[RFR] ddp://manuals.sgml/securing-howto/fr/intro.sgml
Pour le robot, je renvoie ce courriel, car il n'avait pas le bon titre.
Prière de répondre à ce courriel et d'oublier l'autre sur le 7e chapitre.
Simon
Et voici un 7e chapitre à jour qui est prêt à être révisé.
Puisque la patche couvrait déjà la moitié du fichier original, j'ai
décidé d'inclure le fichier au complet afin de faciliter l'identification
d'erreurs potentielles dans les sections déjà traduites.
Le chapitre a été traduit en partie par Arnaud Février et en partie par
moi, car il a terminé la traduction d'un chapitre dont la traduction était
déjà avancée.
Ceci dit, ce n'était pas complètement une perte de temps, car je me
suis inspiré des 2 traductions pour avoir une meilleure traduction finale,
et que cela m'a tout de même fait sauver du temps car il me restait à
traduire les dernières révisions.
Simon Valiquette
Index: securing-howto/fr/intro.sgml
===================================================================
RCS file: /cvs/debian-doc/ddp/manuals.sgml/securing-howto/fr/intro.sgml,v
retrieving revision 1.20
diff -U 500 -r1.20 intro.sgml
--- securing-howto/fr/intro.sgml 6 Nov 2005 20:49:41 -0000 1.20
+++ securing-howto/fr/intro.sgml 13 Nov 2008 06:13:37 -0000
@@ -1,1327 +1,1554 @@
-<!-- CVS revision of original english document "1.38" -->
+<!-- CVS revision of original english document "1.74" -->
<chapt>Introduction
<p>
L'une des choses les plus difficiles dans l'écriture de documents liés à la
sécurité est que chaque cas est unique. Il faut prêter attention à deux
choses : la menace que constitue l'environnement et les besoins de
sécurité liés à un site individuel, une machine ou un réseau. Par exemple,
les exigences que l'on a pour une utilisation familiale n'ont rien de comparable
-aux exigences que l'on trouve dans le réseau d'une banque. Alors que dans le
+aux exigences que l'on retrouve dans le réseau d'une banque. Alors que dans le
premier cas, l'utilisateur aura à affronter de simples scripts d'attaque,
le réseau d'une banque sera, lui, sous la menace d'attaques directes.
-De plus, la banque se doit de protéger l'exactitude des données clients.
+De plus, la banque se doit de protéger l'exactitude des données de leurs clients.
Il faudra donc que chaque utilisateur trouve le bon compromis entre
la facilité d'utilisation et la sécurité poussée à l'extrême.
<p>
Prenez conscience que cet ouvrage traite uniquement des questions liées
aux logiciels. Le meilleur programme du monde ne pourra pas vous protéger
contre quelqu'un qui aura un accès physique à la machine. Vous pouvez mettre
votre machine sous votre bureau ou dans un bunker protégé par une armée.
Pourtant, un ordinateur de bureau avec une bonne configuration sera beaucoup
plus sûr (d'un point de vue logiciel) qu'un ordinateur protégé physiquement
si son disque dur est truffé de logiciels connus pour avoir des failles de
sécurité.
Bien entendu, vous devez prendre en compte les deux aspects.
<p>
Ce document donne simplement un aperçu de ce qu'il est possible de
faire pour accroître la sécurité de votre système Debian GNU/Linux.
Si vous avez déjà lu des ouvrages traitant de la sécurité
sous Linux, vous trouverez des similitudes avec ce document. Ce manuel
ne prétend pas être l'ultime source d'informations à laquelle vous devez
vous référer. Il essaye seulement d'adapter ces informations pour le
système Debian GNU/Linux. D'autres distributions procèdent de manière
différente pour certaines questions (le démarrage de démons est un
exemple courant) ; vous trouverez dans cet ouvrage les éléments
propres aux procédures et aux outils de Debian.
<sect id="authors">Auteurs
<p>
Le responsable actuel de ce document est <url name="Javier
Fernández-Sanguino Peña" id="mailto:jfs@debian.org";>. Veuillez lui envoyer vos
commentaires, ajouts et suggestions et ils seront examinés pour une possible inclusion dans
les prochaines versions de ce manuel.
<p>Ce manuel a été lancé en tant que <em>HOWTO</em> par <url name="Alexander
Reelsen" id="mailto:ar@rhwd.de";>. Après sa publication sur l'Internet, <url
name="Javier Fernández-Sanguino Peña" id="mailto:jfs@debian.org";> l'a incorporé
dans le <url name="Projet de Documentation Debian"
id="http://www.debian.org/doc";>. Un certain nombre de personnes ont contribué à
ce manuel (toutes les contributions sont listées dans le fichier changelog), mais les
personnes suivantes méritent une mention spéciale car elles ont fourni des
-contributions significatives (des sections, chapitres ou appendices
+contributions significatives (des sections, chapitres ou annexes
complets) :
<list>
<item>Stefano Canepa
<item>Era Eriksson
<item>Carlo Perassi
<item>Alexandre Ratti
<item>Jaime Robles
<item>Yotam Rubin
<item>Frederic Schutz
<item>Pedro Zorzenon Neto
<item>Oohara Yuuma
<item>Davor Ocelic
</list>
<sect>Où récupérer ce manuel (et formats disponibles)
<p>
Vous pouvez télécharger ou lire la dernière version du manuel de sécurisation
Debian sur le site du <url name="projet de documentation de Debian"
id="http://www.debian.org/doc/manuals/securing-debian-howto/";>.
Si vous lisez une copie depuis un autre site, veuillez vérifier la
version d'origine au cas où elle fournirait des informations plus
récentes. Si vous lisez une traduction, veuillez vérifier que la version
à laquelle se réfère cette traduction est la dernière version
disponible. Si vous notez que la version est en retard, veuillez
utiliser la version d'origine ou consultez le
<ref id="changelog"> pour voir ce qui a changé.
<!-- Note to translators: adjust the en.txt to XX.txt where XX is your
language code -->
<p>
Si vous désirez obtenir une copie complète de ce manuel, vous pouvez télécharger le document au <url
id="http://www.debian.org/doc/manuals/securing-debian-howto/securing-debian-howto.fr.txt";
name="format texte"> ou au <url id="http://www.debian.org/doc/manuals/securing-debian-howto/securing-debian-howto.fr.pdf";
name="format PDF"> depuis le site du projet de documentation Debian. Ces
versions peuvent être plus utiles si vous avez l'intention de copier le
document vers un machine portable pour lecture hors ligne ou si vous
voulez l'imprimer. Soyez prévenu que le manuel fait plus de deux cents
pages et que certains des fragments de code, à cause des outils de
formatage utilisés, ne sont pas coupés dans la version PDF et peuvent
donc s'imprimer de façon incomplète.
<p>Le document est également fourni aux formats texte, HTML et PDF dans
le paquet <url id="http://packages.debian.org/harden-doc";
name="harden-doc">. Cependant, notez que le paquet peut ne pas être tout
à fait à jour par rapport au document fourni sur le site Debian (mais vous
pouvez toujours utiliser le paquet source pour construire vous-même une
-version mise à jour).
+version à jour).
<p>Vous pouvez également vérifier les changements introduits dans le
document en consultant les informations de contrôle de version avec le <url
name="serveur CVS"
id="http://cvs.debian.org/ddp/manuals.sgml/securing-howto/?cvsroot=debian-doc";>.
<sect>Avis et réactions
<p>
Maintenant, la partie officielle. Pour l'instant, c'est moi
(Alexander Reelsen) qui ai écrit la plupart des paragraphes de ce manuel
mais, à mon avis, il ne faudrait pas que cela reste ainsi. J'ai grandi
et vécu avec les logiciels libres, c'est une part de ma vie de tous les jours
et, j'espère, de la vôtre aussi. J'encourage chacun à m'envoyer ses réactions, astuces,
ajouts ou suggestions.
<p>
Si vous pensez que vous pouvez vous occuper d'une partie en particulier
ou d'un paragraphe, écrivez au responsable du document. Cela sera apprécié !
En particulier, si vous trouvez une section estampillée « FIXME »,
qui signifie que les auteurs n'ont pas eu le temps ou les connaissances
requises pour s'en occuper, envoyez-leur un courrier immédiatement.
<p>
Le thème de ce manuel fait clairement comprendre qu'il est
important de tenir ce manuel à jour ; vous pouvez apporter
votre pierre à l'édifice. S'il vous plaît, aidez-nous.
<sect>Connaissances requises
<p>
L'installation de Debian GNU/Linux n'est pas très difficile et vous
avez sans doute été capable de l'installer. Si vous disposez déjà de
connaissances concernant Linux ou d'autres systèmes Unix et si vous êtes quelque
peu familier avec les problèmes élémentaires de sécurité, il vous sera plus
facile de comprendre ce manuel, car ce document ne peut pas entrer dans tous
les petits détails (sans quoi cela aurait été un livre plutôt qu'un manuel).
