Ce document doit encore être mis à jour en fonction des dernières publications de Debian. La configuration par défaut de certains paquets doit être adaptée car elles ont été modifiées depuis que ce document a été écrit.
Envisager la rédaction d'une section sur la construction d'applications orientées réseau pour Debian (avec des informations telles que le système de base, equivs et FAI).
Comment mettre en place un pare-feu en utilisant Debian GNU/Linux. La section sur les pare-feu concerne actuellement un système isolé (pas de protection d'autres machines, etc.). Comment tester la configuration.
Paramétrage d'un serveur mandataire pare-feu avec Debian GNU/Linux et faire un état des lieux des paquets fournissant des services proxy (tels que xfwp, ftp-proxy, redir, smtpd, dnrd, jftpgw, oops, pdnsd, perdition, transproxy, tsocks). Renvoi au manuel pour toute autre information. Considérer également que zorp est maintenant disponible comme paquet Debian et qu'il s'agit d'un mandataire pare-feu (il existe également des paquets Debian fournis par les auteurs).
Informations sur la configuration des services avec file-rc.
Vérifier toutes les URLs et supprimer ou corriger celles qui ne sont plus disponibles.
Ajouter des informations sur les substituts de serveurs typiques (disponibles dans Debian) qui fournissent des fonctionnalités restreintes. Par exemple :
lpr local par CUPS (paquet) ? ;
lrp distant par lpr ;
BIND par dnrd/maradns ;
Apache par dhttpd/thttpd/wn (tux?) ;
Exim/Sendmail par ssmtpd/smtpd/postfix ;
Squid par tinyproxy ;
ftpd par oftpd/vsftpd ;
etc.
De plus amples informations concernant les correctifs spécialisés dans la sécurité du noyau dans Debian, incluant ceux montrés ci-dessus et ajouter des informations spécifiques sur la façon d'activer ces correctifs dans un système Debian.
Précisions sur l'arrêt de services réseaux inutiles (outre inetd
) ; c'est en partie dans la procédure de consolidation mais pourrait être élargi un petit peu.
Informations sur le renouvellement des mots de passe ; c'est étroitement lié à la politique mise en place.
Politique de sécurité et formation des utilisateurs.
Davantage à propos de tcpwrappers, et de l'encapsulation en général ?
hosts.equiv
et d'autres trous de sécurité majeurs.
Problèmes avec les serveurs de partage de fichiers tels que Samba et NFS ?
suidmanager/dpkg-statoverrides.
lpr et lprng.
Désactiver les outils GNOME qui utilisent IP.
Parler des programmes pour faire des « prisons » chroot. compartment et chrootuid sont en attente dans incoming. D'autres (makejail, jailer) pourraient aussi être présentés.
Plus d'informations concernant les logiciels d'analyse de journaux (c'est-à-dire logcheck et logcolorise).
Routage « avancé » (la politique de trafic concerne la sécurité).
Restreindre SSH
pour qu'il puisse uniquement exécuter certaines commandes.
Utilisation de dpkg-statoverride.
Moyens sûrs de partager un graveur de CD parmi les utilisateurs.
Moyens sûrs de fournir du son en réseau en plus des possibilités d'affichage en réseau (pour que le son des clients X soit envoyé sur le périphérique de son du serveur X).
Sécurisation des navigateurs web.
Configurer FTP au travers de SSH
.
Utilisation des systèmes de fichiers « loopback » chiffrés.
Chiffrement entier du système de fichiers.
Outils stéganographiques.
Configurer une autorité de clefs publiques (PKA) pour une organisation.
Comment enlever des informations non essentielles sur les systèmes de production tels que /usr/share/doc
, /usr/share/man
(oui, sécurité par obscurité).
Ajouter des informations sur l'exécution de plusieurs senseurs snort
dans un système donné (vérifier les rapports de bogues envoyés à snort).
Ajouter des informations sur la mise en place d'un pot de miel (« honeypot ») avec le paquet honeyd.
Décrire la situation relative à FreeSwan (abandonné) et OpenSwan. La section VPN a besoin d'être récrite.
Ajouter une section spécifique à propos des bases de données, l'installation par défaut et sur la façon de sécuriser les accès.
Ajouter une section sur l'utilité des serveurs virtuels (Xen, Vserver, etc.).
Expliquer comment utiliser plusieurs vérificateurs d'intégrité tels que aide, integrit ou samhain. La base est très simple à expliquer et permet de personnaliser la configuration par défaut.