Product SiteDocumentation Site

Annexe A. Historique des versions

Historique des versions
Version 3-18.1Mon May 1 2017Marcos Fouces
Translation files synchronised with XML sources 3-18
Version 3-18April 2017Marcos Fouces
Migrate to Docbook XML.
Build with Publican. No longer use custom Makefile.
Version 3-17January 2017Thijs Kinkhorst
Remove mention of MD5 shadow passwords.
Do not recommend dselect for holding packages.
No longer include the Security Team FAQ verbatim, because it duplicates information documented elsewhere and is hence perpetually out of date.
Update section on restart after library upgrades to mention needrestart.
Avoid gender-specific language. Patch by Myriam.
Use LSB headers for firewall script. Patch by Dominic Walden.
Version 3-16January 2013Javier Fernández-Sanguino Peña.
Indication que le document n'est pas mis à jour avec les dernières versions.
Mise à jour des liens vers l'emplacement actuel des sources.
Mise à jour des renseignements de sécurité pour les publications les plus récentes.
Lien vers des renseignements pour les développeurs sur les sources en ligne au lieu de les garder dans ce document pour éviter les doublons.
Extension des renseignements sur la sécurisation d'accès à la console, y compris la limitation des touches SysRq magiques.
Mise à jour des renseignements sur les modules PAM, y compris une façon de restreindre les connexions en console, l'utilisation de cracklib et l'utilisation de fonctionnalités disponibles dans /etc/pam.d/login. Retrait des références aux variables obsolètes de /etc/login.defs.
Référence à certains modules PAM disponibles pour permettre l'authentification à deux facteurs, pour les administrateurs voulant arrêter de partager des mots de passe.
Correction de l'exemple de script en annexe.
Correction d'erreurs de référence.
Pointer vers le projet SourceForge de Basille au lieu du site bastille-unix.org car il ne répond plus.
Version 3-15December 2010Javier Fernández-Sanguino Peña
Modification de la référence au site web de Log Analysis car il n'est plus disponible.
Version 3-14March 2009Javier Fernández-Sanguino Peña
Modification de la section indiquant comment choisir un système de fichiers. ext3 est maintenant le système de fichiers par défaut.
Modification du nom des paquets relatifs à Enigmail pour correspondre aux modifications de nom introduites dans Debian.
Version 3-13February 2008Javier Fernández-Sanguino Peña
Changement des URL pointant Bastille Linux vers www.Bastille-UNIX.org car le domaine a été http://bastille-linux.sourceforge.net/press-release-newname.html.
Correction des liens sur les vers Linux dénommés Ramen et Lion.
Utilisation de linux-image dans les exemples à la place de l'ancien paquet kernel-image.
Corrections typographiques indiquées par Francesco Poli.
Version 3-12August 2007Javier Fernández-Sanguino Peña
Mise à jour des informations au sujet des mises à jour de sécurité. Abandon du texte parlant de Tiger. Inclusion d'informations sur les outils update-notifier et adept (pour les stations) ainsi que debsecan. Ajout de quelques liens vers d'autres outils disponibles.
Division des applications de pare-feu selon les utilisateurs cibles et ajout de fireflier à la liste des applications de pare-feu pour postes de travail.
Retrait des références à libsafe, un paquet retiré du dépôt de Debian (en janvier 2006).
Correction de l'emplacement du fichier de configuration de syslog. Merci à John Talbut.
Version 3-11January 2007Javier Fernández-Sanguino Peña
Merci à Francesco Poli pour sa révision étendue du document.
Retrait de la plupart des références à la version Woody car elle n'est plus disponible dans le dépôt principal et que le suivi en sécurité n'est plus disponible pour celle-ci.
Description de la restriction des utilisateurs pour qu'ils ne puissent faire que des transferts de fichiers.
Ajout d'une note au sujet de la décision de déclassification de debian-private.
Mise à jour du lien sur les guides de gestion des incidents.
Ajout d'une note indiquant que les outils de développement (compilateurs, etc.) ne sont plus installés par défaut dans Etch.
Ajout d'une note indiquant que les outils de développement (compilateurs, etc.) ne sont plus installés par défaut dans Etch.
Correction des références sur le serveur maître de sécurité.
Ajout de références vers de la documentation supplémentaire d'apt sécurisé.
Amélioration de la description des signatures APT.
Mise en commentaire de points qui ne sont pas encore finalisés au sujet des clefs publiques des miroirs officiels.
Correction du nom de l'équipe de sécurité Debian Testing (Debian Testing Security Team).
Retrait d'une référence à Sarge dans un exemple.
Mise à jour de la section sur les antivirus : clamav est maintenant disponible depuis Etch. Mention de l'installateur pour f-prot.
Retrait de toutes les références à freeswan, car il est désuet.
Description des problèmes liés aux changements des règles de firewall à distance et quelques conseils en notes de bas de page.
Mise à jour des informations sur l'installation d'IDS, mentionner BASE et la nécessité de mettre en place une base de données d'audit.
Réécriture de la section « lancer bind par un utilisateur non superutilisateur » car cela ne s'applique plus à BIND 9. Retrait de la référence au script init.d car les configurations doivent être faites à l'aide de /etc/default/.
Retrait de la méthode désuète de mise en place des règles d'iptables, car Woody n'est plus maintenu.