Si vous n'êtes pas si familier que cela avec ces systèmes, vous pouvez consulter
<ref id="references"> pour savoir où trouver des informations plus
approfondies sur le sujet.
<sect>Éléments restant à écrire (FIXME/TODO)
<p>Cette section décrit toutes les choses à corriger dans ce manuel.
Certains paragraphes incluent des marques <em>FIXME</em> ou
<em>TODO</em> décrivant quel contenu est manquant (ou quel type de
travail doit être réalisé). Le but de cette section est de décrire
toutes les choses qui devraient être incluses à l'avenir dans le manuel
ou les améliorations à faire (ou qu'il serait intéressant d'ajouter).
<p>Si vous pensez que vous pouvez apporter une contribution au contenu
en corrigeant tout élément de cette liste (ou des annotations dans le
texte lui-même), veuillez contacter l'auteur principal (<ref
id="authors">).
<p>
<list>
<item>Développer les informations sur la réponse aux incidents,
peut-être ajouter quelques idées dérivées du Guide de la sécurité de
Red Hat au
<url id="http://www.redhat.com/docs/manuals/linux/RHL-9-Manual/security-guide/ch-response.html"; name="chapitre sur la réponse aux incidents">.
<item>Écrire sur les outils de surveillance à distance (pour vérifier
la disponibilité du système) tels que <package>monit</package>,
<package>daemontools</package> et <package>mon</package>. Voir <url
id="http://linux.oreillynet.com/pub/a/linux/2002/05/09/sysadminguide.html";>.
<item>Envisager la rédaction d'une section sur la construction d'applications
orientées réseau pour Debian (avec des informations telles que
le système de base, <package>equivs</package> et FAI).
<item>Vérifier si <url id="http://www.giac.org/practical/gsec/Chris_Koutras_GSEC.pdf";> n'a pas
d'informations pertinentes non traitées ici.
<item>Ajouter des informations sur la manière de configurer un portable avec
-une Debian <url id="http://www.giac.org/practical/gcux/Stephanie_Thomas_GCUX.pdf";>.
+Debian <url id="http://www.giac.org/practical/gcux/Stephanie_Thomas_GCUX.pdf";>.
<item>Comment mettre en place un pare-feu en utilisant
Debian GNU/Linux. La section sur les pare-feux concerne actuellement un système isolé
(pas de protection d'autres machines,...). Comment tester la configuration.
<item>Paramétrage d'un serveur mandataire pare-feu avec Debian
GNU/Linux et faire un état des lieux des paquets fournissant des
services <em>proxy</em> (tels que
<package>xfwp</package>,
<package>ftp-proxy</package>, <package>redir</package>,
<package>smtpd</package>,
<package>dnrd</package>, <package>jftpgw</package>, <package>oops</package>,
<package>pdnsd</package>, <package>perdition</package>,
<package>transproxy</package>, <package>tsocks</package>). Renvoi au manuel
pour toute autre information. Considérer également que
<package>zorp</package> est maintenant disponible comme paquet Debian et qu'il
<em>s'agit</em> d'un mandataire pare-feu (il existe également des paquets
Debian fournis par les auteurs).
-<item>Informations sur la configuration de services avec file-rc
+<item>Informations sur la configuration des services avec file-rc.
<item>Vérifier toutes les URLs et supprimer ou corriger celles
qui ne sont plus disponibles.
<item>Ajouter des informations sur les substituts de serveurs
typiques (disponibles dans Debian) qui fournissent des
fonctionnalités restreintes. Par exemple :
- <list>
- <item>lpr local par cups (paquet) ? ;
-
- <item>lrp distant par lpr ;
-
- <item>bind par dnrd/maradns ;
-
- <item>apache par dhttpd/thttpd/wn (tux?) ;
-
- <item>exim/sendmail par ssmtpd/smtpd/postfix ;
-
- <item>squid par tinyproxy ;
-
- <item>ftpd par oftpd/vsftp ;
-
- <item>etc.
-
- </list>
-
+<list>
+<item>lpr local par CUPS (paquet) ? ;
+<item>lrp distant par lpr ;
+<item>Bind par dnrd/maradns ;
+<item>Apache par dhttpd/thttpd/wn (tux?) ;
+<item>Exim/Sendmail par ssmtpd/smtpd/postfix ;
+<item>Squid par tinyproxy ;
+<item>ftpd par oftpd/vsftpd ;
+<item>etc.
+</list>
<item>De plus amples informations concernant les
rustines spécialisées dans la sécurité du noyau dans
Debian, incluant celles montrées ci-dessus et ajouter
des informations spécifiques sur la façon d'activer ces rustines dans un
système Debian.
-
<list>
-
<item>Linux Intrusion Detection (<package>kernel-patch-2.4-lids</package>) ;
-
<item>Linux Trustees (paquet <package>trustees</package>) ;
-
-<item><url name="NSA Enhanced Linux"
-id="http://www.coker.com.au/selinux/";> ;
-
-<!-- FIXME: woody only -->
-<item><url name="kernel-patch-2.2.18-openwall"
-id="http://packages.debian.org/kernel-patch-2.2.18-openwall";> ;
-
-<item><package>kernel-patch-2.2.19-harden</package> ;
-
-<!-- <item>Linux capabilities (paquet <package>lcap</package> ; -->
-
-<item><package>kernel-patch-freeswan</package>, <package>kernel-patch-int</package>.
-
+<item><url name="NSA Enhanced Linux" id="http://wiki.debian.org/SELinux";> ;
+<item><package>linux-patch-openswan</package>.
</list>
<item>Précisions sur l'arrêt de certains services réseaux non nécessaires
(outre <prgn>inetd</prgn>) ; ceci est en partie dans la procédure de consolidation mais
pourrait être élargi un petit peu.
<item>Informations sur le renouvellement des mots de passe ;
c'est étroitement lié à la politique mise en place.
<item>Politique de sécurité et formation des utilisateurs.
<item>Davantage à propos de tcpwrappers, et des wrappers en général ?
<item><file>hosts.equiv</file> et d'autres trous de sécurité majeurs.
<item>Problèmes avec les serveurs de partage de fichiers tels que Samba
et NFS ?
<item>suidmanager/dpkg-statoverrides.
<item>lpr et lprng.
-<item>Désactiver les outils Gnome qui utilisent IP.
+<item>Désactiver les outils GNOME qui utilisent IP.
<item>Parler de pam_chroot (voir <url
id="http://lists.debian.org/debian-security/2002/debian-security-200205/msg00011.html";>)
et de son utilité pour restreindre les utilisateurs. Introduire les
informations relatives à
<url id="http://online.securityfocus.com/infocus/1575";>.
<package>Pdmenu</package>, par exemple, est disponible dans
Debian (alors que flash ne l'est pas).
<item>Parler des services « chrootés », plus d'informations sur
<url id="http://www.linuxfocus.org/English/January2002/article225.shtml";>,
<url id="http://www.nuclearelephant.com/papers/chroot.html";> et
-<url id="http://www.linuxsecurity.com/feature_stories/feature_story-99.html";>
+<url id="http://www.linuxsecurity.com/feature_stories/feature_story-99.html";>.
<item>Parler des programmes pour faire des « prisons » chroot.
-<package>Compartment</package> et <package>chrootuid</package>
+<package>compartment</package> et <package>chrootuid</package>
sont en attente dans incoming. D'autres (makejail, jailer) pourraient aussi être
présentés.
<!-- Plus disponible à cette URL
<item>Ajouter les informations fournies par Karl Hegbloom concernant la
configuration de Bind 9 « chrooté », voir
<url id="http://people.pdxlinux.org/~karlheg/Secure_Bind9_uHOWTO/Secure_Bind_9_uHOWTO.xhtml";>.
-->
+<!-- Ceci n'est plus pertinent
<item>Ajouter les informations fournies par Pedro Zornenon pour chrooter Bind 8,
malheureusement pour la potato uniquement :(, voir
<url id="http://people.debian.org/~pzn/howto/chroot-bind.sh.txt";>
(inclure le script en entier ?).
+-->
<item>Plus d'informations concernant les logiciels d'analyse de journaux
-(i.e. logcheck et logcolorise).
+(i.e. <package>logcheck</package>, <package>logwatch</package>
+et <package>logcolorise</package>).
-<item>Routage « avancé » (la politique de trafic concerne la sécurité)
+<item>Routage « avancé » (la politique de trafic concerne la sécurité).
<item>Restreindre <prgn>ssh</prgn> pour qu'il puisse uniquement exécuter certaines
commandes.
<item>Utilisation de dpkg-statoverride.
<item>Moyens sûrs de partager un graveur de CD parmi les utilisateurs.
<item>Moyens sûrs de fournir du son en réseau en plus des possibilités
d'affichage en réseau (pour que le son des clients X soit envoyé sur le
-périphérique son du serveur X)
+périphérique de son du serveur X).
