace toute mise à jour (ou suppression) du binaire lui-même réalisé par
-l'administrateur du système. dpkg a été récemment corrigé pour empêcher cela (voir <url
+l'administrateur du système. Dpkg a été récemment corrigé pour empêcher cela (voir <url
id="http://bugs.debian.org/225692"; name="225692">), mais d'autres binaires
setuid (non contrôlés par le gestionnaire de paquets) sont risqués si les
partitions ne sont pas mises en place correctement.
@@ -85,7 +85,7 @@
répertoire est sur une partition séparée, cette situation ne rendra pas le
système inutilisable. Sinon (si le répertoire est sur la même partition que
<file>/var</file>), le système pourrait avoir d'importants problèmes : les
-entrées des journaux ne seront pas créées, aucun paquet ne pourra être installé
+entrées des journaux ne seront pas créées, aucun paquet ne pourra plus être installé
et certains programmes pourraient même avoir des problèmes à être exécutés
(s'ils utilisent <file>/var/run</file>).
@@ -113,7 +113,7 @@
vous êtes moins susceptible de perdre des données pendant le redémarrage
matériel.
-<item>pour le systèmes de production qui stockent des quantités importantes de
+<item>pour les systèmes de production qui stockent des quantités importantes de
données (comme les serveurs de courriers, les serveurs FTP, les systèmes de
fichiers en réseau, etc.), cela est recommandé pour ces partitions. Ainsi, en
cas de plantage du système, le serveur nécessitera moins de temps pour récupérer
@@ -142,10 +142,10 @@
alors que les autres ne font que de la journalisation par méta-données, voir
<url id="http://lwn.net/2001/0802/a/ext3-modes.php3";>.
-<sect>Ne pas se connecter à l'Internet tant que tout n'est pas prêt
+<sect>Ne pas se connecter à Internet tant que tout n'est pas prêt
<p>Le système ne devrait pas
-être connecté à l'Internet pendant l'installation. Ceci peut paraître
+être connecté à Internet pendant l'installation. Ceci peut paraître
stupide mais il faut savoir que l'installation par le réseau est une méthode
d'installation habituelle. Étant donné que le système
va installer et activer les services immédiatement, si le système est
@@ -162,12 +162,12 @@
<p>Étant donné que l'installation et les mises à jours peuvent être
faites par Internet, vous pourriez penser que c'est une bonne idée
d'utiliser cette caractéristique lors de l'installation. Si le système
-va être connecté directement à l'Internet (et pas protégé par un pare-feu
+va être connecté directement à Internet (et n'est pas protégé par un pare-feu
ou un NAT), il est plus judicieux de l'installer sans connexion
à Internet et d'utiliser un miroir local de paquets contenant à la fois les
paquets sources et les mises à jour de sécurité. Vous pouvez mettre en
place des miroirs de paquets en utilisant un autre système connecté à
-l'Internet et des outils spécifiques à Debian (si c'est un système
+Internet et des outils spécifiques à Debian (si c'est un système
Debian) tels que <package>apt-move</package> ou
<package>apt-proxy</package> ou tout autre outil de miroir pour fournir
l'archive aux systèmes installés. Si vous ne pouvez pas faire cela, vous pouvez
@@ -184,7 +184,7 @@
<p>
Beaucoup d'informations sur le choix de bons mots de passe peuvent être trouvées
-sur l'Internet ; deux URL qui fournissent un bon résumé et une
+sur Internet ; deux URL qui fournissent un bon résumé et une
argumentation sont les
<url name="How to: Pick a Safe Password"
id="http://wolfram.org/writing/howto/password.html";> de Eric Wolfram et
@@ -220,7 +220,7 @@
sur les mots de passe système. Concernant les mots de passe MD5, il s'agit de
l'option par défaut quand vous installez le paquet <package>passwd</package>.
Vous pouvez reconnaître les mots de
-passe md5 dans le fichier <file>/etc/shadow</file> par leur préfixe $1$.
