Debian e

7/28/2019 Debian e

1/270

Securing Debian ManualJavier Fernndez-Sanguino Pea

Auteurs de la prsente page

Version : 3.13, Sun, 08 Apr 2012 02 :48 :09 +0000

Rsum

Ce document dcrit la scurit dans le projet Debian ainsi que dans le systme dexploitationDebian. Il commence par la scurisation et le renforcement de linstallation standard dunedistribution Debian GNU/Linux. Il couvre quelques tches courantes telles que la scurisationdun rseau utilisant Debian GNU/Linux et il donne galement des informations complmen-

taires sur les outils de scurisation disponibles ainsi que sur le travail accompli au sein duprojet Debian par lquipe en charge de la scurit et par lquipe daudit.

7/28/2019 Debian e

2/270

Copyright

Copyright 2002-2008 Javier Fernndez-Sanguino PeaCopyright 2001 Alexander Reelsen, Javier Fernndez-Sanguino Pea

Copyright 2000 Alexander Reelsen

Some sections are copyright their respective authors, for details please refer to Remercie-ments page 25.

Permission is granted to copy, distribute and/or modify this document under the terms ofthe GNU General Public License, Version 2 (http://www.gnu.org/copyleft/gpl.html)or any later version (http://www.gnu.org/copyleft/gpl.html) published by the FreeSoftware Foundation. It is distributed in the hope that it will be useful, but WITHOUT ANY

WARRANTY.Permission is granted to make and distribute verbatim copies of this document provided thecopyright notice and this permission notice are preserved on all copies.

Permission is granted to copy and distribute modified versions of this document under theconditions for verbatim copying, provided that the entire resulting derived work is distributedunder the terms of a permission notice identical to this one.

Permission is granted to copy and distribute translations of this document into another lan-guage, under the above conditions for modified versions, except that this permission noticemay be included in translations approved by the Free Software Foundation instead of in theoriginal English.
http://www.gnu.org/copyleft/gpl.htmlhttp://www.gnu.org/copyleft/gpl.htmlhttp://www.gnu.org/copyleft/gpl.htmlhttp://www.gnu.org/copyleft/gpl.htmlhttp://www.gnu.org/copyleft/gpl.html

7/28/2019 Debian e

3/270

i

Table des matires

1 Introduction 1

1.1 Auteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

1.2 O rcuprer ce manuel (et formats disponibles) . . . . . . . . . . . . . . . . . . . 2

1.3 Avis et ractions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

1.4 Connaissances requises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

1.5 lments crire (FIXME/TODO) . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

1.6 Journal des modifications et historique . . . . . . . . . . . . . . . . . . . . . . . . . 6

1.6.1 Version 3.16 (mars 2011) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

1.6.2 Version 3.15 (dcembre 2010) . . . . . . . . . . . . . . . . . . . . . . . . . . 61.6.3 Version 3.14 (mars 2009) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

1.6.4 Version 3.13 (fvrier 2008) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

1.6.5 Version 3.12 (aot 2007) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

1.6.6 Version 3.11 (janvier 2007) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

1.6.7 Version 3.10 (novembre 2006) . . . . . . . . . . . . . . . . . . . . . . . . . . 8

1.6.8 Version 3.9 (octobre 2006) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

1.6.9 Version 3.8 (juillet 2006) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91.6.10 Version 3.7 (avril 2006) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

1.6.11 Version 3.6 (mars 2006) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

1.6.12 Version 3.5 (novembre 2005) . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

1.6.13 Version 3.4 (aot-septembre 2005) . . . . . . . . . . . . . . . . . . . . . . . 10

1.6.14 Version 3.3 (juin 2005) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

1.6.15 Version 3.2 (mars 2005) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1.6.16 Version 3.1 (janvier 2005) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

7/28/2019 Debian e

4/270

TABLE DES MATIRES ii

1.6.17 Version 3.0 (dcembre 2004) . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

1.6.18 Version 2.99 (mars 2004) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121.6.19 Version 2.98 (dcembre 2003) . . . . . . . . . . . . . . . . . . . . . . . . . . 12

1.6.20 Version 2.97 (septembre 2003) . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1.6.21 Version 2.96 (aot 2003) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1.6.22 Version 2.95 (juin 2003) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1.6.23 Version 2.94 (avril 2003) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1.6.24 Version 2.93 (mars 2003) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

1.6.25 Version 2.92 (fvrier 2003) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

1.6.26 Version 2.91 (janvier/fvrier 2003) . . . . . . . . . . . . . . . . . . . . . . . 14

1.6.27 Version 2.9 (dcembre 2002) . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

1.6.28 Version 2.8 (novembre 2002) . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

1.6.29 Version 2.7 (octobre 2002) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15



1.6.32 Version 2.5 (aot 2002) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

1.6.33 Version 2.4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

1.6.34 Version 2.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

1.6.35 Version 2.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

1.6.36 Version 2.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

1.6.37 Version 2.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

1.6.38 Version 2.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

1.6.39 Version 1.99 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

1.6.40 Version 1.98 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211.6.41 Version 1.97 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

1.6.42 Version 1.96 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

1.6.43 Version 1.95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

1.6.44 Version 1.94 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

1.6.45 Version 1.93 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

1.6.46 Version 1.92 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

1.6.47 Version 1.91 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

7/28/2019 Debian e

5/270

TABLE DES MATIRES iii

1.6.48 Version 1.9 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

1.6.49 Version 1.8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231.6.50 Version 1.7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

1.6.51 Version 1.6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

1.6.52 Version 1.5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

1.6.53 Version 1.4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

1.6.54 Version 1.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

1.6.55 Version 1.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

1.6.56 Version 1.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

1.6.57 Version 1.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

1.7 Remerciements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

2 Avant de commencer 27

2.1 Que voulez-vous faire du systme ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

2.2 tre conscient des problmes de scurit . . . . . . . . . . . . . . . . . . . . . . . . 27

2.3 Comment Debian gre la scurit ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

3 Avant et pendant linstallation 31

3.1 Choisir un mot de passe pour le BIOS . . . . . . . . . . . . . . . . . . . . . . . . . 31

3.2 Partitionner le systme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

3.2.1 Choisir un schma de partitionnement intelligent . . . . . . . . . . . . . . 31

3.3 Ne pas se connecter Internet tant que tout nest pas prt . . . . . . . . . . . . . . 33

3.4 Dfinir un mot de passe pour le superutilisateur . . . . . . . . . . . . . . . . . . . 34

3.5 Activer les mots de passe masqus et les mots de passe MD5 . . . . . . . . . . . . 34

3.6 Administrer le nombre minimal de services ncessaires . . . . . . . . . . . . . . . 35

3.6.1 Dsactivation de services dmon . . . . . . . . . . . . . . . . . . . . . . . . 36

3.6.2 Dsactivation dinetd ou de ses services . . . . . . . . . . . . . . . . . . . . 37

3.7 Installer le minimum de logiciels ncessaires . . . . . . . . . . . . . . . . . . . . . 38

3.7.1 Supprimer Perl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

3.8 Consulter les listes de discussions Debian sur la scurit . . . . . . . . . . . . . . 41

7/28/2019 Debian e

6/270

TABLE DES MATIRES iv

4 Aprs linstallation 43

4.1 Sabonner la liste de diffusion Debian Security Announce . . . . . . . . . . . . . 434.2 Faire une mise jour de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

4.2.1 Mise jour de scurit des bibliothques . . . . . . . . . . . . . . . . . . . 45

4.2.2 Mise jour de scurit du noyau . . . . . . . . . . . . . . . . . . . . . . . . 45

4.3 Changer le BIOS ( nouveau) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

4.4 Attribuer un mot de passe LILO ou GRUB . . . . . . . . . . . . . . . . . . . . . . 47

4.5 Dsactivation de linvite superutilisateur de linitramfs . . . . . . . . . . . . . . . 48

4.6 Enlever linvite superutilisateur du noyau . . . . . . . . . . . . . . . . . . . . . . . 49

4.7 Restreindre les accs aux consoles . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

4.8 Restreindre les redmarrages systme depuis la console . . . . . . . . . . . . . . . 50

4.9 Monter correctement les partitions . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

4.9.1 Paramtrer /tmp en noexec . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

4.9.2 Paramtrer /usr en lecture seule . . . . . . . . . . . . . . . . . . . . . . . . 52

4.10 Fournir des accs scuriss aux utilisateurs . . . . . . . . . . . . . . . . . . . . . . 53

4.10.1 Authentification utilisateur : PAM . . . . . . . . . . . . . . . . . . . . . . . 53

4.10.2 Restreindre lutilisation des ressources : le fichier limits.conf . . . . . . . . 56

4.10.3 Actions de connexion de lutilisateur : modification de /etc/login.defs . . 58

4.10.4 Restreindre le FTP : diter /etc/ftpusers . . . . . . . . . . . . . . . . . 59

4.10.5 Utilisation de su . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

4.10.6 Utilisation de sudo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

4.10.7 Dsactiver des accs dadministration distance . . . . . . . . . . . . . . . 60

4.10.8 Restriction des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

4.10.9 Audit dutilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614.10.10 Inspection des profils utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . 63