-<item>Sécurisation des navigateurs web.
+<item>Sécurisation des navigateurs Web.
<item>Configurer ftp au travers de <prgn>ssh</prgn>.
<item>Utilisation des systèmes de fichiers « loopback »
chiffrés (cryptés ?).
<item>Chiffrement entier du système de fichiers.
<item>Outils stéganographiques.
<item>Configurer une autorité de clés publiques (PKA) pour une organisation.
<item>Utiliser LDAP pour gérer les utilisateurs. Il y a un HOWTO sur
-ldap+kerberos pour Debian à www.bayour.com écrit par Turbo Fredrikson.
+ldap+kerberos pour Debian écrit par Turbo Fredrikson et disponible à
+<url id="http://www.bayour.com/LDAPv3-HOWTO.html";>.
<item>Comment enlever des informations non-essentielles sur les systèmes
de production tels que <file>/usr/share/doc</file>,
<file>/usr/share/man</file> (oui, sécurité par obscurité).
<item>Plus d'informations sur lcap basé sur le fichier README des paquet (pas
encore tout à fait présent, voir
<url id="http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=169465";
name="Bug #169465">) et à partir de l'article de LWN :
<url id="http://lwn.net/1999/1202/kernel.php3";
name="Kernel development">.
<item>Ajouter l'article de Colin sur la façon de configurer un environnement
chroot pour un système <em>Sid</em> complet (<url
id="http://people.debian.org/~walters/chroot.html";>)
-<item>Ajouter des informations sur l'exécution de plusieurs senseurs snort dans
-un système donné (vérifier les rapports de bogues envoyés à snort)
+<item>Ajouter des informations sur l'exécution de plusieurs senseurs
+<prgn>snort</prgn> dans un système donné (vérifier les rapports de
+bogues envoyés à <package>snort</package>).
-<item>Ajouter des informations sur la mise en place d'un pot de miel (<em>honeypot</em>) (<package>honeyd</package>)
+<item>Ajouter des informations sur la mise en place d'un pot de miel
+(<em>honeypot</em>) via le paquet <package>honeyd</package>).
<item>Décrire la situation relativement à FreeSwan (abandonné) et OpenSwan.
La section VPN a besoin d'être réécrite.
+<item>Ajouter une section spécifique à propos des bases de données,
+l'intallation par défaut et sur comment sécuriser les accès.
+
+<item>Ajouter une section sur l'utilité des serveurs virtuels
+(Xen, Vserver, etc.)
+
+<item>Expliquer comment utiliser plusieurs vérificateurs d'intégrité
+tel que <package>aide</package>, <package>integrit</package>
+ou <package>samhain</package>. La base est très simple à expliquer
+et permet de personnaliser la configuration par défaut.
+
+
</list>
-<sect id="changelog">Changelog/Historique :
+<sect id="changelog">Journal des changements et historique
+
+<sect1>Version 3.14 (novembre 2008)
+<p>Changements par Javier Fernández-Sanguino Peña
+<list>
+<item>Modifier la section indiquant comment choisir un système de
+fichiers. ext3 est maintenant le système de fichiers par défaut.
+</list>
+
+<sect1>Version 3.13 (février 2008)
+<p>Changements par Javier Fernández-Sanguino Peña.
+<list>
+<item>Changement de l'url pointant sur Bastille Linux car le domaine a été
+<url id="http://www.bastille-unix.org/press-release-newname.html"; name="acheté par un cybersquatter">.
+
+<item>Correction des liens sur les vers Linux dénommés Ramen et Lion.
+<item>Utilisation de linux-image dans les exemples à la place de
+l'ancien paquet kernel-image.
+<item>Corrections typographiques indiquées par Francesco Poli.
+</list>
+
+<sect1>Version 3.12 (août 2007)
+<p>Changements par Javier Fernández-Sanguino Peña.
+
+<list>
+
+<item>Mise à jour des informations aux sujet des mises à jour de
+sécurité. Abandon du texte parlant de <package>Tiger</package>. Inclusion
+d'informations sur les outils </package>update-notifier</package> et
+</package>adept</package> (pour les stations) ainsi que <package>debsecan</package>.
+Ajout de quelques liens vers d'autres outils disponibles.
+
+<item>Diviser les applications coupe-feu selon les utilisateurs cibles
+et ajout de fireflier à la liste des applications de coupe-feux pour
+postes de travail.
+
+<item>Retrait des références à libsafe, un paquet retiré du dépôt de
+Debian en janvier 2006.
+
+<item>Correction de l'emplacement du fichier de configuration de syslog.
+Remerciements à John Talbut.
+
+</list>
+
+<sect1>Version 3.11 (janvier 2007)
+<p>Changements par Javier Fernández-Sanguino Peña. Merci à Francesco
+Poli pour sa révision étendue du document.
+
+<list>
+
+<item>Retrait de la plupart des références à la version woody car elle
+n'est plus disponible dans le dépôt principal et que le support de sécurité
+n'es plus disponible pour celle-ci.
+
+<item>Descrire comment restreindre les utilisateurs pour qu'ils
+ne puissent faire que des transferts de fichiers.
+<item>Ajout d'une note au sujet de la décision de déclassification
+de debian-private.
+<item>Mise à jour du lien sur les guides de gestion des incidents.
+<item>Ajout d'une note indiquant que les outils de développement
+(compilateurs, etc.) ne sont plus installés par défaut dans etch.
+<item>Correction des références sur le serveur maître de sécurité.
+<item>Ajout de références vers de la doc additionnelle pour APT-secure.
+<item>Amélioration de la description des signatures APT.
+<item>Mise en commentaire de points qui ne sont pas encore finalisés
+au sujet des clefs publiques des miroirs officiels.
+<item>Correction du nom de l'équipe de sécurité Debian Testing (Debian Testing Security Team).
+<item>Retrait d'une référence à sarge dans un exemple.
+<item>Mise à jour de la section sur les antivirus : clamav est
+maintenant disponible depuis etch. Mention de l'installateur pour f-prot.
+<item>Retrait de toutes les références à freeswan, car il est désuet.
+<item>Description des problèmes liés aux changements des règles de
+firewall à distance et quelques conseils en notes de bas de page.
+<item>Mise à jour des informations sur l'installation d'IDS, mentionner
+BASE et la nécéssité de mettre en place une base de donnée d'audit.
+<item>Réécriture de la section "lancer bind par un utilisateur non root"
+car ceci ne s'applique plus à Bind9. Retrait de la référence au
+script init.d car les configurations doivent être faites via /etc/default/.
+<item>Retrait de la méthode désuète de mise en places des règles
+d'iptables, car woody n'est plus maintenu.
+<item>Retrait du conseil à propos de LOG_UNKFAIL_ENAB. Il devrait
+être positionné à 'no' (la valeur par défaut).
+<item>Ajout de plus d'informations au sujet de la mise à jour du
+système avec les outils de station de travail (y compris
+update-notifier) et description de l'utilisation d'aptitude pour
+mettre le système à jour. Noter aussi que dselect est déprécié.
+<item>Mise à jour du contenu de la FAQ et retrait de paragraphes redondants.
+<item>Relecture et mis à jour de la sectin sur les analyses
+post-mortem de malwares.
+<item>Retrait ou correction de quelques liens morts.
+<item>Corriger de nombreuses erreurs typographiques et grammaticales
+mentionnées par Francesco Poli.
+
+</list>
+
+<sect1>Version 3.10 (novembre 2006)
+<p>Changements par Javier Fernández-Sanguino Peña
+<list>
+
+<item>Ajout d'exemples d'utilisation de l'option rdepends
+d'<prgn>apt-cache</prgn> tel que suggéré par Ozer Sarilar.
+
+<item>Corriger l'emplacement du manuel de l'utilisateur de Squid après
+qu'Oskar Pearson (son responsable) nous ait informé de son déplacement.
+
+<item>Correction de l'information au sujet d'umask. C'est dans
+logins.defs (et non pas limits.conf) que ceci peut être configuré pour
+toutes les connections. Préciser les valeurs par défaut de Debian et
+suggérer des valeurs plus restrictive pour les utilisateurs et le
+superutilisateur. Merci à Reinhard Tartler pour avoir détecté cette erreur.
+
+</list>
+
+<sect1>Version 3.9 (octobre 2006)
+<p>Changements par Javier Fernández-Sanguino Peña
+
+<list>
+
+<item>Ajout d'informations sur le suivi des vulnérabilités de sécurité
+et ajout de références à propos du « Debian Testing Security
+Tracker. .»
+
+<item>Ajout d'informations sur le support de la sécurité pour Debian testing.
+
+<item>Fixer un grand nombre d'erreurs typographiques à partir de
+correctifs fournis par Simon Brandmair.
+
+<item>Ajout d'une section rédigée par Max Attems sur comment désactiver
+la console root avec initramfs.