+passe MD5 dans le fichier <file>/etc/shadow</file> par leur préfixe $1$.
<p>
Cela modifie tous les fichiers sous <file>/etc/pam.d</file> en modifiant la
@@ -277,7 +277,7 @@
super démon inetd (une ligne sera ajoutée à <file>/etc/inetd.conf</file>)
ou via un programme qui s'attache lui-même aux interfaces réseaux. Ces
programmes sont contrôlés via les fichiers <file>/etc/init.d</file> qui sont
-appelés lors du démarrage au moyen du mécanisme SysV (ou un autre) en
+appelés lors du démarrage au moyen du mécanisme System V (ou un autre) en
utilisant des liens symboliques dans <file>/etc/rc?.d/*</file> (pour plus
d'informations sur la manière dont cela est fait, lire
<file>/usr/share/doc/sysvinit/README.runlevels.gz</file>).
@@ -523,13 +523,13 @@
<sect1>Supprimer Perl
-<p>Vous devez prendre en compte qu'enlever <prgn>perl</prgn> peut ne pas très
+<p>Vous devez prendre en compte qu'enlever <prgn>perl</prgn> peut ne pas être très
simple (en fait, cela peut être assez difficile) sur un système Debian car il
est utilisé par beaucoup d'outils système. Le paquet
<package>perl-base</package> est également <em>Priority: required</em> (ce qui
veut tout dire). C'est tout de même faisable, mais vous ne pourrez pas exécuter
d'applications <prgn>perl</prgn> sur le système ; vous devrez également
-tromper le système de gestion des paquets pour lui faire croîre que le paquet
+tromper le système de gestion des paquets pour lui faire croire que le paquet
<package>perl-base</package> est installé même si ce n'est pas le cas.
<footnote>Vous pouvez créer (sur un autre système) un paquet bidon avec
<package>equivs</package>
@@ -624,7 +624,7 @@
</list>
-<p>Donc, sans Perl et à moins que vous ne ré-écriviez ces outils en script
+<p>Donc, sans Perl et à moins que vous ne réécriviez ces outils en script
shell, vous ne pourrez probablement pas gérer de paquets (vous ne pourrez donc
pas mettre à jour le système, ce qui n'est <em>pas une Bonne Chose</em>).
Index: securing-howto//fr/copyleft.sgml
===================================================================
RCS file: /cvs/debian-doc/ddp/manuals.sgml/securing-howto/fr/copyleft.sgml,v
retrieving revision 1.6
diff -u -r1.6 copyleft.sgml
--- securing-howto//fr/copyleft.sgml 11 May 2005 12:50:15 -0000 1.6
+++ securing-howto//fr/copyleft.sgml 17 Jul 2005 09:25:57 -0000
@@ -9,9 +9,9 @@
<p>Il vous est permis de copier, de distribuer et/ou de modifier ce
-document d'après le termes de la <url id="&gplhome;"
-name="licence publique générale GNU, Version 2"> ou toute version
-postérieure publiée par la Free Software Foundation. Nous le distribuons car
+document d'après les termes de la <url id="&gplhome;"
+name="licence publique générale GNU, Version 2"> ou toute version
+postérieure publiée par la <i>Free Software Foundation</i>. Nous le distribuons car
nous pensons qu'il peut vous être utile, mais SANS AUCUNE GARANTIE.
<p>Il est permis de faire et de distribuer des copies verbatim de ce document
@@ -19,13 +19,14 @@
préservées sur toutes les copies.
<p>Il est permis de copier et de distribuer des versions modifiées de ce
- document sous les conditions de copier verbatim, pourvu que le travail entier
+ document sous les mêmes conditions que pour les copies verbatim, pourvu que le travail entier
dérivé résultant est distribué sous les termes d'une notice de permission
identique à celle-ci.
<p>Il est permis de copier et de distribuer des traductions de ce document
dans une autre langue, sous les conditions ci-dessus pour les versions
modifiées, excepté que cette notice de permission peut être incluse dans les
- traductions approuvées au lieu de l'anglais d'origine.