4.10.11 Positionner des umasks aux utilisateurs . . . . . . . . . . . . . . . . . . . . 64

4.10.12 Limiter ce que les utilisateurs peuvent voir et accder . . . . . . . . . . . . 65

4.10.13 Gnrer des mots de passe utilisateur . . . . . . . . . . . . . . . . . . . . . 66

4.10.14 Vrifier les mots de passe utilisateur . . . . . . . . . . . . . . . . . . . . . . 67

4.10.15 Dconnecter les utilisateurs inactifs (idle) . . . . . . . . . . . . . . . . . . . 67

4.11 Utilisation de tcpwrappers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

7/28/2019 Debian e

7/270

TABLE DES MATIRES v

4.12 Limportance des journaux et des alertes . . . . . . . . . . . . . . . . . . . . . . . . 69

4.12.1 Utiliser et personnaliser logcheck . . . . . . . . . . . . . . . . . . . . . . . . 704.12.2 Configurer lendroit o les alertes sont envoyes . . . . . . . . . . . . . . . 71

4.12.3 Utilisation dun hte darchivage (loghost) . . . . . . . . . . . . . . . . . . 72

4.12.4 Permissions du fichier de journalisation . . . . . . . . . . . . . . . . . . . . 72

4.13 Les utilitaires pour ajouter des correctifs au noyau . . . . . . . . . . . . . . . . . . 73

4.14 Se protger contre les dpassements de tampon . . . . . . . . . . . . . . . . . . . 75

4.14.1 Correctif du noyau de protection pour les dpassements de tampon . . . 76

4.14.2 Tester des programmes pour les dpassements . . . . . . . . . . . . . . . . 76

4.15 Scurisation des transferts de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . 76

4.16 Limites et contrle des systmes de fichiers . . . . . . . . . . . . . . . . . . . . . . 77

4.16.1 Utilisation de quotas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

4.16.2 Les attributs spcifiques du systme de fichiers ext2 (chattr/lsattr) . . . . 78

4.16.3 Vrifier lintgrit des systmes de fichiers . . . . . . . . . . . . . . . . . . 79

4.16.4 Mise en place de la vrification setuid . . . . . . . . . . . . . . . . . . . . . 80

4.17 Scurisation des accs rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

4.17.1 Configuration des options rseau du noyau . . . . . . . . . . . . . . . . . . 80

4.17.2 Configurer syncookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

4.17.3 Scurisation du rseau pendant lamorage . . . . . . . . . . . . . . . . . . 82

4.17.4 Configuration des fonctionnalits de pare-feu . . . . . . . . . . . . . . . . 86

4.17.5 Dsactiver les problmes dhtes weak-end . . . . . . . . . . . . . . . . . . 86

4.17.6 Protger contre les attaques ARP . . . . . . . . . . . . . . . . . . . . . . . . 87

4.18 Prendre un instantan ( snapshot ) du systme . . . . . . . . . . . . . . . . . . . 88

4.19 Autres recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

4.19.1 Nutilisez pas de logiciels dpendant de svgalib . . . . . . . . . . . . . . . 90

5 Scurisation des services du systme 91

5.1 Scurisation de SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

5.1.1 Chrooter SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

5.1.2 Clients SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

5.1.3 Interdire les transferts de fichiers . . . . . . . . . . . . . . . . . . . . . . . . 94

7/28/2019 Debian e

8/270

TABLE DES MATIRES vi

5.1.4 Restriction daccs au seul transfert de fichiers . . . . . . . . . . . . . . . . 94

5.2 Scurisation de Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 945.3 Scurisation de FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

5.4 Scurisation de laccs au systme X Window . . . . . . . . . . . . . . . . . . . . . 97

5.4.1 Vrifiez le gestionnaire daffichage . . . . . . . . . . . . . . . . . . . . . . . 98

5.5 Scurisation de laccs limpression (le problme lpd et lprng) . . . . . . . . . . 99

5.6 Scurisation du service de courrier . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

5.6.1 Configurer un Nullmailer . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

5.6.2 Fournir un accs scuris aux botes lettres . . . . . . . . . . . . . . . . . 1025.6.3 Rception du courrier de manire sre . . . . . . . . . . . . . . . . . . . . . 102

5.7 Scurisation de BIND . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

5.7.1 Configuration de BIND pour viter de mauvaises utilisations . . . . . . . 103

5.7.2 Changer lutilisateur de BIND . . . . . . . . . . . . . . . . . . . . . . . . . 106

5.7.3 Chrooter le serveur de domaine . . . . . . . . . . . . . . . . . . . . . . . . 108

5.8 Scurisation dApache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

5.8.1 Dsactiver la publication de contenu sur le web par les utilisateurs . . . . 1115.8.2 Permissions des fichiers de journalisation . . . . . . . . . . . . . . . . . . . 111

5.8.3 Fichiers web publis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

5.9 Scurisation de finger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

5.10 Paranoa gnralise du suid et du chroot . . . . . . . . . . . . . . . . . . . . . . . 112

5.10.1 Crer des environnements chroot automatiquement . . . . . . . . . . . . 113

5.11 Paranoa gnralise du mot de passe en texte clair . . . . . . . . . . . . . . . . . 113

5.12 Dsactivation du NIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1145.13 Scurisation des services RPC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

5.13.1 Dsactivation des services RPC . . . . . . . . . . . . . . . . . . . . . . . . . 115

5.13.2 Limiter laccs aux services RPC . . . . . . . . . . . . . . . . . . . . . . . . 115

5.14 Ajouter des capacits au pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

5.14.1 Protger le systme local avec un pare-feu . . . . . . . . . . . . . . . . . . 116

5.14.2 Utiliser un pare-feu pour protger dautres systmes . . . . . . . . . . . . 117

5.14.3 Mettre en place un pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

7/28/2019 Debian e

9/270

7/28/2019 Debian e

10/270

TABLE DES MATIRES viii

10 Avant la compromission 165

10.1 Maintenez le systme scuris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16510.1.1 Surveillance des failles de scurit . . . . . . . . . . . . . . . . . . . . . . . 165

10.1.2 Mettre jour le systme en permanence . . . . . . . . . . . . . . . . . . . . 166

10.1.3 vitez la branche unstable . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

10.1.4 Suivi en scurit de la branche testing . . . . . . . . . . . . . . . . . . . . . 170

10.1.5 Mises jour automatiques dans un systme Debian GNU/Linux . . . . . 171

10.2 Tests dintgrit priodiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172

10.3 Mise en place de dtection dintrusion . . . . . . . . . . . . . . . . . . . . . . . . . 173

10.3.1 Dtection dintrusion provenant du rseau . . . . . . . . . . . . . . . . . . 173

10.3.2 Dtection dintrusion fonde sur lhte . . . . . . . . . . . . . . . . . . . . 174

10.4 viter les rootkits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

10.4.1 Loadable Kernel Modules (LKM) . . . . . . . . . . . . . . . . . . . . . . . . 175

10.4.2 Dtection des rootkits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

10.5 Ides gniales ou paranoaques ce que vous pourriez faire . . . . . . . . . . . . 176

10.5.1 Construction dun pot de miel . . . . . . . . . . . . . . . . . . . . . . . . . 178

11 Aprs la compromission (la rponse lincident) 181

11.1 Comportement gnral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181

11.2 Copies de sauvegarde du systme . . . . . . . . . . . . . . . . . . . . . . . . . . . 182

11.3 Contacter le CERT local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182

11.4 Analyse post mortem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183

11.4.1 Analyse des programmes malveillants (malware) . . . . . . . . . . . . . . 184

12 Foire Aux Questions (FAQ) 185

12.1 La scurit dans le systme dexploitation Debian . . . . . . . . . . . . . . . . . . 185

12.1.1 Debian est-elle plus sre que X? . . . . . . . . . . . . . . . . . . . . . . . . 185

12.1.2 De nombreux bogues Debian sont dans Bugtraq, cela la rend-elle plusvulnrable? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186

12.1.3 Debian possde-t-elle une certification relative la scurit? . . . . . . . . 187

12.1.4 Existe-t-il un programme de durcissement pour Debian ? . . . . . . . . . . 187

12.1.5 Je veux fournir le service XYZ, lequel dois-je choisir? . . . . . . . . . . . . 187

7/28/2019 Debian e

11/270

TABLE DES MATIRES ix

12.1.6 Comment mieux scuriser le service XYZ dans Debian ? . . . . . . . . . . 188

12.1.7 Comment supprimer toutes les informations de version pour les services ? 18812.1.8 Les paquets Debian sont-ils tous srs ? . . . . . . . . . . . . . . . . . . . . 188

12.1.9 Pourquoi certains fichiers journaux ou fichiers de configuration sont-ilslisibles par tous les utilisateurs, est-ce que cest sr? . . . . . . . . . . . . . 189

12.1.10 Pourquoi est-ce que /root/ (ou UserX) a 755 comme permissions? . . . . 189

12.1.11 Aprs linstallation de grsec ou dun pare-feu, jai commenc recevoirbeaucoup de messages de console ! Comment les supprimer ? . . . . . . . 189

12.1.12 Les utilisateurs et les groupes du systme dexploitation . . . . . . . . . . 190

12.1.13 Pourquoi y a-t-il un nouveau groupe chaque ajout de nouvel utilisateur(ou pourquoi Debian attribue-t-elle un groupe chaque utilisateur) ? . . . 193

12.1.14 Questions concernant les services et les ports ouverts . . . . . . . . . . . . 194

12.1.15 Problmes courants de scurit . . . . . . . . . . . . . . . . . . . . . . . . . 196

12.1.16 Comment mettre en place un service pour les utilisateurs sans leur don-ner un compte avec invite de commande ? . . . . . . . . . . . . . . . . . . 197