+
+<item>Retrait des références à queso.
+
+<item>Noter dans l'introduction que testing est maintenant supportée
+par l'équipe de sécurité de Debian.
+
+</list>
+
+<sect1>Version 3.8 (juillet 2006)
+<p>Changements par Javier Fernández-Sanguino Peña
+
+<list>
+
+<item>Réécriture de la mise en place de prisons (chroot) ssh pour
+clarifier les différentes options disponibles. Merci à Bruce Park
+avoir fait remarquer diverses erreurs dans cette annexe.
+
+<item>Corrger les appels de lsof tel que suggéré par Christophe Sahut.
+
+<item>Inclusion des correctifs d'Uwe Hermann corrigeant plusieurs
+erreurs typographiques.
+
+<item>Correction d'une erreur typographique soulignée par Moritz Naumann
+dans une référence.
+
+</list>
+
+<sect1>Version 3.7 (avril 2006)
+<p>Changements par Javier Fernández-Sanguino Peña
+<list>
+<item>Ajout d'une section sur les meilleures techniques de sécurité
+recommandées par les développeurs de Debian.
+
+<item>Ajout de commentaires au script d'un pare-feu par WhiteGhost.
+
+</list>
+
+<sect1>Version 3.6 (mars 2006)
+<p>Changements par Javier Fernández-Sanguino Peña
+
+<list>
+<item>Inclusion de correctifs de Thomas Sjögren qui expliquent
+que <tt>noexec</tt> fonctionne avec les « nouveau » noyaux.
+Ajout d'informations à propos de la gestion des fichiers temporaires
+ainsi que des liens vers de la documentation externe.
+
+<item>Ajout d'un lien vers le site de Dan Farmer et Wietse Venema sur
+l'analyse post mortem, tel que suggéré par Freek Dijkstra.
+Ajout de quelques liens additionnels sur l'analyse post mortem.
+
+<item>Correction de l'URL du site italien du CERT. Merci à Christoph Auer.
+
+<item>Réutiliser les informations du wiki de Joey Hess sur
+secure apt et l'insérer dans la section sur les infrastructures.
+
+<item>Révision des sections référant à d'anciennes versions (woody ou potato).
+
+<item>Corriger quelques problèmes esthétiques avec les correctifs proposés
+par Simon Brandmair.
+
+<item>Inclusion des correctifs de Carlo Perassi : les extraits
+de code sur les ACL sont désuèts, les rustines pour Openwall sont
+également désuètes. Retrait des notes FIXME à propos des noyaux 2.2 et 2.4,
+hap est désuet (et absent du WNPP), retrait des références à Immunix
+(StackGuard appartient maintenant à Novell) et régler un FIXME à propos
+de l'utilisation de bsign et elfsign.
+
+<item>Mise à jour des références au site Internet de SELinux afin qu'elles
+pointent vers le wiki (présentement la source d'informations la plus à jour).
+
+<item>Ajout de balises de fichiers et faire une utilisation plus constante
+de l'expression « somme MD5 » avec un correctif de Jens Seidel.
+
+<item>Correctifs de Joost van Baal améliorant les informations dans la
+section sur les pare-feux (lien vers le wiki au lieu de lister
+tous les paquets disponibles sur les pare-feux). Ferme le bogue #339865.
+
+<item>Révision de la FAQ sur les statistiques sur les vulnérabilités.
+Merci à Carlos Galisteo de Cabo pour mentionner que l'information
+n'était plus à jour.
+
+<item>Citer des extraits du Contrat social Debian 1.1 au lieu de 1.0, tel
+que suggéré par Francesco Poli.
+<item>Tel que suggéré par Francesco Poli, utiliser une citation du Contrat
+Social 1.1 au lieu de 1.0.
+
+</list>
<sect1>Version 3.5 (novembre 2005)
<p>Changements par Javier Fernández-Sanguino Peña
<list>
<item>Note sur la section SSH que le chroot ne fonctionnera pas si vous
utilisez l'option nodev dans la partition et indication des
derniers paquets ssh avec le correctif chroot, merci à Lutz Broedel
d'avoir signalé ces problèmes.
<item>Correction de typo remarquée par Marcos Roberto Greiner (md5sum
devrait être sha1sum dans l'extrait de code)
<item>Inclusion du correctif de Jens Seidel corrigeant un certain nombre
de noms de paquets et de typos.
<item>Légère mise à jour de la section d'outils, suppression des outils
plus disponibles et ajout de nouveaux outils.
<item>Réécriture de parties de la section liée à l'endroit où trouver ce
document et quels formats sont disponibles (le site web fournit une
version PDF). Note également sur le fait que les copies sur d'autres
sites et les traductions peuvent être obsolète (la plupart des liens
fournis par Google pour le manuel sur d'autres sites sont vraiment
obsolètes).
</list>
<sect1>Version 3.4 (août-septembre 2005)
<p>Changements par Javier Fernández-Sanguino Peña
<list>
<item>Amélioration des renforcements de sécurité post-installation
liés à la configuration du noyau pour la protection au niveau réseau
avec un fichier sysctl.conf fourni par Will Moy.
<item>Amélioration de la section gdm, grâce à Simon Brandmair.
<item>Corrections de typo de Frédéric Bothamy et Simon Brandmair.
<item>Améliorations des sections post-installation liées à la façon
de générer les sommes MD5 (ou SHA-1) des binaires pour vérification
périodique.
<item>Mise à jour des sections post-installation concernant la
configuration checksecurity (qui était obsolète).
</list>
<sect1>Version 3.3 (juin 2005)
<p>Changements par Javier Fernandez-Sanguino Peña
<list>
<item>Ajout d'un extrait de code pour utiliser grep-available pour
générer la liste des paquets dépendant de Perl. Comme demandé dans
#302470.
<item>Réécriture de la section sur les services réseau (quels sont les
services installés et comment les désactiver).
<item>Ajout de plus d'informations sur la section de déplaoiement des
pots de miel mentionnant des paquets Debian utiles.
</list>
<sect1>Version 3.2 (mars 2005)
<p>Changements par Javier Fernández-Sanguino Peña
<list>
<item>Extension de la section sur les limites de la configuration de
PAM.
<item>Ajout d'informations sur la faàon d'utiliser pam_chroot pour
openssh (basé sur le README de pam_chroot).
<item>Correction de problèmes mineurs signalés par Dan Jacobson.
<item>Mise à jour des informations sur les correctifs du noyau basées
sur un correctif de Carlo Perassi et également en ajoutant des notes sur
les programmes obsolètes et les nouveaux correctifs de noyau disponibles
(Adamantix).
<item>Inclusion d'un correctif de Simon Brandmair qui corrige une phrase
liée aux échecs de connexion dans un terminal.
<item>Ajout de Mozilla/Thunderbird aux agents GPG valides comme suggéré
par Kapolnai Richard.
<item>Expansion de la section sur les mises à jour de sécurité en
mentionnant les mises à jour de bibliothèques et de noyau et sur la
façon de détecter quand les services doivent être redémarrés.
<item>Réécriture de la section sur les pare-feu, déplacement vers le bas
des informations qui s'appliquent à <em>Woody</em> et expansion des
autres sections incluant des informations sur la façon de mettre en
place manuellement le pare-feu (avec un exemple de script) et sur la
façon de tester la configuration du pare-feu.
<item>Ajout d'informations préparatoires pour la version 3.1 de Debian.
-<item>Ajout d'informations plus détaillées sur les mises à jour de
+<item>Ajout d'informations plus détaillées sur les mises à jour du
noyau, particulièrement destinées à ceux qui ont utilisé l'ancien système
d'installation.
<item>Ajout d'une petite section sur la version 0.6 d'apt
expérimentale qui fournit des vérifications de signature de paquets.
Déplacement de l'ancien contenu dans la section et également ajout d'un
pointeur vers les changements réalisés dans aptitude.
<item>Corrections de typos signalés par Frédéric Bothamy.
</list>
<sect1>Version 3.1 (janvier 2005)
<p>Changements par Javier Fernández-Sanguino Peña
<list>
<item>Ajout de clarification sur /usr en lecture seule avec un correctif de Joost van Baal
<item>Application d'un correctif de Jens Seidel corrigeant plusieurs typos.
<item>FreeSWAN est mort, longue vie à OpenSWAN.
<item>Ajout d'informations sur la restrictions d'accès aux services RPC (quand
ils ne peuvent pas être désactivés), également inclusion d'un correctif fourni
par Aarre Laakso.
<item>Mise à jour du script apt-check-sigs d'aj.
<item>Application du correctif de Carlo Perassi corrigeant des URL.
<item>Application du correctif de Davor Ocelic corrigeant beaucoup d'erreurs, de
typos, URL, erreurs de grammaire et FIXME. Ajout également de plusieurs
informations supplémentaires pour certaines sections.
<item>Réécriture de la section sur l'audit utilisateur, mise en évidence de
l'utilisation de script qui n'a pas certains des problèmes associés à
l'historique du shell.