Retrait du conseil à propos de LOG_UNKFAIL_ENAB. Il devrait être positionné à 'no' (la valeur par défaut).
Ajout de plus d'informations au sujet de la mise à jour du système avec les outils de station de travail (y compris update-notifier) et description de l'utilisation d'aptitude pour mettre le système à jour. Noter aussi que dselect est déprécié.
Mise à jour du contenu de la FAQ et retrait de paragraphes redondants.
Relecture et mise à jour de la section sur les analyses post mortem de malwares.
Retrait ou correction de quelques liens morts.
Correction de nombreuses erreurs typographiques et grammaticales mentionnées par Francesco Poli.
Version 3-10November 2006Javier Fernández-Sanguino Peña
Ajout d'exemples d'utilisation de l'option rdepends d'apt-cache tel que suggéré par Ozer Sarilar.
Correction de l'emplacement du manuel de l'utilisateur de Squid après qu'Oskar Pearson (son responsable) nous ait informé de son déplacement.
Correction des informations au sujet d'umask. C'est dans logins.defs (et non pas limits.conf) que cela peut être configuré pour toutes les connexions. Préciser les valeurs par défaut de Debian et suggérer des valeurs plus restrictives pour les utilisateurs et le superutilisateur. Merci à Reinhard Tartler pour avoir détecté cette erreur.
Version 3-9October 2006Javier Fernández-Sanguino Peña
Ajout d'informations sur le suivi des vulnérabilités de sécurité et ajout de références à propos du système de suivi en sécurité de Debian testing.
Ajout d'informations sur le suivi en sécurité pour Debian testing.
Correction d'un grand nombre d'erreurs typographiques à partir de correctifs fournis par Simon Brandmair.
Ajout d'une section rédigée par Max Attems sur la façon de désactiver la console de superutilisateur avec initramfs.
Retrait des références à queso.
Signalement dans l'introduction que testing est maintenant suivie par l'équipe de sécurité de Debian.
Version 3-8July 2006Javier Fernández-Sanguino Peña
Réécriture de la mise en place de prisons (chroot) SSH pour clarifier les différentes options disponibles. Merci à Bruce Park avoir fait remarquer diverses erreurs dans cette annexe.
Correction des appels de lsof tel que suggéré par Christophe Sahut.
Inclusion des correctifs d'Uwe Hermann corrigeant plusieurs erreurs typographiques.
Correction d'une erreur typographique soulignée par Moritz Naumann dans une référence.
Version 3-7April 2006Javier Fernández-Sanguino Peña
Ajout d'une section sur les meilleures techniques de sécurité recommandées aux développeurs de Debian.
Ajout de commentaires au script d'un pare-feu par WhiteGhost.
Version 3-6March 2006Javier Fernández-Sanguino Peña
Inclusion de correctifs de Thomas Sjögren qui expliquent que noexec fonctionne avec les « nouveau » noyaux. Ajout d'informations à propos de la gestion des fichiers temporaires ainsi que des liens vers de la documentation externe.
Ajout d'un lien vers le site de Dan Farmer et Wietse Venema sur l'analyse post mortem, tel que suggéré par Freek Dijkstra. Ajout de quelques liens additionnels sur l'analyse post mortem.
Correction de l'URL du site italien du CERT. Merci à Christoph Auer.
Réutilisation des informations du wiki de Joey Hess sur apt sécurisé et insertion dans la section sur les infrastructures.
Révision des sections se référant à d'anciennes versions (Woody ou Potato).
Correction de quelques problèmes esthétiques avec les correctifs proposés par Simon Brandmair.
Inclusion des correctifs de Carlo Perassi : les extraits de code sur les ACL sont désuets, les correctifs pour Openwall sont également désuets. Retrait des notes FIXME à propos des noyaux 2.2 et 2.4, hap est désuet (et absent du WNPP), retrait des références à Immunix (StackGuard appartient maintenant à Novell) et résolution d'un FIXME à propos de l'utilisation de bsign et elfsign.
Mise à jour des références au site Internet de SELinux afin qu'elles pointent vers le wiki (présentement la source d'informations la plus à jour).
Ajout de balises de fichiers et utilisation plus constante de l'expression « somme MD5 » avec un correctif de Jens Seidel.
Correctifs de Joost van Baal améliorant les informations dans la section sur les pare-feu (lien vers le wiki au lieu de faire une liste de tous les paquets disponibles sur les pare-feu). Ferme le bogue nº 339865.
Révision de la FAQ sur les statistiques sur les vulnérabilités. Merci à Carlos Galisteo de Cabo d'avoir mentionné que l'information n'était plus à jour.
Citation d'extraits du Contrat social Debian 1.1 au lieu de 1.0, tel que suggéré par Francesco Poli.
Version 3-5November 2005Javier Fernández-Sanguino Peña
Note sur la section SSH que le chroot ne fonctionnera pas si vous utilisez l'option nodev dans la partition et indication des derniers paquets ssh avec le correctif chroot, merci à Lutz Broedel d'avoir signalé ces problèmes.
Correction de faute de frappe remarquée par Marcos Roberto Greiner (md5sum devrait être sha1sum dans l'extrait de code).
Inclusion du correctif de Jens Seidel corrigeant un certain nombre de noms de paquets et de fautes de frappe.
Légère mise à jour de la section d'outils, suppression des outils plus disponibles et ajout de nouveaux outils.