12.2 Le systme est vulnrable ! (En tes-vous certain ?) . . . . . . . . . . . . . . . . . . 197

12.2.1 Le scanneur X de vrification des failles indique que le systme Debian

est vulnrable ! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19712.2.2 Une attaque apparat dans les fichiers journaux du systme. Le systme

est-il compromis ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198

12.2.3 Dtranges lignes MARK apparaissent dans les journaux : le systmeest-il compromis ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198

12.2.4 Des utilisateurs utilisant su apparaissent dans les journaux : le sys-tme est-il compromis ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199

12.2.5 possible SYN flooding apparat dans les journaux : le systme est-ilattaqu? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199

12.2.6 Des sessions superutilisateur tranges apparaissent dans les journaux :le systme est-il compromis ? . . . . . . . . . . . . . . . . . . . . . . . . . . 200

12.2.7 Le systme a t victime dune intrusion, que faire ? . . . . . . . . . . . . . 200

12.2.8 Comment pister une attaque ? . . . . . . . . . . . . . . . . . . . . . . . . . . 200

12.2.9 Le programme X dans Debian est vulnrable, que faire? . . . . . . . . . . 201

12.2.10 Le numro de version pour un paquet indique une version vulnrable ! . 201

12.2.11 Logiciels spcifiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

12.3 Questions concernant lquipe de scurit Debian . . . . . . . . . . . . . . . . . . 201

7/28/2019 Debian e

12/270

TABLE DES MATIRES x

12.3.1 Quest ce quune alerte de scurit Debian (Debian Security Advisory,DSA)? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202

12.3.2 La signature des alertes Debian ne se vrifie pas correctement ! . . . . . . 202

12.3.3 Comment la scurit est-elle gre chez Debian? . . . . . . . . . . . . . . . 202

12.3.4 Pourquoi vous embtez-vous avec une vieille version de tel paquet ? . . . 202

12.3.5 Quelle est la rgle pour quun paquet fix apparaisse sur secu-rity.debian.org? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203

12.3.6 Que signifie local (remote) ? . . . . . . . . . . . . . . . . . . . . . . . . . 203

12.3.7 Le numro de version pour un paquet indique une version vulnrable ! . 203

12.3.8 Comment est assure la scurit pour les versions testing et unstable ? . . 203

12.3.9 Je possde un ancienne version de Debian, est-elle suivie par lquipe descurit Debian ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204

12.3.10 Comment testing reoit-elle les mises jour de scurit ? . . . . . . . . . . 204

12.3.11 Comment la scurit est-elle gre pour contrib et non-free ? . . . . . . . . 204

12.3.12 Pourquoi ny a-t-il pas de miroirs officiels de security.debian.org? . . . . . 205

12.3.13 Jai vu la DSA 100 et la DSA 102, mais o est la DSA 101 ? . . . . . . . . . 205

12.3.14 Jai essay de tlcharger un paquet faisant partie dune annonce de s-curit, mais jobtiens une erreur fichier non trouv . . . . . . . . . . . . 205

12.3.15 Comment joindre lquipe de scurit ? . . . . . . . . . . . . . . . . . . . . 205

12.3.16 Quelles diffrence existe-t-il entre [email protected] et [email protected]? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206

12.3.17 Je crois avoir trouv un problme de scurit, que dois-je faire ? . . . . . . 206

12.3.18 Comment puis-je aider lquipe de scurit Debian? . . . . . . . . . . . . 206

12.3.19 Qui compose lquipe de scurit? . . . . . . . . . . . . . . . . . . . . . . . 207

12.3.20 Lquipe de scurit Debian vrifie-t-elle chaque nouveau paquet dansDebian? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

12.3.21 Combien de temps faudra-t-il Debian pour rsoudre la vulnrabilitXXXX? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

12.3.22 Pendant combien de temps les mises jour de scurit sont-elles fournies ?208

12.3.23 Comment puis-je contrler lintgrit des paquets ? . . . . . . . . . . . . . 208

12.3.24 Que faire si un paquet est cass suite une mise jour de scurit ? . . . . 208

A La procdure de durcissement tape par tape 209

B Liste des contrles de configuration 213

7/28/2019 Debian e

13/270

TABLE DES MATIRES xi

C Paramtrage dun IDS autonome 217

D Configuration dun pare-feu pont 219

D.1 Un pont fournissant des fonctionnalits de traduction dadresse (NAT) et depare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220

D.2 Un pont fournissant des fonctionnalits de pare-feu . . . . . . . . . . . . . . . . . 221

D.3 Rgles de base diptables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222

E Exemple de script pour changer linstallation par dfaut de BIND 225

F Mise jour de scurit protge par un pare-feu 231

G Environnement de chroot pour SSH 235

G.1 Chrooter les utilisateur SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235

G.1.1 Utilisation de libpam_chroot . . . . . . . . . . . . . . . . . . . . . . . . . . 235

G.1.2 Appliquer des correctifs au serveur SSH . . . . . . . . . . . . . . . . . . . . 237

G.2 Chrooter le serveur SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239

G.2.1 Configuration dun systme minimal (la manire vraiment simple) . . . . 240

G.2.2 Crer lenvironnement automatiquement (la manire simple) . . . . . . . 240G.2.3 Crer soi-mme lenvironnement (la manire difficile) . . . . . . . . . . . . 245

H Environnement de chroot pour Apache 251

H.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251

H.1.1 Licence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251

H.2 Installer le serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251

H.3 Consultez galement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256

7/28/2019 Debian e

14/270

TABLE DES MATIRES xii

7/28/2019 Debian e

15/270

1

Chapitre 1

Introduction

Lune des choses les plus difficiles dans lcriture de documents lis la scurit est que chaquecas est unique. Il faut prter attention deux choses : la menace que constitue lenvironnementet les besoins de scurit lis un site individuel, une machine ou un rseau. Par exemple, lesexigences que lon a pour une utilisation familiale nont rien de comparable aux exigences quelon retrouve dans le rseau dune banque. Alors que dans le premier cas, lutilisateur aura affronter de simples scripts dattaque, le rseau dune banque sera, lui, sous la menace dat-taques directes. De plus, la banque se doit de protger lexactitude des donnes de ses clients.Il faudra donc que chaque utilisateur trouve le bon compromis entre la facilit dutilisation etla scurit pousse lextrme.

Prenez conscience que cet ouvrage traite uniquement des questions lies aux logiciels. Lemeilleur programme du monde ne pourra pas vous protger contre quelquun qui aura unaccs physique la machine. Vous pouvez mettre la machine sous le bureau ou dans un bun-ker protg par une arme. Pourtant, un ordinateur de bureau avec une bonne configurationsera beaucoup plus sr (dun point de vue logiciel) quun ordinateur protg physiquement sison disque dur est truff de logiciels connus pour avoir des failles de scurit. Bien entendu,vous devez prendre en compte les deux aspects.

Ce document donne simplement un aperu de ce quil est possible de faire pour accrotre la s-curit du systme Debian GNU/Linux. Si vous avez dj lu des ouvrages traitant de la scuritsous Linux, vous trouverez des similitudes avec ce document. Ce manuel ne prtend pas tre

lultime source dinformations laquelle vous devez vous rfrer. Il essaye seulement dadap-ter ces informations pour le systme Debian GNU/Linux. Dautres distributions procdent demanire diffrente pour certaines questions (le dmarrage de dmons est un exemple courant) ;vous trouverez dans cet ouvrage les lments propres aux procdures et aux outils de Debian.

1.1 Auteurs

Le responsable actuel de ce document est Javier Fernndez-Sanguino Pea (mailto:[email protected]). Veuillez lui envoyer vos commentaires, ajouts et suggestions et ils seront exa-mins pour une possible inclusion dans les prochaines versions de ce manuel.
mailto:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]

7/28/2019 Debian e

16/270

Chapitre 1. Introduction 2

Ce manuel a t lanc en tant que HOWTO par Alexander Reelsen (mailto:[email protected]).Aprs sa publication sur Internet, Javier Fernndez-Sanguino Pea (mailto:[email protected]) la incorpor dans le Projet de Documentation Debian (http://www.debian.org/doc). Un certain nombre de personnes ont contribu ce manuel (la liste de toutes les contribu-tions est dans le journal de modifications), mais les personnes suivantes mritent une mentionspciale car elles ont fourni des contributions significatives (des sections, chapitres ou annexescomplets) :

Stefano Canepa ; Era Eriksson; Carlo Perassi; Alexandre Ratti ; Jaime Robles;

Yotam Rubin ; Frederic Schutz; Pedro Zorzenon Neto; Oohara Yuuma ; Davor Ocelic.

1.2 O rcuprer ce manuel (et formats disponibles)

Vous pouvez tlcharger ou consulter la dernire version du manuel de scurisation Debian surle site du projet de documentation de Debian (http://www.debian.org/doc/manuals/

securing-debian-howto/). Si vous lisez une copie depuis un autre site, veuillez vrifierla version dorigine au cas o elle fournirait des informations plus rcentes. Si vous lisez unetraduction, veuillez vrifier que la version laquelle se rfre cette traduction est la dernireversion disponible. Si vous notez que la version est en retard, veuillez utiliser la version dori-gine ou consultez le Journal des modifications et historique page 6 pour voir ce qui a chang.