</list>
<sect1>Version 3.0 (décembre 2004)
<p>Modifications par Javier Fernández-Sanguino Peña
<list>
<item>Réécriture des informations sur l'audit utilisateur et inclusion
d'exemples sur la façon d'utiliser script.
</list>
<sect1>Version 2.99 (mars 2004)
<p>Modifications par Javier Fernández-Sanguino Peña
<list>
<item>Ajout d'informations sur des références dans la compatibilité entre DSA et CVE.
<item>Ajout d'informations sur apt 0.6 (apt-secure intégré dans experimental)
<item>Correction de l'emplacement du HOWTO Chroot des démons comme suggéré par Shuying Wang.
<item>Modification de la ligne APACHECTL dans l'exemple de chroot Apache (même
si elle n'est pas du tout utilisé) comme suggéré par Leonard Norrgard.
<item>Ajout d'une note concernant les attaques de liens durs
(« hardlink ») si les partitions ne sont pas mises en place
correctement.
<item>Ajout de certaines étapes manquantes pour exécuter bind comme named ainsi
que fourni par Jeffrey Prosa.
<item>Ajout de notes à propos de l'obsolescence de Nessus et de Snort dans Woody
et disponibilité de paquets rétroportés.
<item>Ajout d'un chapitre concernant des vérifications de test d'intégrité périodiques.
<item>Clarification de l'état de testing concernant les mises à jour de sécurité.
(bogue Debian n° 233955)
<item>Ajout d'informations concernant les contenus attendus dans securetty
(comme c'est spécifique au noyau).
<item>Ajout de pointeur pour snoopylogger (bogue Debian n° 179409)
<item>Ajout d'une référence sur guarddog (bogue Debian n° 170710)
-<item><prgn>Apt-ftparchive</prgn> est dans apt-utils, pas dans apt (merci à Emmanuel
-Chantreau pour l'avoir signalé)
+<item><prgn>apt-ftparchive</prgn> est dans <package>apt-utils</package>,
+pas dans <package>apt</package> (merci à Emmanuel Chantreau pour l'avoir
+signalé).
<item>Suppression de jvirus de la liste des antivirus.
</list>
</sect1>
<sect1>Version 2.98 (décembre 2003)
<p>Modifications par Javier Fernández-Sanguino Peña
<list>
<item>Correction de l'URL comme suggéré par Frank Lichtenheld.
<item>Correction d'une typo PermitRootLogin comme suggéré par Stefan Lindenau.
</list>
</sect1>
<sect1>Version 2.97 (septembre 2003)
<p>Modifications par Javier Fernández-Sanguino Peña
<list>
<item>Ajout des personnes qui ont contribué significativement à ce manuel
(merci de m'envoyer un message si vous pensez que vous devriez être dans la
liste et que vous n'y êtes pas).
<item>Ajout de quelques bla-bla à propos des FIXME/TODOs
<item>Déplacement des informations sur les mises à jour de sécurité au début de
la section comme suggéré par Elliott Mitchell.
<item>Ajout de grsecurity à la liste des kernel-patches pour la sécurité, mais
ajout d'une note sur les problèmes actuels avec celui-ci comme suggéré par
Elliott Mitchell.
<item>Suppression de loops (echo to 'all') dans le script de sécurité réseau du
noyau comme suggéré par Elliott Mitchell.
<item>Ajout de plus d'informations (à jour) dans la section antivirus.
<item>Réécriture de la section de protection des dépassements de tampon et ajout
de plus d'informations sur les correctifs pour le compilateur pour activer ce
type de protection.
</list>
<sect1>Version 2.96 (août 2003)
<p>Modifications par Javier Fernández-Sanguino Peña
<list>
-<item>Suppression (et nouvel ajout) de l'appendice sur Apache dans un chroot.
-L'appendice est maintenant sous une double licence.
+<item>Suppression (et nouvel ajout) de l'annexe sur Apache dans un chroot.
+L'annexe est maintenant sous une double licence.
</list>
<sect1>Version 2.95 (juin 2003)
<p>Modifications de Javier Fernández-Sanguino Peña
<list>
<item>Corrections de fautes signalées par Leonard Norrgard.
<item>Ajout d'une section sur comment contacter le CERT pour la gestion d'incident
(<url id="#after-compromise">)
<item>Plus d'informations sur la mise en place d'un serveur mandataire
(« proxy ») Squid
<item>Ajout d'un pointeur et suppression d'un FIXME grâce à Helge H. F.
<item>Correction d'une faute (save_inactive) signalée par Philippe Faes.
<item>Corrections de plusieurs fautes signalées par Jaime Robles.
</list>
<sect1>Version 2.94 (avril 2003)
<p>Modifications de Javier Fernández-Sanguino Peña
<list>
<item>Selon les suggestions de Maciej Stachura, j'ai développé la
section sur les limitations pour les utilisateurs.
<item>Correction d'une faute signalée par Wolfgang Nolte.
<item>Correction de liens avec un correctif fourni par Ruben Leote Mendes.
<item>Ajout d'un lien vers l'excellent document de David Wheeler dans la
note sur le décompte des failles de sécurité.
</list>
<sect1>Version 2.93 (mars 2003)
<p>Modifications de Frédéric Schütz.
<list>
<item>Ré-écriture complète de la section sur les attributs ext2
(lsattr/chattr)
</list>
<sect1>Version 2.92 (février 2003)
<p>Modifications de Javier Fernández-Sanguino Peña et
Frédéric Schütz.
<list>
<item>Fusion de la section 9.3 (« rustines noyau utiles »)
dans la section 4.13 (« Ajouter des rustines noyau »)
et ajout d'un peu de contenu.
<item>Ajout de quelques TODOs supplémentaires
<item>Ajout d'informations sur la façon de vérifier manuellement les
mises à jour et également sur cron-apt. Ainsi Tiger n'est plus vu
comme le seul moyen de faire des vérifications de mises à jour automatiques.
<item>Légère ré-écriture de la section sur l'exécution des mises à jour
de sécurité grâce aux commentaires de Jean-Marc Ranger.
<item>Ajout d'une note sur l'installation de Debian (qui suggérera à
l'utilisateur une mise à jour de sécurité juste après l'installation)
</list>
<sect1>Version 2.91 (janvier/février 2003)
<p>Modifications de Javier Fernández-Sanguino Peña (moi).
<list>
<item>Ajout d'une rustine proposée par Frédéric Schütz.
<item>Ajout de quelques références supplémentaires sur les capacités
grâce à Frédéric.
<item>Modifications légères sur la section bind par l'ajout d'une
référence à la documentation en ligne de BIND 9 et des références
corrections dans la première zone (Hello Pedro !)
<item>Correction de la date du changelog – nouvelle année :-)
<item>Ajout d'une référence aux articles de Colin pour les TODOs.
<item>Suppression de la référence à d'anciennes rustines ssh+chroot.
<item>Rustines additionnelles de Carlo Perassi.
<item>Corrections de fautes (récursif dans Bind est récursion) signalées
par Maik Holtkamp.
</list>
<sect1>Version 2.9 (décembre 2002)
<p>Modifications de Javier Fernández-Sanguino Peña (moi).
<list>
<item>Réorganisation des informations sur chroot (fusion de deux
sections, cela n'avait pas de sens de les garder séparées)
<item>Ajout de notes sur le chroot d'Apache fournies par Alexandre Ratti.
<item>Application de correctifs proposés par Guillermo Jover.
</list>
<sect1>Version 2.8 (novembre 2002)
<p>Modifications de Javier Fernández-Sanguino Peña (moi).
<list>
<item>Application des rustines de Carlo Perassi, corrections incluant :
modification de la longueur de lignes, correction d'URL, et
correction de certains FIXMES ;
<item>Mise à jour du contenu de la FAQ de l'équipe en charge de la
sécurité de Debian ;
<item>Ajout d'un lien vers la FAQ de l'équipe en charge de la sécurité
de Debian et la référence du développeur Debian, les sections dupliquées
pourraient (juste pourraient) être supprimées à l'avenir ;
<item>Correction de la section d'audit manuel avec les commentaires de
Michal Zielinski ;
<item>Ajout d'un lien vers des dictionnaires (contribution de Carlo Perassi).
</list>
<sect1>Version 2.7 (octobre 2002)
<p>Modifications de Javier Fernández-Sanguino Peña (moi). Note :
j'ai encore beaucoup de modifications qui sont stockées dans ma boîte de
réception (ce qui représente en ce moment environ 5 Mo) à intégrer.
<list>
<item>Correction de quelques fautes qui ont été signalées par
Tuyen Dinh, Bartek Golenko et Daniel K. Gebhart ;
<item>Note concernant les rootkits utilisant /dev/kmem suggérée
par Laurent Bonnaud ;
<item>Correction de fautes et de FIXMEs par Carlo Perassi.