+ traductions approuvées par la Free Soft... -> la traduction n'a sûrement pas été approuvée...
+ au lieu de l'anglais d'origine.
</copyright>
Index: securing-howto//fr/intro.sgml
===================================================================
RCS file: /cvs/debian-doc/ddp/manuals.sgml/securing-howto/fr/intro.sgml,v
retrieving revision 1.15
diff -u -r1.15 intro.sgml
--- securing-howto//fr/intro.sgml 16 Jul 2005 23:51:09 -0000 1.15
+++ securing-howto//fr/intro.sgml 17 Jul 2005 09:25:57 -0000
@@ -8,11 +8,11 @@
sécurité liés à un site individuel, une machine ou un réseau. Par exemple,
les exigences que l'on a pour une utilisation familiale n'ont rien de comparable
aux exigences que l'on trouve dans le réseau d'une banque. Alors que dans le
-premier cas, l'utilisateur aura à affonter de simples scripts d'attaque,
+premier cas, l'utilisateur aura à affronter de simples scripts d'attaque,
le réseau d'une banque sera, lui, sous la menace d'attaques directes.
De plus, la banque se doit de protéger l'exactitude des données clients.
Il faudra donc que chaque utilisateur trouve le bon compromis entre
-facilité d'utilisation et une sécurité outrancière (paranoïaque ?).
+la facilité d'utilisation et la sécurité poussée à l'extrême.
<p>
Prenez conscience que cet ouvrage traite uniquement des questions liées
@@ -28,7 +28,7 @@
<p>
Ce document donne simplement un aperçu de ce qu'il est possible de
faire pour accroître la sécurité de votre système Debian GNU/Linux.
-Si vous avez d'ores et déjà lu des ouvrages traitant de la sécurité
+Si vous avez déjà lu des ouvrages traitant de la sécurité
sous Linux, vous trouverez des similitudes avec ce document. Ce manuel
ne prétend pas être l'ultime source d'informations à laquelle vous devez
vous référer. Il essaye seulement d'adapter ces informations pour le
@@ -42,16 +42,16 @@
<p>
Le responsable actuel de ce document est <url name="Javier
Fernández-Sanguino Peña" id="mailto:jfs@debian.org";>. Veuillez lui envoyer vos
-commentaires, ajouts et suggestions et ils seront considérés pour inclusion dans
-de futures versions de ce manuel.
+commentaires, ajouts et suggestions et ils seront examinés pour une possible inclusion dans
+les prochaines versions de ce manuel.
-<p>Ce manuel a commencé en tant que <em>HOWTO</em> par <url name="Alexander
+<p>Ce manuel a été lancé en tant que <em>HOWTO</em> par <url name="Alexander
Reelsen" id="mailto:ar@rhwd.de";>. Après sa publication sur l'Internet, <url
name="Javier Fernández-Sanguino Peña" id="mailto:jfs@debian.org";> l'a incorporé
dans le <url name="Projet de Documentation Debian"
id="http://www.debian.org/doc";>. Un certain nombre de personnes ont contribué à
-ce manuel (toutes les contributions sont listées dans le changelog), mais les
-personnes suivantes méritent une mention spéciale car elles ont fournit des
+ce manuel (toutes les contributions sont listées dans le fichier changelog), mais les
+personnes suivantes méritent une mention spéciale car elles ont fourni des
contributions significatives (des sections, chapitres ou appendices
complets) :
@@ -82,14 +82,14 @@
Vous pouvez également télécharger le document au <url
id="http://www.debian.org/doc/manuals/securing-debian-howto/securing-debian-howto.fr.txt";
name="format texte"> sur le site du projet de documentation
-Debian. D'autres formats, tel que le PDF, ne sont pas encore
+Debian. D'autres formats, tels que le PDF, ne sont pas (encore)
fournis. Cependant, vous pouvez télécharger ou installer le paquet
<url id="http://packages.debian.org/harden-doc"; name="harden-doc"> qui
offre ce même document dans les formats HTML, txt et PDF (en langue
anglaise). Veuillez cependant noter que le paquet peut ne pas être tout
à fait à jour avec le document fourni sur l'Internet (mais vous pouvez
toujours utiliser le paquet source pour construire vous-même une version
-à jour !).