Si vous dsirez obtenir une copie complte de ce manuel, vous pouvez tlcharger le documentau format texte (http://www.debian.org/doc/manuals/securing-debian-howto/securing-debian-howto.fr.txt) ou au format PDF (http://www.debian.org/doc/manuals/securing-debian-howto/securing-debian-howto.fr.pdf) depuis le sitedu projet de documentation Debian. Ces versions peuvent tre plus utiles si vous avez lin-

tention de copier le document vers une machine portable pour lecture hors ligne ou si vousvoulez limprimer. Soyez prvenu que le manuel fait plus de deux cents pages et que certainsdes fragments de code, cause des outils de formatage utiliss, ne sont pas coups dans laversion PDF et peuvent donc simprimer de faon incomplte.

Le document est galement fourni aux formats texte, HTML et PDF dans le paquet harden-doc(http://packages.debian.org/harden-doc). Cependant, notez que le paquet peut nepas tre tout fait jour par rapport au document fourni sur le site Debian (mais vous pouveztoujours utiliser le paquet source pour construire vous-mme une version jour).

Ce document fait partie des documents distribus par le Projet de documentation Debian(https://alioth.debian.org/projects/ddp/). Les modifications introduites ce do-cument sont consultables laide dun navigateur web depuis les journaux en ligne du systme
mailto:[email protected]:[email protected]:[email protected]://www.debian.org/dochttp://www.debian.org/dochttp://www.debian.org/dochttp://www.debian.org/doc/manuals/securing-debian-howto/http://www.debian.org/doc/manuals/securing-debian-howto/http://www.debian.org/doc/manuals/securing-debian-howto/securing-debian-howto.fr.txthttp://www.debian.org/doc/manuals/securing-debian-howto/securing-debian-howto.fr.txthttp://www.debian.org/doc/manuals/securing-debian-howto/securing-debian-howto.fr.pdfhttp://www.debian.org/doc/manuals/securing-debian-howto/securing-debian-howto.fr.pdfhttp://packages.debian.org/harden-dochttps://alioth.debian.org/projects/ddp/https://alioth.debian.org/projects/ddp/http://packages.debian.org/harden-dochttp://www.debian.org/doc/manuals/securing-debian-howto/securing-debian-howto.fr.pdfhttp://www.debian.org/doc/manuals/securing-debian-howto/securing-debian-howto.fr.pdfhttp://www.debian.org/doc/manuals/securing-debian-howto/securing-debian-howto.fr.txthttp://www.debian.org/doc/manuals/securing-debian-howto/securing-debian-howto.fr.txthttp://www.debian.org/doc/manuals/securing-debian-howto/http://www.debian.org/doc/manuals/securing-debian-howto/http://www.debian.org/dochttp://www.debian.org/docmailto:[email protected]:[email protected]:[email protected]

7/28/2019 Debian e

17/270


de gestion de version (http://anonscm.debian.org/viewvc/ddp/manuals/trunk/securing-howto). Vous pouvez aussi obtenir lintgralit du code en utilisant Subversion :

svn co svn://svn.debian.org/svn/ddp/manuals/trunk/securing-howto/

1.3 Avis et ractions

Maintenant, la partie officielle. Pour linstant, cest Alexander Reelsen qui a crit la plupartdes paragraphes de ce manuel mais, selon lui, cela devrait voluer. Il a grandi et vcu avecles logiciels libres : cest une part de ma vie quotidienne et, jespre, de la vtre aussi . Il

encourage chacun lui envoyer ses ractions, astuces, ajouts ou suggestions.Si vous pensez que vous pouvez vous occuper dune partie en particulier ou dun paragraphe,crivez au responsable du document. Cela sera apprci ! En particulier, si vous trouvez unesection estampille FIXME , qui signifie que les auteurs nont pas eu le temps ou les connais-sances requises pour sen occuper, envoyez-leur un courrier immdiatement.

Le thme de ce manuel fait clairement comprendre quil est important de tenir ce manuel jour ; vous pouvez apporter votre pierre ldifice. Sil vous plat, aidez-nous.

1.4 Connaissances requises

Linstallation de Debian GNU/Linux nest pas trs difficile et vous avez sans doute t capablede linstaller. Si vous disposez dj de connaissances concernant Linux ou dautres systmesUNIX et si vous tes quelque peu familier avec les problmes lmentaires de scurit, il voussera plus facile de comprendre ce manuel, car ce document ne peut pas entrer dans tous lespetits dtails (sans quoi cela aurait t un livre plutt quun manuel). Si vous ntes pas sifamilier que cela avec ces systmes, vous pouvez consulter tre conscient des problmes descurit page 27 pour savoir o trouver des informations plus approfondies sur le sujet.

1.5 lments crire (FIXME/TODO)

Cette section dcrit toutes les choses corriger dans ce manuel. Certains paragraphes incluentdes marques FIXME ou TODO dcrivant quel contenu est manquant (ou quel type de tra-vail doit tre ralis). Le but de cette section est de dcrire toutes les choses qui devraienttre incluses lavenir dans le manuel ou les amliorations faire (ou quil serait intressantdajouter).

Si vous pensez que vous pouvez apporter une contribution au contenu en corrigeant tout l-ment de cette liste (ou des annotations dans le texte lui-mme), veuillez contacter lauteurprincipal (Auteurs page 1).
http://anonscm.debian.org/viewvc/ddp/manuals/trunk/securing-howtohttp://anonscm.debian.org/viewvc/ddp/manuals/trunk/securing-howtohttp://anonscm.debian.org/viewvc/ddp/manuals/trunk/securing-howtohttp://anonscm.debian.org/viewvc/ddp/manuals/trunk/securing-howtohttp://anonscm.debian.org/viewvc/ddp/manuals/trunk/securing-howto

7/28/2019 Debian e

18/270


Ce document doit encore tre mis jour en fonction des dernires publications de Debian.La configuration par dfaut de certains paquets doit tre adapte car elles ont t modifiesdepuis que ce document a t crit.

Dvelopper les informations sur la rponse aux incidents, peut-tre ajouter quelquesides drives du Guide de la scurit de Red Hat au chapitre sur la rponse auxincidents (http://www.redhat.com/docs/manuals/linux/RHL-9-Manual/security-guide/ch-response.html).

crire sur les outils de surveillance distance (pour vrifier la disponibilit du systme) telsque monit, daemontools et mon. Consultez http://linux.oreillynet.com/pub/a/linux/2002/05/09/sysadminguide.html.

Envisager la rdaction dune section sur la construction dapplications orientes rseau pourDebian (avec des informations telles que le systme de base, equivs et FAI).

Vrifier si http://www.giac.org/practical/gsec/Chris_Koutras_GSEC.pdf napas dinformations pertinentes non traites ici.

Ajouter des informations sur la manire de configurer un portable avec Debian http://www.giac.org/practical/gcux/Stephanie_Thomas_GCUX.pdf.

Comment mettre en place un pare-feu en utilisant Debian GNU/Linux. La section sur lespare-feu concerne actuellement un systme isol (pas de protection dautres machines, etc.).Comment tester la configuration.

Paramtrage dun serveur mandataire pare-feu avec Debian GNU/Linux et faire un tat deslieux des paquets fournissant des servicesproxy (tels que xfwp, ftp-proxy, redir, smtpd,dnrd, jftpgw, oops, pdnsd, perdition, transproxy, tsocks). Renvoi au manuel pourtoute autre information. Considrer galement que zorp est maintenant disponible commepaquet Debian et quil sagit dun mandataire pare-feu (il existe galement des paquets De-

bian fournis par les auteurs). Informations sur la configuration des services avec file-rc. Vrifier toutes les URLs et supprimer ou corriger celles qui ne sont plus disponibles. Ajouter des informations sur les substituts de serveurs typiques (disponibles dans Debian)

qui fournissent des fonctionnalits restreintes. Par exemple : lpr local par CUPS (paquet)?; lrp distant par lpr; BIND par dnrd/maradns ; Apache par dhttpd/thttpd/wn (tux?); Exim/Sendmail par ssmtpd/smtpd/postfix ; Squid par tinyproxy ; ftpd par oftpd/vsftpd; etc.

De plus amples informations concernant les correctifs spcialiss dans la scurit du noyaudans Debian, incluant ceux montrs ci-dessus et ajouter des informations spcifiques sur lafaon dactiver ces correctifs dans un systme Debian. Linux Intrusion Detection (kernel-patch-2.4-lids) ; Linux Trustees (paquet trustees) ; NSA Enhanced Linux (http://wiki.debian.org/SELinux) linux-patch-openswan.

Prcisions sur larrt de services rseaux inutiles (outre inetd) ; cest en partie dans la pro-cdure de consolidation mais pourrait tre largi un petit peu.
http://www.redhat.com/docs/manuals/linux/RHL-9-Manual/security-guide/ch-response.htmlhttp://www.redhat.com/docs/manuals/linux/RHL-9-Manual/security-guide/ch-response.htmlhttp://linux.oreillynet.com/pub/a/linux/2002/05/09/sysadminguide.htmlhttp://linux.oreillynet.com/pub/a/linux/2002/05/09/sysadminguide.htmlhttp://www.giac.org/practical/gsec/Chris_Koutras_GSEC.pdfhttp://www.giac.org/practical/gcux/Stephanie_Thomas_GCUX.pdfhttp://www.giac.org/practical/gcux/Stephanie_Thomas_GCUX.pdfhttp://wiki.debian.org/SELinuxhttp://wiki.debian.org/SELinuxhttp://www.giac.org/practical/gcux/Stephanie_Thomas_GCUX.pdfhttp://www.giac.org/practical/gcux/Stephanie_Thomas_GCUX.pdfhttp://www.giac.org/practical/gsec/Chris_Koutras_GSEC.pdfhttp://linux.oreillynet.com/pub/a/linux/2002/05/09/sysadminguide.htmlhttp://linux.oreillynet.com/pub/a/linux/2002/05/09/sysadminguide.htmlhttp://www.redhat.com/docs/manuals/linux/RHL-9-Manual/security-guide/ch-response.htmlhttp://www.redhat.com/docs/manuals/linux/RHL-9-Manual/security-guide/ch-response.html

7/28/2019 Debian e

19/270


Informations sur le renouvellement des mots de passe; cest troitement li la politiquemise en place.