Réécriture de parties de la section liée à l'endroit où trouver ce document et des formats disponibles (le site web fournit une version PDF). Note également sur le fait que les copies sur d'autres sites et les traductions peuvent être désuètes (la plupart des liens fournis par Google pour le manuel sur d'autres sites sont vraiment obsolètes).
Version 3-4August-September 2005Javier Fernández-Sanguino Peña
Amélioration des renforcements de sécurité post-installation liés à la configuration du noyau pour la protection au niveau réseau avec un fichier sysctl.conf fourni par Will Moy.
Amélioration de la section gdm, grâce à Simon Brandmair.
Corrections de faute de frappe de Frédéric Bothamy et Simon Brandmair.
Améliorations des sections post-installation liées à la façon de générer les sommes MD5 (ou SHA-1) des binaires pour vérification périodique.
Mise à jour des sections post-installation concernant la configuration checksecurity (qui était obsolète).
Version 3-3June 2005Javier Fernández-Sanguino Peña
Ajout d'un extrait de code pour utiliser grep-available pour générer la liste des paquets dépendant de Perl. Comme demandé dans le bogue nº 302470.
Réécriture de la section sur les services réseau (quels sont les services installés et comment les désactiver).
Ajout de plus d'informations sur la section de déploiement des pots de miel mentionnant des paquets Debian utiles.
Version 3-2March 2005Javier Fernández-Sanguino Peña
Extension de la section sur les limites de la configuration de PAM.
Ajout d'informations sur la façon d'utiliser pam_chroot pour openSSH (basé sur le README de pam_chroot).
Correction de problèmes mineurs signalés par Dan Jacobson.
Mise à jour des informations sur les correctifs du noyau basées sur un correctif de Carlo Perassi et également en ajoutant des notes sur les programmes obsolètes et les nouveaux correctifs de noyau disponibles (Adamantix).
Inclusion d'un correctif de Simon Brandmair qui corrige une phrase liée aux échecs de connexion dans un terminal.
Ajout de Mozilla/Thunderbird aux agents GPG valables comme suggéré par Kapolnai Richard.
Expansion de la section sur les mises à jour de sécurité en mentionnant les mises à jour de bibliothèques et de noyau et sur la façon de détecter quand les services doivent être redémarrés.
Réécriture de la section sur les pare-feu, déplacement vers le bas des informations qui s'appliquent à Woody et expansion des autres sections incluant des informations sur la façon de mettre en place manuellement le pare-feu (avec un exemple de script) et sur la façon de tester la configuration du pare-feu.
Ajout d'informations préparatoires pour la version 3.1 de Debian.
Ajout d'informations plus détaillées sur les mises à jour du noyau, particulièrement destinées à ceux qui ont utilisé l'ancien système d'installation.
Ajout d'une petite section sur la version 0.6 d'apt expérimentale qui fournit des vérifications de signature de paquets. Déplacement de l'ancien contenu dans la section et également ajout d'un pointeur vers les changements réalisés dans aptitude.
Corrections de fautes de frappe signalées par Frédéric Bothamy.
Version 3-1January 2005Javier Fernández-Sanguino Peña
Ajout de clarification sur /usr en lecture seule avec un correctif de Joost van Baal.
Application d'un correctif de Jens Seidel corrigeant plusieurs fautes de frappe.
FreeSWAN est mort, longue vie à OpenSWAN.
Ajout d'informations sur la restriction d'accès aux services RPC (quand ils ne peuvent pas être désactivés), également inclusion d'un correctif fourni par Aarre Laakso.
Mise à jour du script apt-check-sigs d'aj.
Application du correctif de Carlo Perassi corrigeant des URL.
Application du correctif de Davor Ocelic corrigeant beaucoup d'erreurs, de fautes de frappe, URL, erreurs de grammaire et FIXME. Ajout également de plusieurs informations supplémentaires pour certaines sections.
Réécriture de la section sur l'audit utilisateur, mise en évidence de l'utilisation de script qui n'a pas certains des problèmes associés à l'historique du shell.
Version 3-0December 2004Javier Fernández-Sanguino Peña
Réécriture des informations sur l'audit utilisateur et inclusion d'exemples sur la façon d'utiliser script.
Version 2-99March 2004Javier Fernández-Sanguino Peña
Ajout d'informations sur des références dans la compatibilité entre DSA et CVE.
Ajout d'informations sur apt 0.6 (apt sécurisé intégré dans experimental).
Correction de l'emplacement du HOWTO Chroot des démons comme suggéré par Shuying Wang.
Modification de la ligne APACHECTL dans l'exemple de chroot Apache (même si elle n'est pas du tout utilisé) comme suggéré par Leonard Norrgard.
Ajout d'une note concernant les attaques de liens directs (« hardlink ») si les partitions ne sont pas mises en place correctement.
Ajout de certaines étapes manquantes pour exécuter bind comme named tel que fourni par Jeffrey Prosa.
Ajout de notes à propos de l'obsolescence de Nessus et de Snort dans Woody et disponibilité de paquets rétroportés.
Ajout d'un chapitre concernant des vérifications de test d'intégrité périodiques.
Clarification de l'état de testing concernant les mises à jour de sécurité. (bogue Debian nº 233955).
Ajout d'informations concernant les contenus attendus dans securetty (comme c'est spécifique au noyau).