+à jour).
<!--
<p>
@@ -120,7 +120,7 @@
ajouts ou suggestions.
<p>
-Si vous pensez que pouvez vous occuper d'une partie en particulier
+Si vous pensez que vous pouvez vous occuper d'une partie en particulier
ou d'un paragraphe, écrivez au responsable du document. Cela sera apprécié !
En particulier, si vous trouvez une section estampillée « FIXME »,
qui signifie que les auteurs n'ont pas eu le temps ou les connaissances
@@ -135,16 +135,16 @@
<p>
L'installation de Debian GNU/Linux n'est pas très difficile et vous
avez sans doute été capable de l'installer. Si vous disposez déjà de
-connaissances concernant Linux ou d'autres Unix et si vous êtes quelque
+connaissances concernant Linux ou d'autres systèmes Unix et si vous êtes quelque
peu familier avec les problèmes élémentaires de sécurité, il vous sera plus
facile de comprendre ce manuel, car ce document ne peut pas entrer dans tous
les petits détails (sans quoi cela aurait été un livre plutôt qu'un manuel).
-Si vous n'êtes pas si familier que cela, vous pouvez consulter
+Si vous n'êtes pas si familier que cela avec ces systèmes, vous pouvez consulter
<ref id="references"> pour savoir où trouver des informations plus
approfondies sur le sujet.
-<sect>Éléments restants à écrire (FIXME/TODO)
+<sect>Éléments restant à écrire (FIXME/TODO)
<p>Cette section décrit toutes les choses à corriger dans ce manuel.
Certains paragraphes incluent des marques <em>FIXME</em> ou
@@ -161,18 +161,18 @@
<p>
<list>
-<item>Développer les informations sur la réponse d'incident (?),
+<item>Développer les informations sur la réponse aux incidents,
peut-être ajouter quelques idées dérivées du Guide de la sécurité de
Red Hat au
-<url id="http://www.redhat.com/docs/manuals/linux/RHL-9-Manual/security-guide/ch-response.html"; name="chapitre sur la réponse d'incident">.
+<url id="http://www.redhat.com/docs/manuals/linux/RHL-9-Manual/security-guide/ch-response.html"; name="chapitre sur la réponse aux incidents">.
<item>Écrire sur les outils de surveillance à distance (pour vérifier
la disponibilité du système) tels que <package>monit</package>,
<package>daemontools</package> et <package>mon</package>. Voir <url
id="http://linux.oreillynet.com/pub/a/linux/2002/05/09/sysadminguide.html";>.
-<item>Envisager la rédaction d'une section sur la construction d'application
-orientée réseau pour Debian (avec des informations telles que
+<item>Envisager la rédaction d'une section sur la construction d'applications
+orientées réseau pour Debian (avec des informations telles que
le système de base, <package>equivs</package> et FAI).
<item>Vérifier si <url id="http://www.giac.org/practical/gsec/Chris_Koutras_GSEC.pdf";> n'a pas
@@ -188,7 +188,7 @@
<item>Paramétrage d'un serveur mandataire pare-feu avec Debian
GNU/Linux et faire un état des lieux des paquets fournissant des
services <em>proxy</em> (tels que
-<package>xfwp</package>,<package>xproxy</package>,
+<package>xfwp</package>, <package>xproxy</package>,
<package>ftp-proxy</package>, <package>redir</package>,
<package>smtpd</package>,
<package>dnrd</package>, <package>jftpgw</package>, <package>oops</package>,
Attachment:
pgpcWnGGEW6X6.pgp
Description: PGP signature