Politique de scurit et formation des utilisateurs. Davantage propos de tcpwrappers, et de lencapsulation en gnral ? hosts.equiv et dautres trous de scurit majeurs. Problmes avec les serveurs de partage de fichiers tels que Samba et NFS ? suidmanager/dpkg-statoverrides. lpr et lprng. Dsactiver les outils GNOME qui utilisent IP. Parler de pam_chroot (consultez http://lists.debian.org/debian-security/

2002/debian-security-200205/msg00011.html) et de son utilit pour restreindreles utilisateurs. Introduire les informations relatives http://online.securityfocus.com/infocus/1575. pdmenu, par exemple, est disponible dans Debian (alors que flash nelest pas).

Parler des services chroots , plus dinformations sur http://www.linuxfocus.org/English/January2002/article225.shtml.

Parler des programmes pour faire des prisons chroot. compartment et chrootuid sonten attente dans incoming. Dautres (makejail, jailer) pourraient aussi tre prsents.

Plus dinformations concernant les logiciels danalyse de journaux (cest--dire logchecket logcolorise).

Routage avanc (la politique de trafic concerne la scurit). Restreindre SSH pour quil puisse uniquement excuter certaines commandes. Utilisation de dpkg-statoverride. Moyens srs de partager un graveur de CD parmi les utilisateurs. Moyens srs de fournir du son en rseau en plus des possibilits daffichage en rseau (pour

que le son des clients X soit envoy sur le priphrique de son du serveur X). Scurisation des navigateurs web. Configurer FTP au travers de SSH. Utilisation des systmes de fichiers loopback chiffrs. Chiffrement entier du systme de fichiers. Outils stganographiques. Configurer une autorit de clefs publiques (PKA) pour une organisation. Utiliser LDAP pour grer les utilisateurs. Il y a un HOWTO sur ldap+kerberos pour Debian

crit par Turbo Fredrikson et disponible http://www.bayour.com/LDAPv3-HOWTO.html.

Comment enlever des informations non essentielles sur les systmes de production tels que/usr/share/doc, /usr/share/man (oui, scurit par obscurit).

Plus dinformations sur lcap bases sur le fichier README des paquets (pas encore tout fait prsent, consultez le bogue n 169465 (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=169465)) et partir de larticle de LWN : Kernel development(http://lwn.net/1999/1202/kernel.php3).

Ajouter larticle de Colin sur la faon de configurer un environnement chroot pour un sys-tme Sid complet (http://people.debian.org/~walters/chroot.html).

Ajouter des informations sur lexcution de plusieurs senseurs snort dans un systmedonn (vrifier les rapports de bogues envoys snort).

Ajouter des informations sur la mise en place dun pot de miel ( honeypot ) avec le paquet
http://lists.debian.org/debian-security/2002/debian-security-200205/msg00011.htmlhttp://lists.debian.org/debian-security/2002/debian-security-200205/msg00011.htmlhttp://online.securityfocus.com/infocus/1575http://online.securityfocus.com/infocus/1575http://online.securityfocus.com/infocus/1575http://www.linuxfocus.org/English/January2002/article225.shtmlhttp://www.linuxfocus.org/English/January2002/article225.shtmlhttp://www.linuxfocus.org/English/January2002/article225.shtmlhttp://www.bayour.com/LDAPv3-HOWTO.htmlhttp://www.bayour.com/LDAPv3-HOWTO.htmlhttp://www.bayour.com/LDAPv3-HOWTO.htmlhttp://bugs.debian.org/cgi-bin/bugreport.cgi?bug=169465http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=169465http://lwn.net/1999/1202/kernel.php3http://lwn.net/1999/1202/kernel.php3http://people.debian.org/~walters/chroot.htmlhttp://people.debian.org/~walters/chroot.htmlhttp://people.debian.org/~walters/chroot.htmlhttp://lwn.net/1999/1202/kernel.php3http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=169465http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=169465http://www.bayour.com/LDAPv3-HOWTO.htmlhttp://www.bayour.com/LDAPv3-HOWTO.htmlhttp://www.linuxfocus.org/English/January2002/article225.shtmlhttp://www.linuxfocus.org/English/January2002/article225.shtmlhttp://online.securityfocus.com/infocus/1575http://online.securityfocus.com/infocus/1575http://lists.debian.org/debian-security/2002/debian-security-200205/msg00011.htmlhttp://lists.debian.org/debian-security/2002/debian-security-200205/msg00011.html

7/28/2019 Debian e

20/270


honeyd. Dcrire la situation relative FreeSwan (abandonn) et OpenSwan. La section VPN a besoin

dtre rcrite. Ajouter une section spcifique propos des bases de donnes, linstallation par dfaut et sur

la faon de scuriser les accs. Ajouter une section sur lutilit des serveurs virtuels (Xen, Vserver, etc.). Expliquer comment utiliser plusieurs vrificateurs dintgrit tels que aide, integrit ou

samhain. La base est trs simple expliquer et permet de personnaliser la configuration pardfaut.

1.6 Journal des modifications et historique

1.6.1 Version 3.16 (mars 2011)

Modifications de Javier Fernndez-Sanguino Pea.

Indication que le document nest pas mis jour avec les dernires versions. Mise jour des liens vers lemplacement actuel des sources. Mise jour des renseignements de scurit pour les publications les plus rcentes. Lien vers des renseignements pour les dveloppeurs sur les sources en ligne au lieu de les

garder dans ce document pour viter les doublons. Correction de lexemple de script en annexe.

Correction derreurs de rfrence.

1.6.2 Version 3.15 (dcembre 2010)


Modification de la rfrence au site web de Log Analysis car il nest plus disponible.

1.6.3 Version 3.14 (mars 2009)


Modification de la section indiquant comment choisir un systme de fichiers. ext3 est main-tenant le systme de fichiers par dfaut.

Modification du nom des paquets relatifs Enigmail pour correspondre aux modificationsde nom introduites dans Debian.

1.6.4 Version 3.13 (fvrier 2008)


7/28/2019 Debian e

21/270


Changement de lURL pointant sur Bastille Linux car le domaine a t achet par un cybers-quatter (http://www.bastille-unix.org/press-release-newname.html).

Correction des liens sur les vers Linux dnomms Ramen et Lion. Utilisation de linux-image dans les exemples la place de lancien paquet kernel-image. Corrections typographiques indiques par Francesco Poli.

1.6.5 Version 3.12 (aot 2007)


Mise jour des informations au sujet des mises jour de scurit. Abandon du texte parlantde Tiger. Inclusion dinformations sur les outils update-notifier et adept (pour les

stations) ainsi que debsecan. Ajout de quelques liens vers dautres outils disponibles. Division des applications de pare-feu selon les utilisateurs cibles et ajout de fireflier la listedes applications de pare-feu pour postes de travail.

Retrait des rfrences libsafe, un paquet retir du dpt de Debian (en janvier 2006). Correction de lemplacement du fichier de configuration de syslog. Merci John Talbut.

1.6.6 Version 3.11 (janvier 2007)

Changements par Javier Fernndez-Sanguino Pea. Merci Francesco Poli pour sa rvisiontendue du document.

Retrait de la plupart des rfrences la version Woody car elle nest plus disponible dans ledpt principal et que le suivi en scurit nest plus disponible pour celle-ci.

Description de la restriction des utilisateurs pour quils ne puissent faire que des transfertsde fichiers.

Ajout dune note au sujet de la dcision de dclassification de debian-private. Mise jour du lien sur les guides de gestion des incidents. Ajout dune note indiquant que les outils de dveloppement (compilateurs, etc.) ne sont plus

installs par dfaut dans Etch. Correction des rfrences sur le serveur matre de scurit. Ajout de rfrences vers de la documentation supplmentaire dapt scuris. Amlioration de la description des signatures APT. Mise en commentaire de points qui ne sont pas encore finaliss au sujet des clefs publiques

des miroirs officiels. Correction du nom de lquipe de scurit Debian Testing (Debian Testing Security Team). Retrait dune rfrence Sarge dans un exemple. Mise jour de la section sur les antivirus : clamav est maintenant disponible depuis Etch.

Mention de linstallateur pour f-prot. Retrait de toutes les rfrences freeswan, car il est dsuet. Description des problmes lis aux changements des rgles de firewall distance et quelques

conseils en notes de bas de page. Mise jour des informations sur linstallation dIDS, mentionner BASE et la ncessit de

mettre en place une base de donnes daudit.
http://www.bastille-unix.org/press-release-newname.htmlhttp://www.bastille-unix.org/press-release-newname.html

7/28/2019 Debian e

22/270


Rcriture de la section lancer bind par un utilisateur non superutilisateur car cela nesapplique plus BIND 9. Retrait de la rfrence au script init.d car les configurations doiventtre faites laide de /etc/default/.