Ajout de pointeur pour snoopylogger (bogue Debian nº 179409).
Ajout d'une référence sur guarddog (bogue Debian nº 170710).
apt-ftparchive est dans apt-utils, pas dans apt (merci à Emmanuel Chantreau pour l'avoir signalé).
Suppression de jvirus de la liste des antivirus.
Version 2-98Javier Fernández-Sanguino Peña
Correction de l'URL comme suggéré par Frank Lichtenheld.
Correction d'une faute de frappe PermitRootLogin comme suggéré par Stefan Lindenau.
Version 2-97September 2003Javier Fernández-Sanguino Peña
Ajout des personnes qui ont contribué significativement à ce manuel (merci de m'envoyer un message si vous pensez que vous devriez être dans la liste et que vous n'y êtes pas).
Ajout de quelques bla-bla à propos des FIXME/TODO.
Déplacement des informations sur les mises à jour de sécurité au début de la section comme suggéré par Elliott Mitchell.
Ajout de grsecurity à la liste des kernel-patches pour la sécurité, mais ajout d'une note sur les problèmes actuels avec celui-ci comme suggéré par Elliott Mitchell.
Suppression de boucles (echo to 'all') dans le script de sécurité réseau du noyau comme suggéré par Elliott Mitchell.
Ajout de plus d'informations (à jour) dans la section antivirus.
Réécriture de la section de protection des dépassements de tampon et ajout de plus d'informations sur les correctifs pour le compilateur pour activer ce type de protection.
Version 2-96August 2003Javier Fernández-Sanguino Peña
Suppression (et nouvel ajout) de l'annexe sur Apache dans un chroot. L'annexe est maintenant sous une double licence.
Version 2-95June 2003Javier Fernández-Sanguino Peña
Corrections de fautes signalées par Leonard Norrgard.
Ajout d'une section sur la façon de contacter le CERT pour la gestion d'incident (Chapitre 11, Après la compromission (la réponse à l'incident)).
Plus d'informations sur la mise en place d'un serveur mandataire (« proxy ») Squid.
Ajout d'un pointeur et suppression d'un FIXME grâce à Helge H. F.
Correction d'une faute (save_inactive) signalée par Philippe Faes.
Corrections de plusieurs fautes signalées par Jaime Robles.
Version 2-94April 2003Javier Fernández-Sanguino Peña
Selon les suggestions de Maciej Stachura, j'ai développé la section sur les limitations pour les utilisateurs.
Correction d'une faute signalée par Wolfgang Nolte.
Correction de liens avec un correctif fourni par Ruben Leote Mendes.
Ajout d'un lien vers l'excellent document de David Wheeler dans la note sur le décompte des failles de sécurité.
Version 2-93March 2003Frédéric Schütz
Réécriture complète de la section sur les attributs ext2 (lsattr/chattr).
Version 2-92February 2003Javier Fernández-Sanguino Peña, Frédéric Schütz
Fusion de la section 9.3 (« correctifs noyau utiles ») dans la section 4.13 (« Ajouter des correctifs noyau ») et ajout d'un peu de contenu.
Ajout de quelques TODO supplémentaires.
Ajout d'informations sur la façon de vérifier manuellement les mises à jour et également sur cron-apt. Ainsi Tiger n'est plus vu comme le seul moyen de faire des vérifications de mises à jour automatiques.
Légère réécriture de la section sur l'exécution des mises à jour de sécurité grâce aux commentaires de Jean-Marc Ranger.
Ajout d'une note sur l'installation de Debian (qui suggérera à l'utilisateur une mise à jour de sécurité juste après l'installation).
Version 2-91January/February 2003Javier Fernández-Sanguino Peña
Ajout d'un correctif proposé par Frédéric Schütz.
Ajout de quelques références supplémentaires sur les capacités grâce à Frédéric.
Modifications légères sur la section bind par l'ajout d'une référence à la documentation en ligne de BIND 9 et de références correctes dans la première zone (Salut Pedro !)
Correction de la date du journal de modifications – nouvelle année :-).
Ajout d'une référence aux articles de Colin pour les TODO.
Suppression de la référence à d'anciens correctifs SSH+chroot.
Correctifs additionnels de Carlo Perassi.
Corrections de fautes (récursif dans BIND est récursion) signalées par Maik Holtkamp.
Version 2-9December 2002Javier Fernández-Sanguino Peña
Réorganisation des informations sur chroot (fusion de deux sections, cela n'avait pas de sens de les garder séparées).
Ajout de notes sur le chroot d'Apache fournies par Alexandre Ratti.
Application de correctifs proposés par Guillermo Jover.
Version 2-8Javier Fernández-Sanguino Peña
Application des correctifs de Carlo Perassi, corrections incluant : modification de la longueur de lignes, correction d'URL, et correction de certains FIXME.
Mise à jour du contenu de la FAQ de l'équipe en charge de la sécurité de Debian.
Ajout d'un lien vers la FAQ de l'équipe en charge de la sécurité de Debian et la référence du développeur Debian, les sections dupliquées pourraient (juste pourraient) être supprimées à l'avenir.
Correction de la section d'audit manuel avec les commentaires de Michal Zielinski.
Ajout d'un lien vers des dictionnaires (contribution de Carlo Perassi).
Correction de quelques erreurs de frappe (il en reste encore plein).
Correction des liens TDP conformément à la suggestion de John Summerfield.