</list>
<sect1>Version 2.6 (septembre 2002)
<p>Modifications de Chris Tillman, tillman@voicetrak.com.
<list>
<item>Modifications pour améliorer la grammaire/l'orthographe ;
<item>s/host.deny/hosts.deny/ (1 endroit) ;
<item>Application de la rustine de Larry Holish (assez grosse, corrige
de nombreux FIXMEs).
</list>
<sect1>Version 2.5 (septembre 2002)
<p>Modifications de Javier Fernández-Sanguino Peña (moi).
<list>
<item>Corrections de quelques fautes signalées par Thiemo Nagel ;
<item>Ajout d'une note de bas de page sur les conseils de
Thiemo Nagel ;
<item>Corrige un lien URL.
</list>
<sect1>Version 2.5 (août 2002)
<p>Modifications de Javier Fernández-Sanguino Peña (moi). Il y avait
beaucoup de choses en attente dans ma boîte de réception (depuis février),
je vais donc appeler ceci la version <em>retour de lune de miel</em> :)
<list>
<item>Application d'une rustine fournie par Philipe Gaspar concernant Squid
qui supprime aussi un FIXME ;
<item>Encore une autre FAQ concernant les bannières de services provenant de
la liste de diffusion debian-security (discussion « Telnet information »
démarrée le 26 juillet 2002) ;
<item>Ajout d'une note concernant l'utilisation des références croisées CVE
dans l'élément de la FAQ <em>En combien de temps l'équipe en charge de
la sécurité de Debian...</em> ;
<item>Ajout d'une nouvelle section concernant les attaques ARP fournie par
Arnaud « Arhuman » Assad ;
<item>Nouvelle FAQ concernant dmesg et le démarrage en mode console par
le noyau ;
<item>Petites parcelles d'informations sur les problèmes de vérification
de signature dans les paquets (il semble qu'ils n'aient pas passé le stade
de la version bêta) ;
<item>Nouvelle FAQ concernant les faux positifs des outils d'évaluation
de vulnérabilité ;
<item>Ajout de nouvelles sections au chapitre qui contient des informations
sur les signatures de paquet et réorganisation en un nouveau chapitre
<em>Infrastructure de sécurité Debian</em> ;
<item>Nouvel élément de FAQ concernant Debian et les autres distributions
Linux ;
<item>Nouvelle section sur les clients de mail avec des fonctionnalités
GPG/PGP dans le chapitre outils de sécurité ;
<item>Clarification sur la manière d'activer les mots de passe MD5 dans
la <em>Woody</em>, ajout d'une lien vers PAM ainsi qu'une note concernant la
définition de max dans PAM ;
<item>Ajout d'une nouvelle annexe sur comment créer des environnements
« chroot » (après avoir joué un peu avec makejail et avoir corrigé,
aussi, quelques-un de ses bogues), intégration des informations dupliquées
dans toutes les annexes ;
<item>Ajout d'informations complémentaires concernant le « chrootage »
de <PRGN>SSH</PRGN> et de son impact sur les transferts sécurisés de fichiers.
Certaines informations ont été récupérées de la liste de diffusion
debian-security (juin 2002 discussion :<em>Secure file
transfers</em>) ;
<item>Nouvelles sections sur la mise à jour automatique des systèmes Debian
ainsi que les dangers d'utiliser la distribution « testing » ou
la distribution « unstable » du point de vue des mises à jour de
sécurité ;
<item>Nouvelle section, concernant la manière de rester à jour avec
la mise en place de rustines de sécurité, dans la section
<em>avant la compromission</em> ainsi qu'une nouvelle section sur la liste de
diffusion debian-security-announce ;
<item>Ajouts d'informations sur la manière de générer
automatiquement des mots de passe sûrs ;
<item>Nouvelle section relative à la connexion des utilisateurs
oisifs (<em>idle</em>) ;
<item>Réorganisation de la section sécurisation du serveur de mail suite
à la discussion <em>Secure/hardened/minimal Debian (ou "Why is the base system
the way it is?")</em> sur la liste de diffusion debian-security
(mai 2002) ;
<item>Réorganisation de la section sur les paramètres réseaux du noyau, avec
les informations fournies par la liste de diffusion debian-security
(mai 2002, discussion <em>syn flood attacked?</em>) et ajout d'un nouvel
élément de FAQ ;
<item>Nouvelle section sur la manière de vérifier les mots de passe des
utilisateurs et quels paquets utiliser pour cela ;
<item>Nouvelle section sur le chiffrement PPTP avec les clients Microsoft
discuté sur la liste de diffusion debian-security (avril 2002) ;
<item>Ajout d'une nouvelle section décrivant les problèmes qui peuvent
survenir lorsque l'on attribue une adresse IP spécifique pour chaque service,
cette information a été écrite d'après d'une discussion qui s'est
-tenue sur de la liste de diffusion bugtraq :
+tenue sur de la liste de diffusion de Bugtraq :
<em>Linux kernel 2.4 "weak end host" issue (discuté précédemment sur
debian-security sous le titre « arp problem »)</em> (démarré
le 9 mai 2002 par Felix von Leitner) ;
<item>Ajout d'informations sur le protocole <prgn>ssh</prgn>
version 2 ;
<item>Ajout de deux sous-sections relatives à la configuration sécurisée
d'Apache (c'est-à-dire, les choses spécifiques à la Debian) ;
<item>Ajout d'une nouvelle FAQ traitant des « raw sockets »,
une relative à /root, une partie traitant des groupes d'utilisateurs et
une autre traitant des permissions des journaux et des permission des
fichiers de configuration ;
<item>Ajout d'un lien vers un bogue dans libpam-cracklib qui pourrait encore
être présent... (besoin de vérifier) ;
<item>Ajout de plus d'informations sur l'analyse avancée (en attente de
plus d'information sur les outils d'inspection de paquet tels que
<prgn>tcpflow</prgn>) ;
<item>Transformation de « Que dois-je faire concernant la
compromission » en une série d'énumérations et en y ajoutant
plus d'éléments ;
<item>Ajout d'informations sur la configuration de Xscreensaver pour
verrouiller l'écran automatiquement après une durée donnée ;
<item>Ajout d'une note sur les utilitaires que vous ne devriez pas
installer sur un système. Inclusion d'une note concernant Perl et pourquoi il
ne peut pas être retiré facilement de la Debian. L'idée vient de la lecture
des documents d'Intersect concernant le renforcement de Linux ;
<item>Ajout d'informations sur lvm et les systèmes de fichiers journalisés,
ext3 est préconisé. Les informations pourraient cependant y être trop
génériques ;
<item>Ajout d'une lien sur la version texte disponible en ligne
(à vérifier) ;
<item>Ajout d'informations additionnelles sur la protection par pare-feu
d'un système local, faisant suite à un commentaire d'Hubert Chan sur
la liste de diffusion ;
-<item>Ajout d'informations additionnelles sur les limites PAM et de liens
+<item>Ajout d'informations sur les limites de PAM et de liens
vers les documents de Kurt Seifried (relatifs à un de ses messages sur
-bugtraq le 4 avril 2002 répondant à une personne qui avait « découvert »
-une vulnérabilité dans Debian GNU/Linux relative à la privation de ressource) ;
+Bugtraq le 4 avril 2002 répondant à une personne qui « découvrit »
+une vulnérabilité dans Debian GNU/Linux relative à l'insuffisance de ressources) ;
<item>Comme suggéré par Julián Muñoz, ajout de plus d'information
sur l'umask par défaut de la Debian et ce à quoi un utilisateur peut accéder
si on lui a donné un shell sur le système (effrayant, hein ?) ;
<item>Inclusion d'une note dans la section du mot de passe BIOS suite à un
commentaire d'Andreas Wohlfeld ;
<item>Inclusion des rustines fournies par Alfred E. Heggestad corrigeant
beaucoup de fautes encore présentes dans le document ;
<item>Ajout d'un lien vers le changelog dans la section des remerciements
comme beaucoup des personnes qui ont contribué sont listées ici (et pas
là bas) ;
<item>Ajout de quelques notes complémentaires dans la section de chattr et
d'une nouvelle section après l'installation qui parle des images systèmes.