Retrait de la mthode dsute de mise en place des rgles diptables, car Woody nest plusmaintenu.

Retrait du conseil propos de LOG_UNKFAIL_ENAB. Il devrait tre positionn no (lavaleur par dfaut).

Ajout de plus dinformations au sujet de la mise jour du systme avec les outils de stationde travail (y compris update-notifier) et description de lutilisation daptitude pour mettrele systme jour. Noter aussi que dselect est dprci.

Mise jour du contenu de la FAQ et retrait de paragraphes redondants. Relecture et mise jour de la section sur les analyses post mortem de malwares. Retrait ou correction de quelques liens morts. Correction de nombreuses erreurs typographiques et grammaticales mentionnes par Fran-

cesco Poli.

1.6.7 Version 3.10 (novembre 2006)


Ajout dexemples dutilisation de loption rdepends dapt-cache tel que suggr par OzerSarilar.

Correction de lemplacement du manuel de lutilisateur de Squid aprs quOskar Pearson(son responsable) nous ait inform de son dplacement. Correction des informations au sujet dumask. Cest dans logins.defs (et non pas limits.conf)

que cela peut tre configur pour toutes les connexions. Prciser les valeurs par dfaut deDebian et suggrer des valeurs plus restrictives pour les utilisateurs et le superutilisateur.Merci Reinhard Tartler pour avoir dtect cette erreur.

1.6.8 Version 3.9 (octobre 2006)

Modifications de Javier Fernndez-Sanguino Pea. Ajout dinformations sur le suivi des vulnrabilits de scurit et ajout de rfrences propos

du systme de suivi en scurit de Debian testing. Ajout dinformations sur le suivi en scurit pour Debian testing. Correction dun grand nombre derreurs typographiques partir de correctifs fournis par

Simon Brandmair. Ajout dune section rdige par Max Attems sur la faon de dsactiver la console de super-

utilisateur avec initramfs. Retrait des rfrences queso. Signalement dans lintroduction que testing est maintenant suivie par lquipe de scurit

de Debian.

7/28/2019 Debian e

23/270


1.6.9 Version 3.8 (juillet 2006)


Rcriture de la mise en place de prisons (chroot) SSH pour clarifier les diffrentes optionsdisponibles. Merci Bruce Park avoir fait remarquer diverses erreurs dans cette annexe.

Correction des appels de lsof tel que suggr par Christophe Sahut. Inclusion des correctifs dUwe Hermann corrigeant plusieurs erreurs typographiques. Correction dune erreur typographique souligne par Moritz Naumann dans une rfrence.

1.6.10 Version 3.7 (avril 2006)

Modifications de Javier Fernndez-Sanguino Pea. Ajout dune section sur les meilleures techniques de scurit recommandes aux dvelop-

peurs de Debian. Ajout de commentaires au script dun pare-feu par WhiteGhost.

1.6.11 Version 3.6 (mars 2006)


Inclusion de correctifs de Thomas Sjgren qui expliquent que noexec fonctionne avec les nouveau noyaux. Ajout dinformations propos de la gestion des fichiers temporairesainsi que des liens vers de la documentation externe.

Ajout dun lien vers le site de Dan Farmer et Wietse Venema sur lanalyse post mortem,tel que suggr par Freek Dijkstra. Ajout de quelques liens additionnels sur lanalyse postmortem.

Correction de lURL du site italien du CERT. Merci Christoph Auer. Rutilisation des informations du wiki de Joey Hess sur apt scuris et insertion dans la

section sur les infrastructures. Rvision des sections se rfrant danciennes versions (Woody ou Potato). Correction de quelques problmes esthtiques avec les correctifs proposs par Simon Brand-

mair. Inclusion des correctifs de Carlo Perassi : les extraits de code sur les ACL sont dsuets, les

correctifs pour Openwall sont galement dsuets. Retrait des notes FIXME propos desnoyaux 2.2 et 2.4, hap est dsuet (et absent du WNPP), retrait des rfrences Immunix(StackGuard appartient maintenant Novell) et rsolution dun FIXME propos de lutili-sation de bsign et elfsign.

Mise jour des rfrences au site Internet de SELinux afin quelles pointent vers le wiki(prsentement la source dinformations la plus jour).

Ajout de balises de fichiers et utilisation plus constante de lexpression somme MD5 avecun correctif de Jens Seidel.

Correctifs de Joost van Baal amliorant les informations dans la section sur les pare-feu (lienvers le wiki au lieu de faire une liste de tous les paquets disponibles sur les pare-feu). Fermele bogue n 339865.

7/28/2019 Debian e

24/270


Rvision de la FAQ sur les statistiques sur les vulnrabilits. Merci Carlos Galisteo de Cabodavoir mentionn que linformation ntait plus jour.

Citation dextraits du Contrat social Debian 1.1 au lieu de 1.0, tel que suggr par FrancescoPoli.



Note sur la section SSH que le chroot ne fonctionnera pas si vous utilisez loption nodevdans la partition et indication des derniers paquets ssh avec le correctif chroot, merci LutzBroedel davoir signal ces problmes.

Correction de faute de frappe remarque par Marcos Roberto Greiner (md5sum devrait tresha1sum dans lextrait de code).

Inclusion du correctif de Jens Seidel corrigeant un certain nombre de noms de paquets et defautes de frappe.

Lgre mise jour de la section doutils, suppression des outils plus disponibles et ajout denouveaux outils.

Rcriture de parties de la section lie lendroit o trouver ce document et des formatsdisponibles (le site web fournit une version PDF). Note galement sur le fait que les copiessur dautres sites et les traductions peuvent tre dsutes (la plupart des liens fournis parGoogle pour le manuel sur dautres sites sont vraiment obsoltes).

1.6.13 Version 3.4 (aot-septembre 2005)


Amlioration des renforcements de scurit post-installation lis la configuration du noyaupour la protection au niveau rseau avec un fichier sysctl.conf fourni par Will Moy.

Amlioration de la section gdm, grce Simon Brandmair. Corrections de faute de frappe de Frdric Bothamy et Simon Brandmair. Amliorations des sections post-installation lies la faon de gnrer les sommes MD5 (ou

SHA-1) des binaires pour vrification priodique.

Mise jour des sections post-installation concernant la configuration checksecurity (qui taitobsolte).

1.6.14 Version 3.3 (juin 2005)


Ajout dun extrait de code pour utiliser grep-available pour gnrer la liste des paquetsdpendant de Perl. Comme demand dans le bogue n 302470.

Rcriture de la section sur les services rseau (quels sont les services installs et commentles dsactiver).

7/28/2019 Debian e

25/270


Ajout de plus dinformations sur la section de dploiement des pots de miel mentionnantdes paquets Debian utiles.

1.6.15 Version 3.2 (mars 2005)


Extension de la section sur les limites de la configuration de PAM. Ajout dinformations sur la faon dutiliser pam_chroot pour openSSH (bas sur le README

de pam_chroot). Correction de problmes mineurs signals par Dan Jacobson. Mise jour des informations sur les correctifs du noyau bases sur un correctif de Carlo

Perassi et galement en ajoutant des notes sur les programmes obsoltes et les nouveauxcorrectifs de noyau disponibles (Adamantix).

Inclusion dun correctif de Simon Brandmair qui corrige une phrase lie aux checs deconnexion dans un terminal.

Ajout de Mozilla/Thunderbird aux agents GPG valables comme suggr par Kapolnai Ri-chard.

Expansion de la section sur les mises jour de scurit en mentionnant les mises jour debibliothques et de noyau et sur la faon de dtecter quand les services doivent tre red-marrs.

Rcriture de la section sur les pare-feu, dplacement vers le bas des informations qui sap-pliquent Woody et expansion des autres sections incluant des informations sur la faon demettre en place manuellement le pare-feu (avec un exemple de script) et sur la faon de testerla configuration du pare-feu.

Ajout dinformations prparatoires pour la version 3.1 de Debian. Ajout dinformations plus dtailles sur les mises jour du noyau, particulirement desti-

nes ceux qui ont utilis lancien systme dinstallation. Ajout dune petite section sur la version 0.6 dapt exprimentale qui fournit des vrifications

de signature de paquets. Dplacement de lancien contenu dans la section et galement ajoutdun pointeur vers les changements raliss dans aptitude.

Corrections de fautes de frappe signales par Frdric Bothamy.

1.6.16 Version 3.1 (janvier 2005)


Ajout de clarification sur /usr en lecture seule avec un correctif de Joost van Baal. Application dun correctif de Jens Seidel corrigeant plusieurs fautes de frappe. FreeSWAN est mort, longue vie OpenSWAN. Ajout dinformations sur la restriction daccs aux services RPC (quand ils ne peuvent pas

tre dsactivs), galement inclusion dun correctif fourni par Aarre Laakso. Mise jour du script apt-check-sigs daj. Application du correctif de Carlo Perassi corrigeant des URL.

7/28/2019 Debian e

26/270


Application du correctif de Davor Ocelic corrigeant beaucoup derreurs, de fautes de frappe,URL, erreurs de grammaire et FIXME. Ajout galement de plusieurs informations suppl-mentaires pour certaines sections.

Rcriture de la section sur laudit utilisateur, mise en vidence de lutilisation de script quina pas certains des problmes associs lhistorique du shell.



Rcriture des informations sur laudit utilisateur et inclusion dexemples sur la faon duti-liser script.