Version 2-7Javier Fernández-Sanguino Peña
Correction de quelques fautes qui ont été signalées par Tuyen Dinh, Bartek Golenko et Daniel K. Gebhart.
Note concernant les rootkits utilisant /dev/kmem suggérée par Laurent Bonnaud.
Correction de fautes et de FIXME par Carlo Perassi.
Version 2-6September 2002Cris Tillman
Modifications pour améliorer la grammaire et l'orthographe.
s/host.deny/hosts.deny/ (1 endroit).
Application du correctif de Larry Holish (assez gros, corrige de nombreux FIXME).
Version 2-5.1September 2002Javier Fernández-Sanguino Peña
Corrections de quelques fautes signalées par Thiemo Nagel.
Ajout d'une note de bas de page sur les conseils de Thiemo Nagel.
Corrige une URL.
Version 2-5.0August 2002Javier Fernández-Sanguino Peña
Application d'un correctif fourni par Philipe Gaspar concernant Squid qui supprime aussi un FIXME.
Encore une autre FAQ concernant les bannières de services provenant de la liste de diffusion debian-security (discussion « Telnet information » démarrée le 26 juillet 2002).
Ajout d'une note concernant l'utilisation des références croisées CVE dans l'élément de la FAQ En combien de temps l'équipe en charge de la sécurité de Debian...
Ajout d'une nouvelle section concernant les attaques ARP fournie par Arnaud « Arhuman » Assad.
Nouvelle FAQ concernant dmesg et le démarrage en mode console par le noyau.
Petites parcelles d'informations sur les problèmes de vérification de signature dans les paquets (il semble qu'ils n'aient pas passé le stade de la version bêta).
Nouvelle FAQ concernant les faux positifs des outils d'évaluation de vulnérabilité.
Ajout de nouvelles sections au chapitre qui contient des informations sur les signatures de paquet et réorganisation en un nouveau chapitre Infrastructure de sécurité Debian.
Nouvel élément de FAQ concernant Debian et les autres distributions Linux.
Nouvelle section sur les clients de messagerie avec des fonctionnalités GPG/PGP dans le chapitre outils de sécurité.
Clarification sur la manière d'activer les mots de passe MD5 dans Woody, ajout d'un lien vers PAM ainsi qu'une note concernant la définition de max dans PAM.
Ajout d'une nouvelle annexe sur la façon de créer des environnements « chroot » (après avoir joué un peu avec makejail et avoir aussi corrigé quelques-uns de ses bogues), intégration des informations dupliquées dans toutes les annexes.
Ajout d'informations complémentaires concernant le « chrootage » de SSH et de son impact sur les transferts sécurisés de fichiers. Certaines informations ont été récupérées de la liste de diffusion debian-security (juin 2002 discussion : Secure file transfers).
Nouvelles sections sur la mise à jour automatique des systèmes Debian ainsi que les dangers d'utiliser la distribution « testing » ou la distribution « unstable » du point de vue des mises à jour de sécurité.
Nouvelle section, concernant la manière de rester à jour avec la mise en place de correctifs de sécurité, dans la section avant la compromission ainsi qu'une nouvelle section sur la liste de diffusion debian-security-announce.
Ajouts d'informations sur la manière de créer automatiquement des mots de passe sûrs.
Nouvelle section relative à la connexion des utilisateurs oisifs (idle).
Réorganisation de la section sécurisation du serveur de mail suite à la discussion Secure/hardened/minimal Debian (ou « Why is the base system the way it is? » : pourquoi le système de base est-il comme ça ?) sur la liste de diffusion debian-security (mai 2002).
Réorganisation de la section sur les paramètres réseau du noyau, avec les informations fournies par la liste de diffusion debian-security (mai 2002, discussion syn flood attacked?) et ajout d'un nouvel élément de FAQ.
Nouvelle section sur la manière de vérifier les mots de passe des utilisateurs et quels paquets utiliser pour cela.
Nouvelle section sur le chiffrement PPTP avec les clients Microsoft discuté sur la liste de diffusion debian-security (avril 2002).
Ajout d'une nouvelle section décrivant les problèmes qui peuvent survenir lorsque l'on attribue une adresse IP spécifique pour chaque service, cette information a été écrite d'après une discussion qui s'est tenue sur la liste de diffusion de Bugtraq : Linux kernel 2.4 "weak end host" issue (discuté précédemment sur debian-security sous le titre « arp problem ») (démarré le 9 mai 2002 par Felix von Leitner).
Ajout d'informations sur le protocole SSH version 2.
Ajout de deux sous-sections relatives à la configuration sécurisée d'Apache (c'est-à-dire, les éléments spécifiques à Debian).
Ajout d'une nouvelle FAQ traitant des « raw sockets », une relative à /root, une partie traitant des groupes d'utilisateurs et une autre traitant des permissions des journaux et des permissions des fichiers de configuration.
Ajout d'un lien vers un bogue dans libpam-cracklib qui pourrait encore être présent... (besoin de vérifier).
Ajout de plus d'informations sur l'analyse avancée (en attente de plus de renseignements sur les outils d'inspection de paquet tels que tcpflow).
Transformation de « Que dois-je faire concernant la compromission » en une série d'énumérations et en y ajoutant plus d'éléments.
Ajout d'informations sur la configuration de Xscreensaver pour verrouiller l'écran automatiquement après une durée donnée.