Les deux idées sont la contribution de Kurt Pomeroy ;
<item>Ajout d'une nouvelle section après l'installation juste pour rappeler
aux utilisateurs de changer la séquence de démarrage ;
<item>Ajout d'éléments restant à faire (TODO) fournis par Korn Andras ;
<item>Ajout d'un lien vers les recommandations du NIST sur la manière de
sécuriser un DNS. Cette contribution nous est fournie par Daniel Quinlan ;
<item>Ajout d'un petit paragraphe concernant l'infrastructure des certificats
SSL de la Debian ;
<item>Ajout des suggestions de Daniel Quinlan concernant l'authentification
<prgn>ssh</prgn> et la configuration d'exim en relai ;
<item>Ajout de plus d'informations concernant la sécurisation de bind incluant
les modifications suggérées par Daniel Quinlan et une annexe avec un script
pour faire quelques uns des changements commentés dans cette section ;
<item>Ajout d'un lien vers un autre élément concernant le « chrootage »
de Bind (a besoin d'être fusionné) ;
<item>Ajout d'un une ligne de Cristian Ionescu-Idbohrn pour récupérer les paquets
avec support des tcpwrappers ;
<item>Ajout d'un peu plus d'informations sur la configuration PAM par défaut de
la Debian ;
<item>Inclusion d'une question dans la FAQ au sujet de l'utilisation de PAM
pour fournir des services sans comptes shell ;
<item>Déplacement de deux éléments de la FAQ dans une autre section et ajout
d'une nouvelle FAQ concernant la détection des attaques
(et des systèmes corrompus) ;
<item>Inclusion d'informations la configuration d'un pont pare-feu (incluant une
annexe d'exemple). Merci à Francois Bayart qui m'a envoyé ça en mars ;
<item>Ajout d'une FAQ concernant les <em>MARK</em> d'heartbeat dans
le syslogd d'après une question à laquelle Noah Meyerhans et Alain Tesio ont
répondu en décembre 2001 ;
<item>Inclusion d'informations sur la protection contre les débordements de
tampons ainsi que quelques informations sur les rustines du noyau ;
<item>Ajout d'informations supplémentaires (et réorganisation) de la section
pare-feu. Mise à jour des informations concernant le paquet iptables et les
générateurs de pare-feu disponibles ;
<item>Réorganisation des informations concernant la vérification des journaux,
déplacement des informations de logcheck sur la détection d'intrusion machine
vers cette section ;
<item>Ajout d'informations sur la manière de préparer un paquet statique pour
bind dans l'optique d'un « chrootage » (non testé) ;
<item>Ajout d'un élément de FAQ concernant certains serveurs/services
spécifiques (pourrait être développé avec quelques unes des recommandations de la
liste de diffusion debian-security) ;
<item>Ajout d'informations sur les services RPC (et quand ils
sont nécessaires) ;
<item>Ajout de plus d'informations sur les possibilité d'amélioration
(et ce que fait lcap). Y a-t-il une bonne documentation sur ce sujet ?
Je n'ai trouvé aucune documentation sur mon noyau 2.4 ;
<item>Correction de fautes.
</list>
<sect1>Version 2.4
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
<item>Réécriture d'une partie de la section BIOS.
</list>
<sect1>Version 2.3
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
<item>Encadrement de la plupart des emplacements de fichiers par la
balise « file » ;
<item>Correction de fautes rapportées par Edi Stojicevi ;
<item>Légère modification de la section des outils d'audit distant ;
<item>Ajout d'éléments à faire (todo) ;
<item>Ajout d'informations concernant les imprimantes et du fichier de
configuration de cups (tiré d'une discussion sur debian-security) ;
<item>Ajout d'une rustine soumise par Jesus Climent concernant l'accès
d'utilisateurs valides du système à proftpd quand il est configuré en
serveur anonyme ;
<item>Petite modification aux schémas de partitionnement dans le
cas particulier des serveurs de mails ;
<item>Ajout du livre « Hacking Linux Exposed » à la section
des livres ;
<item>Correction d'une faute de frappe sur un répertoire rapportée par
Eduardo Pérez Ureta ;
<item>Correction d'une coquille dans /etc/ssh dans la liste de contrôle
signalée par Edi Stojicevi.
</list>
<sect1>Version 2.3
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
<item>Correction de l'emplacement du fichier de configuration de dpkg ;
<item>Suppression d'Alexander des informations sur les contacts ;
<item>Ajout d'une autre adresse mail ;
<item>Correction de l'adresse mail d'Alexander (même si elle est commentée) ;
<item>Correction de l'emplacement des clés de versions (merci à
Pedro Zorzenon pour avoir relevé cette erreur).
</list>
<sect1>Version 2.2
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
<item>Corrections de fautes, merci à Jamin W. Collins pour ces
corrections ;
<item>Ajout d'une référence à la page de manuel d'apt-extracttemplate
(documentation sur la configuration de APT::ExtractTemplate) ;
<item>Ajout d'une section concernant la limitation de SSH. Informations
basées sur celles qui ont été postées par Mark Janssen, Christian G. Warden
et Emmanuel Lacour sur la liste de diffusion debian-security ;
<item>Ajout d'informations sur les logiciels antivirus.
<item>Ajout d'une FAQ : journaux de su provenant du fait que cron
fonctionne en tant que root.
</list>
<sect1>Version 2.1
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
<item>Modifications du « FIXME » de lshell, merci à Oohara
Yuuma ;
<item>Ajout d'un paquet sXid et retrait du commentaire étant donné
qu'il est disponible ;
<item>De nombreuses fautes relevées par Oohara Yuuma ont été corrigées ;
<item>ACID est maintenant disponible dans Debian (dans le paquet acidlab) ;
<item>Liens de LinuxSecurity corrigés (merci à Dave Wreski de nous l'avoir
signalé).
</list>
<sect1>Version 2.0
<p>Modifications de Javier Fernández-Sanguino Peña. Je voulais passer à
2.0 quand tous les « FIXME » auraient été supprimés mais
j'ai manqué de numéro dans la série 1.9X :(
<list>
<item>Transformation du HOWTO en Manuel (maintenant je peux
dire RTFM !) ;
<item>Ajout d'informations concernant les tcp wrappers et Debian
(maintenant plusieurs services sont compilés avec le support
adéquat ; ainsi ceci n'est plus un problème
d'<prgn>inetd</prgn>) ;
<item>Clarification des informations sur la désactivation des
services pour la rendre plus cohérente (les infos sur rpc se
réfèrent toujours à update-rc.d) ;
<item>Ajout d'une petite note sur lprn ;
<item>Ajout de quelques infos sur les serveurs corrompus
(toujours très approximatif) ;
<item>Corrections des fautes signalées par Mark Bucciarelli ;
<item>Ajout d'étapes supplémentaires sur la récupération des mots de
passe lorsque l'administrateur a paramétré paranoid-mode=on ;
<item>Ajout d'informations pour paramétrer paranoid-mode=on lorsque l'on
se connecte en mode console ;
<item>Nouveau paragraphe pour présenter la configuration des
services ;
<item>Réorganisation de la section <em>Après l'installation</em> afin de
permettre une lecture plus aisée du document ;
<item>Informations sur la manière de paramétrer des pare-feux avec
l'installation standard de Debian 3.0 (paquet iptables) ;
<item>Petit paragraphe détaillant pourquoi l'installation par le réseau
n'est pas une bonne idée et comment on peut l'éviter en utilisant les
outils Debian ;
<item>Petit paragraphe sur un article de l'IEEE qui souligne l'importance
d'une application rapide des rustines ;
<item>Annexe sur la manière de paramétrer une machine snort Debian, basé sur
ce que Vladimir a envoyé à la liste de diffusion debian-security (le
3 septembre 2001) ;
<item>Information sur la manière dont est configurée logcheck dans Debian et
comment il peut être utilisé pour paramétrer HIDS ;
<item>Informations sur les comptes utilisateurs et sur les analyses
de profils ;
<item>Inclusion de la configuration de apt.conf pour un /usr en lecture
seule ; copié à partir du courrier d'Olaf Meeuwissen envoyé
à la liste de diffusion debian-security ;
<item>Nouvelle section sur le VPN qui contient quelques liens ainsi que
les paquets disponibles dans Debian (besoin de contenu concernant
l'installation de VPN et les problèmes spécifiques à Debian) basé sur les
courriers de Jaroslaw Tabor et Samuli Suonpaa postés sur la liste de
diffusion debian-security ;
<item>Petite note concernant quelques programmes pour construire automatiquement
des prisons « chrootées » ;
<item>Nouveau sujet de FAQ concernant identd d'après une discussion sur la liste de
diffusion debian-security (février 2002, commencé par Johannes Weiss) ;
<item>Nouveau sujet de FAQ concernant <prgn>inetd</prgn> d'après une discussion
sur la liste de diffusion debian-security (février 2002) ;
<item>Note d'introduction sur rcconf dans la section
« désactivation de services » ;
<item>Diverses approches concernant le LKM. Remerciements à Philipe Gaspar ;
<item>Ajouts de liens vers les documents du CERT et les ressources Couterpane.
</list>
<sect1>Version 1.99
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
<item>Ajout d'un nouveau sujet de FAQ concernant le temps de réaction
à avoir pour corriger les failles de sécurité ;
<item>Réorganisation des sections de la FAQ ;
<item>Début d'une section concernant les pare-feux dans Debian
GNU/Linux (pourrait être un peu élargi) ;
<item>Corrections de fautes signalées par Matt Kraai ;
<item>Correction sur les informations DNS ;
<item>Ajout d'informations sur whisker et nbtscan à la section audit ;
<item>Correction d'URL erronées.