1.6.18 Version 2.99 (mars 2004)


Ajout dinformations sur des rfrences dans la compatibilit entre DSA et CVE. Ajout dinformations sur apt 0.6 (apt scuris intgr dans experimental). Correction de lemplacement du HOWTO Chroot des dmons comme suggr par Shuying

Wang. Modification de la ligne APACHECTL dans lexemple de chroot Apache (mme si elle nest

pas du tout utilis) comme suggr par Leonard Norrgard.

Ajout dune note concernant les attaques de liens directs ( hardlink ) si les partitions nesont pas mises en place correctement.

Ajout de certaines tapes manquantes pour excuter bind comme named tel que fourni parJeffrey Prosa.

Ajout de notes propos de lobsolescence de Nessus et de Snort dans Woody et disponibilitde paquets rtroports.

Ajout dun chapitre concernant des vrifications de test dintgrit priodiques. Clarification de ltat de testing concernant les mises jour de scurit. (bogue Debian

n 233955). Ajout dinformations concernant les contenus attendus dans securetty (comme cest spci-

fique au noyau).

Ajout de pointeur pour snoopylogger (bogue Debian n 179409). Ajout dune rfrence sur guarddog (bogue Debian n 170710). apt-ftparchive est dans apt-utils, pas dans apt (merci Emmanuel Chantreau pour

lavoir signal). Suppression de jvirus de la liste des antivirus.



Correction de lURL comme suggr par Frank Lichtenheld.

7/28/2019 Debian e

27/270


Correction dune faute de frappe PermitRootLogin comme suggr par Stefan Lindenau.

1.6.20 Version 2.97 (septembre 2003)


Ajout des personnes qui ont contribu significativement ce manuel (merci de menvoyerun message si vous pensez que vous devriez tre dans la liste et que vous ny tes pas).

Ajout de quelques bla-bla propos des FIXME/TODO. Dplacement des informations sur les mises jour de scurit au dbut de la section comme

suggr par Elliott Mitchell. Ajout de grsecurity la liste des kernel-patches pour la scurit, mais ajout dune note sur

les problmes actuels avec celui-ci comme suggr par Elliott Mitchell. Suppression de boucles (echo to all) dans le script de scurit rseau du noyau commesuggr par Elliott Mitchell.

Ajout de plus dinformations ( jour) dans la section antivirus. Rcriture de la section de protection des dpassements de tampon et ajout de plus dinfor-

mations sur les correctifs pour le compilateur pour activer ce type de protection.

1.6.21 Version 2.96 (aot 2003)


Suppression (et nouvel ajout) de lannexe sur Apache dans un chroot. Lannexe est mainte-nant sous une double licence.

1.6.22 Version 2.95 (juin 2003)


Corrections de fautes signales par Leonard Norrgard. Ajout dune section sur la faon de contacter le CERT pour la gestion dincident

(#after-compromise). Plus dinformations sur la mise en place dun serveur mandataire ( proxy ) Squid.

Ajout dun pointeur et suppression dun FIXME grce Helge H. F. Correction dune faute (save_inactive) signale par Philippe Faes. Corrections de plusieurs fautes signales par Jaime Robles.

1.6.23 Version 2.94 (avril 2003)


Selon les suggestions de Maciej Stachura, jai dvelopp la section sur les limitations pourles utilisateurs.

Correction dune faute signale par Wolfgang Nolte.
http://localhost/var/www/apps/conversion/tmp/scratch_1/#after-compromisehttp://localhost/var/www/apps/conversion/tmp/scratch_1/#after-compromise

7/28/2019 Debian e

28/270

7/28/2019 Debian e

29/270


Ajout de notes sur le chroot dApache fournies par Alexandre Ratti. Application de correctifs proposs par Guillermo Jover.


Modifications de Javier Fernndez-Sanguino Pea (moi).

Application des correctifs de Carlo Perassi, corrections incluant : modification de la longueurde lignes, correction dURL, et correction de certains FIXME.

Mise jour du contenu de la FAQ de lquipe en charge de la scurit de Debian. Ajout dun lien vers la FAQ de lquipe en charge de la scurit de Debian et la rfrence du

dveloppeur Debian, les sections dupliques pourraient (juste pourraient) tre supprimes

lavenir. Correction de la section daudit manuel avec les commentaires de Michal Zielinski. Ajout dun lien vers des dictionnaires (contribution de Carlo Perassi). Correction de quelques erreurs de frappe (il en reste encore plein). Correction des liens TDP conformment la suggestion de John Summerfield.

1.6.29 Version 2.7 (octobre 2002)

Modifications de Javier Fernndez-Sanguino Pea (moi). Note : jai encore beaucoup de modi-fications qui sont stockes dans ma bote de rception (ce qui reprsente en ce moment environ

5 Mo) intgrer. Correction de quelques fautes qui ont t signales par Tuyen Dinh, Bartek Golenko et Daniel

K. Gebhart. Note concernant les rootkits utilisant /dev/kmem suggre par Laurent Bonnaud. Correction de fautes et de FIXME par Carlo Perassi.


Modifications de Chris Tillman, [email protected].

Modifications pour amliorer la grammaire et lorthographe. s/host.deny/hosts.deny/ (1 endroit). Application du correctif de Larry Holish (assez gros, corrige de nombreux FIXME).


Modifications de Javier Fernndez-Sanguino Pea (moi).

Corrections de quelques fautes signales par Thiemo Nagel. Ajout dune note de bas de page sur les conseils de Thiemo Nagel. Corrige une URL.

7/28/2019 Debian e

30/270


1.6.32 Version 2.5 (aot 2002)

Modifications de Javier Fernndez-Sanguino Pea (moi). Il y avait beaucoup de choses en at-tente dans ma bote de rception (depuis fvrier), je vais donc appeler cela la version retour delune de miel :).

Application dun correctif fourni par Philipe Gaspar concernant Squid qui supprime aussiun FIXME.

Encore une autre FAQ concernant les bannires de services provenant de la liste de diffusiondebian-security (discussion Telnet information dmarre le 26 juillet 2002).

Ajout dune note concernant lutilisation des rfrences croises CVE dans llment de laFAQ En combien de temps lquipe en charge de la scurit de Debian. . .

Ajout dune nouvelle section concernant les attaques ARP fournie par Arnaud Arhuman Assad.

Nouvelle FAQ concernant dmesg et le dmarrage en mode console par le noyau. Petites parcelles dinformations sur les problmes de vrification de signature dans les pa-

quets (il semble quils naient pas pass le stade de la version bta). Nouvelle FAQ concernant les faux positifs des outils dvaluation de vulnrabilit. Ajout de nouvelles sections au chapitre qui contient des informations sur les signatures de

paquet et rorganisation en un nouveau chapitre Infrastructure de scurit Debian. Nouvel lment de FAQ concernant Debian et les autres distributions Linux. Nouvelle section sur les clients de messagerie avec des fonctionnalits GPG/PGP dans le

chapitre outils de scurit. Clarification sur la manire dactiver les mots de passe MD5 dans Woody, ajout dun lien vers

PAM ainsi quune note concernant la dfinition de max dans PAM. Ajout dune nouvelle annexe sur la faon de crer des environnements chroot (aprs avoir

jou un peu avec makejail et avoir aussi corrig quelques-uns de ses bogues), intgrationdes informations dupliques dans toutes les annexes.

Ajout dinformations complmentaires concernant le chrootage de SSH et de son impactsur les transferts scuriss de fichiers. Certaines informations ont t rcupres de la listede diffusion debian-security (juin 2002 discussion : Secure file transfers).

Nouvelles sections sur la mise jour automatique des systmes Debian ainsi que les dangersdutiliser la distribution testing ou la distribution unstable du point de vue des mises jour de scurit.

Nouvelle section, concernant la manire de rester jour avec la mise en place de correctifsde scurit, dans la section avant la compromission ainsi quune nouvelle section sur la liste dediffusion debian-security-announce.

Ajouts dinformations sur la manire de crer automatiquement des mots de passe srs. Nouvelle section relative la connexion des utilisateurs oisifs (idle). Rorganisation de la section scurisation du serveur de mail suite la discussion Se-

cure/hardened/minimal Debian (ou Why is the base system the way it is? : pourquoi le systmede base est-il comme a?) sur la liste de diffusion debian-security (mai 2002).

Rorganisation de la section sur les paramtres rseau du noyau, avec les informations four-nies par la liste de diffusion debian-security (mai 2002, discussion syn flood attacked ?) et ajoutdun nouvel lment de FAQ.

Nouvelle section sur la manire de vrifier les mots de passe des utilisateurs et quels paquets

7/28/2019 Debian e

31/270


utiliser pour cela. Nouvelle section sur le chiffrement PPTP avec les clients Microsoft discut sur la liste de

diffusion debian-security (avril 2002). Ajout dune nouvelle section dcrivant les problmes qui peuvent survenir lorsque lon at-

tribue une adresse IP spcifique pour chaque service, cette information a t crite daprsune discussion qui sest tenue sur la liste de diffusion de Bugtraq : Linux kernel 2.4 weak endhost issue (discut prcdemment sur debian-security sous le titre arp problem ) (dmarr le9 mai 2002 par Felix von Leitner).

Ajout dinformations sur le protocole SSH version 2. Ajout de deux sous-sections relatives la configuration scurise dApache (cest--dire, les

lments spcifiques Debian). Ajout dune nouvelle FAQ traitant des raw sockets , une relative /root, une partie trai-

tant des groupes dutilisateurs et une autre traitant des permissions des journaux et despermissions des fichiers de configuration.

Ajout dun lien vers un bogue dans libpam-cracklib qui pourrait encore tre prsent. . . (be-soin de vrifier).

Ajout de plus dinformations sur lanalyse avance (en attente de plus de renseignementssur les outils dinspection de paquet tels que tcpflow).

Transformation de Que dois-je faire concernant la compromission en une srie dnum-rations et en y ajoutant plus dlments.

Ajout dinformations sur la configuration de Xscreensaver pour verrouiller lcran automa-tiquement aprs une dure donne.

Ajout dune note sur les utilitaires que vous ne devriez pas installer sur un systme. Inclu-sion dune note concernant Perl et pourquoi il ne peut pas tre retir facilement de Debian.Lide vient de la lecture des documents dIntersect concernant le renforcement de Linux.

Ajout dinformations sur lvm et les systmes de fichiers journaliss, ext3 est prconis. Lesinformations pourraient cependant y tre trop gnriques.

Ajout dun lien sur la version texte disponible en ligne ( vrifier). Ajout dinformations additionnelles sur la protection par pare-feu dun systme local, faisant

suite un commentaire dHubert Chan sur la liste de diffusion. Ajout dinformations sur les limites de PAM et de liens vers les documents de Kurt Seifried

(relatifs un de ses messages sur Bugtraq le 4 avril 2002 rpondant une personne qui d-couvrit une vulnrabilit dans Debian GNU/Linux relative linsuffisance de ressources).

Comme suggr par Julin Muoz, ajout dinformations supplmentaires sur lumask pardfaut de Debian et ce quoi un utilisateur peut accder si on lui a donn une invite decommande sur le systme (effrayant, non ?)

Inclusion dune note dans la section du mot de passe BIOS suite un commentaire dAndreasWohlfeld.

Inclusion des correctifs fournis par Alfred E. Heggestad corrigeant beaucoup de fautes en-core prsentes dans le document.

Ajout dun lien vers le journal de modifications dans la section des remerciements car laplupart des personnes qui ont contribu sont cits ici (et pas l-bas).

Ajout de quelques notes complmentaires dans la section de chattr et dune nouvelle sectionaprs linstallation qui parle des images systmes. Les deux ides sont la contribution deKurt Pomeroy.

Ajout dune nouvelle section aprs linstallation juste pour rappeler aux utilisateurs de chan-

7/28/2019 Debian e

32/270

7/28/2019 Debian e

33/270


1.6.34 Version 2.3


Encadrement de la plupart des emplacements de fichiers par la balise file . Correction de fautes signales par Edi Stojicevi. Lgre modification de la section des outils daudit distant. Ajout dlments faire. Ajout dinformations concernant les imprimantes et du fichier de configuration de CUPS

(tir dune discussion sur debian-security). Ajout dun correctif propos par Jesus Climent concernant laccs dutilisateurs valables du

systme ProFTPD quand il est configur en serveur anonyme. Petite modification aux schmas de partitionnement dans le cas particulier des serveurs de

messagerie. Ajout du livre Hacking Linux Exposed la section des livres. Correction dune faute de frappe sur un rpertoire signale par Eduardo Prez Ureta. Correction dune coquille dans /etc/ssh dans la liste de contrle signale par Edi Stojicevi.

1.6.35 Version 2.3


Correction de lemplacement du fichier de configuration de dpkg. Suppression dAlexander des informations sur les contacts.

Ajout dune autre adresse lectronique. Correction de ladresse lectronique dAlexander (mme si elle est commente). Correction de lemplacement des clefs de versions (merci Pedro Zorzenon pour avoir relev

cette erreur).

1.6.36 Version 2.2


Corrections de fautes, merci Jamin W. Collins pour ces corrections. Ajout dune rfrence la page de manuel dapt-extracttemplate (documentation sur la

configuration de APT : :ExtractTemplate). Ajout dune section concernant la limitation de SSH. Informations bases sur celles qui ontt postes par Mark Janssen, Christian G. Warden et Emmanuel Lacour sur la liste de diffu-sion debian-security.

Ajout dinformations sur les logiciels antivirus. Ajout dune FAQ : journaux de su provenant du fait que cron fonctionne en tant que super-

utilisateur.

1.6.37 Version 2.1


7/28/2019 Debian e

34/270


Modifications du FIXME de lshell, merci Oohara Yuuma. Ajout dun paquet sXid et retrait du commentaire tant donn quil est disponible. De nombreuses fautes releves par Oohara Yuuma ont t corriges. ACID est maintenant disponible dans Debian (dans le paquet acidlab). Liens de LinuxSecurity corrigs (merci Dave Wreski de nous lavoir signal).

1.6.38 Version 2.0

Modifications de Javier Fernndez-Sanguino Pea. Je voulais passer 2.0 quand tous les FIXME auraient t supprims mais jai manqu de numro dans la srie 1.9X :( .

Transformation du HOWTO en Manuel (maintenant je peux dire RTFM). Ajout dinformations concernant lencapsulation TCP et Debian (maintenant plusieurs ser-

vices sont compils avec la prise en charge adquate ; ainsi cela nest plus un problmedinetd).

Clarification des informations sur la dsactivation des services pour la rendre plus cohrente(les informations RPC se rfrent toujours update-rc.d).

Ajout dune petite note sur lprn. Ajout de quelques renseignements sur les serveurs corrompus (toujours trs approximatif). Corrections des fautes signales par Mark Bucciarelli. Ajout dtapes supplmentaires sur la rcupration des mots de passe lorsque ladministra-

teur a paramtr paranoid-mode=on. Ajout dinformations pour paramtrer paranoid-mode=on lorsque lon se connecte en mode

console. Nouveau paragraphe pour prsenter la configuration des services. Rorganisation de la section Aprs linstallation afin de permettre une lecture plus aise du

document. Informations sur la manire de paramtrer des pare-feu avec linstallation standard de De-

bian 3.0 (paquet iptables). Petit paragraphe dtaillant pourquoi linstallation par le rseau nest pas une bonne ide et

comment on peut lviter en utilisant les outils Debian. Petit paragraphe sur un article de lIEEE qui souligne limportance dune application rapide

des correctifs. Annexe sur la manire de paramtrer une machine snort Debian, bas sur ce que Vladimir a

envoy la liste de diffusion debian-security (le 3 septembre 2001). Information sur la manire dont est configure logcheck dans Debian et comment il peut tre

utilis pour paramtrer HIDS. Informations sur les comptes utilisateurs et sur les analyses de profils. Inclusion de la configuration de apt.conf pour un /usr en lecture seule; copi partir du

courrier dOlaf Meeuwissen envoy la liste de diffusion debian-security. Nouvelle section sur le VPN qui contient quelques liens ainsi que les paquets disponibles

dans Debian (besoin de contenu concernant linstallation de VPN et les problmes spci-fiques Debian) bas sur les courriers de Jaroslaw Tabor et Samuli Suonpaa posts sur laliste de diffusion debian-security.

Petite note concernant quelques programmes pour construire automatiquement des prisons chrootes .

7/28/2019 Debian e

35/270


Nouveau sujet de FAQ concernant identd daprs une discussion sur la liste de diffusiondebian-security (fvrier 2002, commenc par Johannes Weiss).

Nouveau sujet de FAQ concernant inetd daprs une discussion sur la liste de diffusiondebian-security (fvrier 2002).

Note dintroduction sur rcconf dans la section dsactivation de services . Diverses approches concernant le LKM. Remerciements Philipe Gaspar. Ajouts de liens vers les documents du CERT et les ressources Couterpane.

1.6.39 Version 1.99


Ajout dun nouveau sujet de FAQ concernant le temps de raction avoir pour corriger les

failles de scurit. Rorganisation des sections de la FAQ. Dbut dune section concernant les pare-feu dans Debian GNU/Linux (pourrait tre un peu

largie). Corrections de fautes signales par Matt Kraai. Correction sur les informations DNS. Ajout dinformations sur whisker et nbtscan la section audit. Correction dURL errones.

1.6.40 Version 1.98


Ajout dune nouvelle section concernant lutilisation de Debian GNU/Linux pour raliserdes audits.

Ajout de renseignements sur le dmon finger daprs la liste de diffusion debian-security.

1.6.41 Version 1.97


Correction du lien pour Linux Trustees.

Correction de fautes (correctifs dOohara Yuuma et Pedro Zorzenon).

1.6.42 Version 1.96


Rorganisation de la section installation et suppression de services et ajout de nouvellesnotes.

Ajout de quelques notes concernant lutilisation doutils tels que les outils de dtection din-trusion.

Ajout dun chapitre concernant la signature de paquets.

7/28/2019 Debian e

36/270


1.6.43 Version 1.95


Ajout de notes concernant la scurit de Squid envoyes par Philipe Gaspar. Correction de liens rootkit. Merci Philipe Gaspar.

1.6.44 Version 1.94


Ajout de quelques notes concernant Apache et Lpr/lpng. Ajout dinformations concernant les partitions noexec et readonly. Rcriture de la manire dont les utilisateurs peuvent aider aux problmes lis la scurit

Debian (sujet dune FAQ).

1.6.45 Version 1.93


Correction de lemplacement du programme mail.

Ajout de nouveaux sujets la FAQ.

1.6.46 Version 1.92

Modifications de Javier Fernndez-S

Documents

Debian e