Ajout d'une note sur les utilitaires que vous ne devriez pas installer sur un système. Inclusion d'une note concernant Perl et pourquoi il ne peut pas être retiré facilement de Debian. L'idée vient de la lecture des documents d'Intersect concernant le renforcement de Linux.
Ajout d'informations sur lvm et les systèmes de fichiers journalisés, ext3 est préconisé. Les informations pourraient cependant y être trop génériques.
Ajout d'un lien sur la version texte disponible en ligne (à vérifier).
Ajout d'informations additionnelles sur la protection par pare-feu d'un système local, faisant suite à un commentaire d'Hubert Chan sur la liste de diffusion.
Ajout d'informations sur les limites de PAM et de liens vers les documents de Kurt Seifried (relatifs à un de ses messages sur Bugtraq le 4 avril 2002 répondant à une personne qui « découvrit » une vulnérabilité dans Debian GNU/Linux relative à l'insuffisance de ressources).
Comme suggéré par Julián Muñoz, ajout d'informations supplémentaires sur l'umask par défaut de Debian et ce à quoi un utilisateur peut accéder si on lui a donné une invite de commande sur le système (effrayant, non ?)
Inclusion d'une note dans la section du mot de passe BIOS suite à un commentaire d'Andreas Wohlfeld.
Inclusion des correctifs fournis par Alfred E. Heggestad corrigeant beaucoup de fautes encore présentes dans le document.
Ajout d'un lien vers le journal de modifications dans la section des remerciements car la plupart des personnes qui ont contribué sont cités ici (et pas là-bas).
Ajout de quelques notes complémentaires dans la section de chattr et d'une nouvelle section après l'installation qui parle des images systèmes. Les deux idées sont la contribution de Kurt Pomeroy.
Ajout d'une nouvelle section après l'installation juste pour rappeler aux utilisateurs de changer la séquence de démarrage.
Ajout d'éléments restant à faire (TODO) fournis par Korn Andras.
Ajout d'un lien vers les recommandations du NIST sur la manière de sécuriser un DNS. Cette contribution nous est fournie par Daniel Quinlan.
Ajout d'un petit paragraphe concernant l'infrastructure des certificats SSL de Debian.
Ajout des suggestions de Daniel Quinlan concernant l'authentification SSH et la configuration d'Exim en relais.
Ajout de plus d'informations concernant la sécurisation de BIND incluant les modifications suggérées par Daniel Quinlan et une annexe avec un script pour faire quelques uns des changements commentés dans cette section.
Ajout d'un lien vers un autre élément concernant le « chrootage » de BIND (a besoin d'être fusionné).
Ajout d'une ligne de Cristian Ionescu-Idbohrn pour récupérer les paquets avec gestion des tcpwrappers.
Ajout d'un peu plus d'informations sur la configuration PAM par défaut de la Debian.
Inclusion d'une question dans la FAQ au sujet de l'utilisation de PAM pour fournir des services sans compte shell.
Déplacement de deux éléments de la FAQ dans une autre section et ajout d'une nouvelle FAQ concernant la détection des attaques (et des systèmes corrompus).
Inclusion d'informations sur la configuration d'un pont pare-feu (incluant une annexe d'exemple). Merci à François Bayart qui m'a envoyé ça en mars.
Ajout d'une FAQ concernant les MARK d'heartbeat dans le syslogd d'après une question à laquelle Noah Meyerhans et Alain Tesio ont répondu en décembre 2001.
Inclusion d'informations sur la protection contre les débordements de tampons ainsi que quelques informations sur les correctifs du noyau.
Ajout d'informations supplémentaires (et réorganisation) de la section pare-feu. Mise à jour des informations concernant le paquet iptables et les générateurs de pare-feu disponibles.
Réorganisation des informations concernant la vérification des journaux, déplacement des informations de logcheck sur la détection d'intrusion machine vers cette section.
Ajout d'informations sur la manière de préparer un paquet statique pour BIND dans l'optique d'un « chrootage » (non testé).
Ajout d'un élément de FAQ concernant certains serveurs/services spécifiques (pourrait être développé avec quelques unes des recommandations de la liste de diffusion debian-security).
Ajout d'informations sur les services RPC (et quand ils sont nécessaires).
Ajout de plus d'informations sur les capacités (« capabilities ») en matière de sécurité (et ce que fait lcap). Y a-t-il une bonne documentation sur ce sujet ? Je n'ai trouvé aucune documentation sur mon noyau 2.4.
Correction de fautes de frappes.
Version 2-4June 2002Javier Fernández-Sanguino Peña
Réécriture d'une partie de la section BIOS.
Version 2-3.1April 2002Javier Fernández-Sanguino Peña
Encadrement de la plupart des emplacements de fichiers par la balise « file ».
Correction de fautes signalées par Edi Stojicevi.
Légère modification de la section des outils d'audit distant.
Ajout d'éléments à faire.
Ajout d'informations concernant les imprimantes et du fichier de configuration de CUPS (tiré d'une discussion sur debian-security).
Ajout d'un correctif proposé par Jesus Climent concernant l'accès d'utilisateurs valables du système à ProFTPD quand il est configuré en serveur anonyme.
Petite modification aux schémas de partitionnement dans le cas particulier des serveurs de messagerie.
Ajout du livre « Hacking Linux Exposed » à la section des livres.
Correction d'une faute de frappe sur un répertoire signalée par Eduardo Pérez Ureta.
Correction d'une coquille dans /etc/ssh dans la liste de contrôle signalée par Edi Stojicevi.
Version 2-3.0April 2002Javier Fernández-Sanguino Peña
Correction de l'emplacement du fichier de configuration de dpkg.
Suppression d'Alexander des informations sur les contacts.
Ajout d'une autre adresse électronique.
Correction de l'adresse électronique d'Alexander (même si elle est commentée).
Correction de l'emplacement des clefs de versions (merci à Pedro Zorzenon pour avoir relevé cette erreur).
Version 2-2April 2002Javier Fernández-Sanguino Peña
Corrections de fautes, merci à Jamin W. Collins pour ces corrections.
Ajout d'une référence à la page de manuel d'apt-extracttemplate (documentation sur la configuration de APT::ExtractTemplate).
Ajout d'une section concernant la limitation de SSH. Informations basées sur celles qui ont été postées par Mark Janssen, Christian G. Warden et Emmanuel Lacour sur la liste de diffusion debian-security.
Ajout d'informations sur les logiciels antivirus.
Ajout d'une FAQ : journaux de su provenant du fait que cron fonctionne en tant que superutilisateur.
Version 2-1April 2002Javier Fernández-Sanguino Peña
Modifications du « FIXME » de lshell, merci à Oohara Yuuma.
Ajout d'un paquet sXid et retrait du commentaire étant donné qu'il est disponible.
De nombreuses fautes relevées par Oohara Yuuma ont été corrigées.
ACID est maintenant disponible dans Debian (dans le paquet acidlab).
Liens de LinuxSecurity corrigés (merci à Dave Wreski de nous l'avoir signalé).
Version 2-0March 2002Javier Fernández-Sanguino Peña
Transformation du HOWTO en Manuel (maintenant je peux dire RTFM).
Ajout d'informations concernant l'encapsulation TCP et Debian (maintenant plusieurs services sont compilés avec la prise en charge adéquate ; ainsi cela n'est plus un problème d'inetd).
Clarification des informations sur la désactivation des services pour la rendre plus cohérente (les informations RPC se réfèrent toujours à update-rc.d).
Ajout d'une petite note sur lprn.
Ajout de quelques renseignements sur les serveurs corrompus (toujours très approximatif).
Corrections des fautes signalées par Mark Bucciarelli.
Ajout d'étapes supplémentaires sur la récupération des mots de passe lorsque l'administrateur a paramétré paranoid-mode=on.
Ajout d'informations pour paramétrer paranoid-mode=on lorsque l'on se connecte en mode console.
Nouveau paragraphe pour présenter la configuration des services.
Réorganisation de la section Après l'installation afin de permettre une lecture plus aisée du document.
Informations sur la manière de paramétrer des pare-feu avec l'installation standard de Debian 3.0 (paquet iptables).
Petit paragraphe détaillant pourquoi l'installation par le réseau n'est pas une bonne idée et comment on peut l'éviter en utilisant les outils Debian.
Petit paragraphe sur un article de l'IEEE qui souligne l'importance d'une application rapide des correctifs.
Annexe sur la manière de paramétrer une machine snort Debian, basé sur ce que Vladimir a envoyé à la liste de diffusion debian-security (le 3 septembre 2001).
Information sur la manière dont est configurée logcheck dans Debian et comment il peut être utilisé pour paramétrer HIDS.
Informations sur les comptes utilisateurs et sur les analyses de profils.
Inclusion de la configuration de apt.conf pour un /usr en lecture seule ; copié à partir du courrier d'Olaf Meeuwissen envoyé à la liste de diffusion debian-security.
Nouvelle section sur le VPN qui contient quelques liens ainsi que les paquets disponibles dans Debian (besoin de contenu concernant l'installation de VPN et les problèmes spécifiques à Debian) basé sur les courriers de Jaroslaw Tabor et Samuli Suonpaa postés sur la liste de diffusion debian-security.
Petite note concernant quelques programmes pour construire automatiquement des prisons « chrootées ».
Nouveau sujet de FAQ concernant identd d'après une discussion sur la liste de diffusion debian-security (février 2002, commencé par Johannes Weiss).
Nouveau sujet de FAQ concernant inetd d'après une discussion sur la liste de diffusion debian-security (février 2002).
Note d'introduction sur rcconf dans la section « désactivation de services ».
Diverses approches concernant le LKM. Remerciements à Philipe Gaspar.
Ajouts de liens vers les documents du CERT et les ressources Couterpane.
Version 1-99January 2002Javier Fernández-Sanguino Peña
Ajout d'un nouveau sujet de FAQ concernant le temps de réaction à avoir pour corriger les failles de sécurité.
Réorganisation des sections de la FAQ.
Début d'une section concernant les pare-feu dans Debian GNU/Linux (pourrait être un peu élargie).
Corrections de fautes signalées par Matt Kraai.
Correction sur les informations DNS.
Ajout d'informations sur whisker et nbtscan à la section audit.
Correction d'URL erronées.
Version 1-98January 2002Javier Fernández-Sanguino Peña
Ajout d'une nouvelle section concernant l'utilisation de Debian GNU/Linux pour réaliser des audits.
Ajout de renseignements sur le démon finger d'après la liste de diffusion debian-security.
Version 1-97January 2002Javier Fernández-Sanguino Peña
Correction du lien pour Linux Trustees.
Correction de fautes (correctifs d'Oohara Yuuma et Pedro Zorzenon).
Version 1-96December 2001Javier Fernández-Sanguino Peña
Réorganisation de la section installation et suppression de services et ajout de nouvelles notes.
Ajout de quelques notes concernant l'utilisation d'outils tels que les outils de détection d'intrusion.
Ajout d'un chapitre concernant la signature de paquets.
Version 1-95December 2001Javier Fernández-Sanguino Peña
Ajout de notes concernant la sécurité de Squid envoyées par Philipe Gaspar.
Correction de liens rootkit. Merci à Philipe Gaspar.
Version 1-94November 2001Javier Fernández-Sanguino Peña
Ajout de quelques notes concernant Apache et Lpr/lpng.
Ajout d'informations concernant les partitions noexec et readonly.
Réécriture de la manière dont les utilisateurs peuvent aider aux problèmes liés à la sécurité Debian (sujet d'une FAQ).
Version 1-93November 2001Javier Fernández-Sanguino Peña
Correction de l'emplacement du programme mail.
Ajout de nouveaux sujets à la FAQ.
Version 1-92October 2001Javier Fernández-Sanguino Peña
Ajout d'une petite section sur la manière dont Debian s'occupe de la sécurité.
Clarification sur les mots de passe MD5 (merci à « rocky »).
Ajout d'informations concernant le renforcement de X par Stephen van Egmond.
Ajout de nouveaux sujets à la FAQ.
Version 1-91October 2001Javier Fernández-Sanguino Peña
Ajout d'informations détaillées envoyées par Yotam Rubin.
Ajout de renseignements sur la manière de mettre en place un « honeynet » en utilisant Debian GNU/Linux.
Ajout de TODO supplémentaires.
Correction de nouvelles fautes (merci Yotam !).
Version 1-9October 2001Javier Fernández-Sanguino Peña
Correction des « fautes d'orthographe » et nouvelles informations (contributions de Yotam Rubin).
Ajout de liens vers d'autres documents en ligne (et hors ligne) tous deux figurant dans la section (consultez Section 2.2, « Être conscient des problèmes de sécurité »).
Ajout d'informations sur la configuration d'options de BIND pour restreindre l'accès au serveur DNS.
Ajout d'informations sur la consolidation automatique d'un système Debian (par référence aux paquets harden et bastille).
Suppression de quelques TODO terminés et ajout de nouveaux.
Version 1-8October 2001Javier Fernández-Sanguino Peña
Ajout de la liste des utilisateurs et des groupes standards, donnée par Joey Hess à la liste de discussion debian-security.
Ajout d'informations sur les « rootkits » LKM (Section 10.4.1, « Loadable Kernel Modules (LKM) ») avec la contribution de Philipe Gaspar.
Ajout d'informations sur ProFTPD avec la contribution d'Emmanuel Lacour.
Rajout de l'annexe « pense-bête » d'Era Eriksson.
Ajout de nouveaux TODO et retrait de ceux terminés.
Ajout manuel des correctifs d'Era car ils n'ont pas été inclus dans la version précédente.
Version 1-7September 2001Javier Fernández-Sanguino Peña, Era Eriksson
Fautes de frappes et changements de formulation.
Changements mineurs de balises : supprimer les balises tt et les remplacer par les balises command/package.
Version 1-6August 2001Javier Fernández-Sanguino Peña
Ajout d'un lien sur le document publié dans le DDP (devrait à terme remplacer l'original).
Démarrage d'une mini-FAQ (qui devrait être élargie) avec quelques questions récupérées depuis ma boite de réception.
Ajout d'informations générales concernant la sécurisation.
Ajout d'un paragraphe au sujet de la distribution de courriers locaux.
Ajout de quelques liens vers d'autres sources d'informations.
Ajout d'informations sur le service d'impression.
Ajout d'une liste de tâches sur le renforcement de la sécurité.
Réorganisation des informations sur NIS et RPC.
Ajout de quelques notes lors de la lecture de ce document sur mon nouveau Visor :).
Correction de certaines lignes mal formatées.
Correction de fautes de frappes.
Ajout d'une idée Géniale/Paranoïaque avec la contribution de Gaby Schilders.
Version 1-5May 2001Javier Fernández-Sanguino Peña, Josip Rodin
Ajout de paragraphes concernant BIND et quelques FIXME.
Version 1-4May 2001Javier Fernández-Sanguino Peña
Petit paragraphe sur la vérification des « setuid »
Différents nettoyages mineurs.
Découverte de la manière d'utiliser sgml2txt -f pour la version texte.
Version 1-3March 2001Javier Fernández-Sanguino Peña
Ajout de mise à jour de sécurité après le paragraphe « après installation ».
Ajout d'un paragraphe ProFTPD.
Cette fois, quelque chose concernant XDM a réellement été écrit. Désolé pour la dernière fois.
Version 1-2December 2000Javier Fernández-Sanguino Peña
Beaucoup de corrections grammaticales de James Treacy, nouveau paragraphe XDM.
Version 1-1December 2000Javier Fernández-Sanguino Peña
Corrections de fautes de frappes, divers ajouts.
Version 1-0December 2000Javier Fernández-Sanguino Peña
Première publication.