</list>
<sect1>Version 1.98
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
<item>Ajout d'une nouvelle section concernant l'utilisation de la
Debian GNU/Linux pour réaliser des audits ;
<item>Ajout d'infos concernant le démon finger depuis la liste de
diffusion debian-security.
</list>
<sect1>Version 1.97
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
<item>Correction du lien pour Linux Trustees ;
<item>Correction de fautes (rustines d'Oohara Yuuma
et Pedro Zorzenon).
</list>
<sect1>Version 1.96
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
<item>Réorganisation de la section installation et suppression de services et
ajout de nouvelles notes ;
<item>Ajout de quelques notes concernant l'utilisation d'outils tels que
les outils de détection d'intrusion ;
<item>Ajout d'un chapitre concernant la signature de paquets.
</list>
<sect1>Version 1.95
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
<item>Ajout de notes concernant la sécurité de Squid envoyées par
Philipe Gaspar ;
<item>Correction de liens rootkit. Merci à Philipe Gaspar.
</list>
<sect1>Version 1.94
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
<item>Ajout de quelques notes concernant Apache et Lpr/lpng ;
<item>Ajout d'informations concernant les partitions noexec et readonly ;
<item>Réécriture de la manière dont les utilisateurs peuvent aider
aux problèmes liés à la sécurité Debian (sujet d'une FAQ).
</list>
<sect1>Version 1.93
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
<item>Correction de l'emplacement du programme mail ;
<item>Ajout de nouveaux sujets à la FAQ.
</list>
<sect1>Version 1.92
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
<item>Ajout d'une petite section sur la manière dont Debian
s'occupe de la sécurité ;
<item>Clarification sur les mots de passe
MD5 (merci à « rocky ») ;
<item>Ajout d'informations concernant le renforcement de X
par Stephen van Egmond ;
<item>Ajout de nouveaux sujets à la FAQ.
</list>
<sect1>Version .91
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
<item>Ajout d'informations détaillées envoyées par Yotam Rubin ;
<item>Ajout de renseignements sur la manière de mettre en place un
« honeynet » en utilisant Debian GNU/Linux ;
<item>Ajout de TODOS supplémentaires ;
<item>Correction de nouvelles fautes (merci Yotam !).
</list>
<sect1>Version 1.9
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
<item>Ajout d'une rustine pour corriger des « fautes
d'orthographe » et nouvelles informations (contributions de
Yotam Rubin) ;
<item>Ajout de liens vers d'autres documents en ligne (et hors
ligne) tous deux figurant dans la section (voir <ref id="references">) ;
<item>Ajout d'informations sur la configuration d'options de Bind pour restreindre
l'accès au serveur DNS ;
<item>Ajout d'informations sur la consolidation automatique d'un système Debian
(par référence aux paquets harden et bastille) ;
<item>Suppression de quelques TODOs terminés et ajout de nouveaux.
</list>
<sect1>Version 1.8
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
<item>Ajout de la liste des utilisateurs et des groupes standard, donnée
par Joey Hess à la liste de discussion debian-security ;
<item>Ajout d'informations sur les « rootkits » LKM
(<ref id="LKM">) avec la contribution de Philipe Gaspar ;
<item>Ajout d'informations sur Proftp avec la contribution
d'Emmanuel Lacour ;
<item>Rajout de l'annexe « pense-bête » d'Era Eriksson ;
<item>Ajout de nouveaux TODOs et retrait de ceux terminés ;
<item>Ajout manuel des rustines d'Era car elles n'ont pas été incluses dans
la version précédente.
</list>
<sect1>Version 1.7
<p>Modifications d'Era Eriksson.
<list>
<item>Fautes de frappes et changements de formulation
</list>
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
<item>Changements mineurs de balises : supprimer les balises
tt et les remplacer par les balises prgn/package.
</list>
<sect1>Version 1.6
<p>Modifications de Javier Fernández-Sanguino Peña.
<list>
<item>Ajout d'un lien sur le document publié dans le DDP (devrait
à terme remplacer l'original) ;
<item>Démarrage d'une mini-FAQ
(qui devrait être élargie) avec quelques questions
récupérées depuis ma boite de réception ;
<item>Ajout d'informations générales concernant la sécurisation ;
<item>Ajout d'un paragraphe au sujet de la distribution de
courriers locaux ;
<item>Ajout de quelques liens vers d'autres sources
d'informations ;
<item>Ajout d'informations sur le service d'impression ;
<item>Ajout d'une liste de tâches sur le renforcement de la
sécurité ;
<item>Réorganisation des informations sur NIS et RPC ;
<item>Ajout de quelques notes lors de la lecture de ce document
sur mon nouveau Visor :)
<item>Correction de certaines lignes mal formattées ;
<item>Fautes de frappes corrigées ;
<item>Ajout d'une idée Géniale/Paranoïaque avec la contribution de Gaby
Schilders.
</list>
<sect1>Version 1.5
<p>Modifications de Josip Rodin et Javier Fernández-Sanguino Peña.
<list>
<item>Ajout de paragraphes concernant BIND et quelques FIXMEs. <!-- Removed
this because I found no evidence for it in the diffs. // era Rewrote
style in order to make it more formal. -->
</list>
<sect1>Version 1.4
<p>
<list>
<item>Petit paragraphe sur la vérification des « setuid »
<item>Différents nettoyages mineurs ;
<item>Découverte sur la manière d'utiliser <tt>sgml2txt -f</tt> pour la
version txt.
</list>
<sect1>Version 1.3
<p>
<list>
<item>Ajout de mise à jour de sécurité après le paragraphe
« après installation » ;
<item>Ajout d'un paragraphe proftpd ;
<item>Cette fois, quelque chose concernant XDM a réellement été écrit.
Désolé pour la dernière fois.
</list>
<sect1>Version 1.2
<p>
<list>
<item>Beaucoup de corrections grammaticales de
James Treacy, nouveau paragraphe XDM.
</list>
<sect1>Version 1.1
<p>
<list>
<item>Corrections de fautes de frappes, divers ajouts.
</list>
<sect1>Version 1.0
<p>
<list>
<item>Première publication.
</list>
<!-- Fin M-a-j 1er Dec 2002, Pierre Machard. Tout ce qui est au dessus de ce
commentaire est à jour à la date du 1er Dec. C'est à dire == à la version dans
le cvs anglais à cette date. Normalement c'est relu, affiné, uniformisé. -->
-<sect>Remerciements
+<sect id="credits">Remerciements
<p>
<list>
<item>Alexander Reelsen qui a écrit le document original.
<item>Javier Fernández-Sanguino qui a ajouté des informations
au document original.
<item>Robert van der Meulen pour les paragraphes sur les quotas ainsi que de
nombreuses bonnes idées.
<item>Ethan Benson qui a corrigé le paragraphe sur PAM et qui a eu quelques idées de qualité.
<item>Dariusz Puchalak qui a contribué aux informations de plusieurs chapitres.
<item>Gaby Schilders qui a eu une idée Géniale/Paranoïaque sympathique.
<item>Era Eriksson qui a éliminé les fautes de langage et qui a contribué à
l'annexe « pense-bête ».
<item>Philipe Gaspar qui a écrit les informations concernant LKM.
-<item>Yotam Rubin qui a contribué des corrections pour toutes les fautes de frappes ainsi que
-les informations liées aux versions de Bind et aux mots de passes md5.
+<item>Yotam Rubin qui a contribué des correctifs pour de nombreuses fautes de frappe ainsi que
+les informations liées aux versions de Bind et aux mots de passe MD5.
+
+<item>>Francois Bayart pour l'annexe décrivant la mise en place d'un
+pont pare-feu.
+
+<item>Joey Hess qui rédigeât la section décrivant comment Secure Apt
+fonctionne dans le
+<url id="http://wiki.debian.org/SecureApt"; name="wiki de Debian">.
+
+<item>Martin F. Krafft qui ajoutât quelques informations dans son blog
+à propos de la vérification des empreintes digitales (fingerprint) et qui
+fûrent réutilisées dans la section sur Secure Apt.
+
+<item>Francesco Poli qui fît une révision approfondie du manuel et
+fournît un grand nombre de rapports de bogue et de correctifs
+typographiques qui ont amélioré et aidé à mettre à jour le document.
<item>Toutes les personnes qui m'ont suggéré des améliorations qui
-(éventuellement) ont été incluses ici (voir <ref id="changelog">).
+furent éventuellement incluses ici (voir <ref id="changelog">).
-<item>Tout le monde qui m'a encouragé (Alexander) à écrire ce HOWTO (qui plus tard a évolué vers le Manuel).
+<item>Tout le monde qui m'a encouragé (Alexander) à écrire ce HOWTO
+(qui devint plus tard ce manuel).
<item>Tout le projet Debian.
</list>
+
Reply to: