Salut, voici la relecture des chapitres 2 & 3. J'ai envoyé la relecture de l'introduction il y a quelques jours ; mais ce message est tombé, semble-t-il, dans un puits de silence ! Faut-il continuer à relire ? a+
-- Philippe Batailler in girum imus nocte et consumimur igni
--- securing-debian-manual-fr.sgml.1 Sat Oct 26 17:15:48 2002 +++ securing-debian-manual-fr.sgml Sat Oct 26 16:54:36 2002 @@ -608,29 +608,28 @@ <p> Sécuriser un système Debian n'est pas différent de la sécurisation d'un autre système ; de façon à procéder correctement, vous devez tout d'abord -décider quelle en sera son utilisation. Après cela, vous devrez -envisager d'appliquer à la lettre les tâches qui vont suivre si vous -désirez réellement sécuriser votre système. +décider quelle en sera l'utilisation. Ensuite, vous devez penser aux tâches +à prendre en compte si vous désirez réellement sécuriser votre système. <p> -Vous constaterez que ce manuel est écrit a posteriori, cela étant, -vous trouverez des informations sur les tâches à réaliser avant, +Vous constaterez que ce manuel va du début à la fin, c.-à-d. que vous +trouverez des informations sur les tâches à réaliser avant, pendant et après l'installation de votre système Debian. Les tâches -peuvent aussi être découpées comme ceci: +peuvent être découpées comme ceci: <list> <item>Décider quels sont les services dont vous avez besoin et vous -limiter à ceux-là. Ceci inclus la désactivation/désinstallation des -services indésirables et l'ajout de filtres ou de tcpwrappers. +limiter à ceux-là. Ceci inclut la désactivation ou la désinstallation des +services indésirables et l'ajout de filtres de type pare-feu ou de tcpwrappers. <item>Limiter les utilisateurs et les permissions sur votre système. -<item>Durcir les services disponibles ainsi, même en cas d'intrusion, -l'impact sur votre système sera minimisé. +<item>Consolider les services disponibles ; ainsi, même en cas +d'intrusion, l'impact sur votre système sera minimisé. <item>Utiliser des outils appropriés pour garantir qu'une utilisation -non autorisée soit détectée et que vous puissiez prendre des mesures +non autorisée sera détectée et que vous pourrez prendre des mesures adéquates. </list> @@ -638,18 +637,18 @@ <sect id="references">Être conscient des problèmes de sécurité <p> -Ce manuel ne va, généralement, pas dans les détails pour démontrer que -certains problèmes sont considérés comme des risques pour la sécurité. -Toutefois, vous pourriez désirer avoir une meilleure vision de la sécurité -Unix en général et plus particulièrement celle liée à Linux. Prenez le -temps de lire les documentations relatives à la sécurité afin que -vous soyez bien informés lorsque vous êtes confrontés à différents choix -à prendre. Debian GNU/Linux est basée sur le noyau Linux, ainsi de -nombreuses informations sur la sécurité UNIX en général concernant Linux -peuvent être appliquées à d'autres distributions (même si les outils +Ce manuel n'explique pas pourquoi certains problèmes sont considérés comme +des risques pour la sécurité. Toutefois, vous pourriez désirer avoir une +meilleure vision de la sécurité sur les systèmes Unix et plus +particulièrement le système Linux. Prenez le +temps de lire les documentations relatives à la sécurité afin que, +confrontés à différents choix, vous puissiez prendre des décisions éclairées. +Debian GNU/Linux est basée sur le noyau Linux ; aussi, la plupart des +informations concernant Linux, venant d'autres distributions ou d'UNIX en +général, peuvent être appliquées (même si les outils utilisés ou les programmes disponibles diffèrent). -<p>Quelques documents pratique : +<p>Quelques documents pratiques : <list> @@ -661,31 +660,32 @@ <item>Le <url name="Security Quick-Start HOWTO for Linux" id="http://www.linuxsecurity.com/docs/LDP/Security-Quickstart-HOWTO/";> est également une très bonne base pour les utilisateurs néophytes -(aussi bien en matière de Linux qu'en sécurité). +(aussi bien en matière de Linux qu'en matière de sécurité). <item> Le <url id="http://seifried.org/lasg/"; name="Linux Security - Administrator's Guide"> (fourni dans Debian via le paquet + Administrator's Guide"> (paquet Debian <package>lasg</package>) est un guide complet qui englobe tous les problèmes de sécurité Linux, de la sécurité du noyau jusqu'au VPN. - Il est un peu obsolète (pas de mise à jour depuis 1999) et a été - remplacé par la Base de connaissance de la Sécurité Linux (actuellement - non disponible en ligne, était présent sur http://www.securityportal.com/lskb/ - (mais n'est plus disponible sur cette adresse). Cette documentation est + Il est un peu obsolète (pas de mise à jour depuis 1999) et il a été + remplacé par le <url id="http://seifried.org/lskb"; name="Linux + Security Knowledge Base "> Cette documentation est également disponible dans Debian via le paquet <package>lksb</package>. +<!-- j'ai mis à jour sur version 2.6 pb --> <item>Dans <url name="Securing and Optimizing Linux: RedHat Edition" id="http://www.linuxdoc.org/links/p_books.html#securing_linux";> vous -pouvez trouver un document similaire à ce manuel mais qui s'applique à RedHat, -quelques problèmes ne sont pas spécifiques à une certaine distribution et +pouvez trouver un document similaire à ce manuel, mais destiné à RedHat ; +certaines questions ne sont pas spécifiques à cette distribution et peuvent s'appliquer à Debian. -<item>IntersectAlliance a publié un document qui peut être utilisé comme une -référence sur la manière de renforcer les serveurs linux, il est disponible sur - <url id="http://www.intersectalliance.com/projects/index.html"; name="their site">. +<item>IntersectAlliance a publié des documents qui peuvent être utilisés +comme fiches de référence sur la manière de consolider les serveurs +linux ; ils sont disponibles sur + <url id="http://www.intersectalliance.com/projects/index.html"; name="leur site">. -<item>Pour les administrateurs réseaux, une bonne référence pour bâtir un réseau -sécurisé est le <url name="Securing your Domain HOWTO" +<item>Pour les administrateurs-réseaux, une bonne référence pour bâtir un +réseau sécurisé est le <url name="Securing your Domain HOWTO" id="http://www.linuxsecurity.com/docs/LDP/Securing-Domain-HOWTO/";>. @@ -693,13 +693,14 @@ en ajouter de nouveaux) vous devriez lire le <url name="Secure Programs HOWTO" id="http://www.linuxdoc.org/HOWTO/Secure-Programs-HOWTO.html";>. -<!-- FIXME: vérifier les URLs --> <item>Si vous pensez avoir les capacités à installer un pare-feux, vous +<!-- FIXME: vérifier les URLs --> +<item>Si vous pensez installer un pare-feux, vous devriez lire le <url name="Firewall HOWTO" id="http://www.linuxdoc.org/HOWTO/Firewall-HOWTO.html";> et le <url name="IPCHAINS HOWTO" id="http://www.linuxdoc.org/HOWTO/IPCHAINS-HOWTO.html";>. -<item>Finalement, une bonne carte à avoir sous la main est le +<item>Finalement, une bonne fiche de référence à avoir sous la main est le <url name="Linux Security RefenceCard" id="http://www.linuxsecurity.com/docs/QuickRefCard.pdf";> @@ -707,13 +708,13 @@ <p> Dans tous les cas, vous avez des informations concernant les services -expliqués ici (NFS, NIS, SMB ...) dans les nombreux HOWTO du <url +expliqués ici (NFS, NIS, SMB...) dans les nombreux HOWTO du <url name="Projet Linuxdoc" id="http://www.linuxdoc.org/";>, certains d'entre eux discutent de la sécurité d'un service donné, donc n'oubliez pas de jeter un oeil là-dessus également. <p>Les documents HOWTO du Projet de Documentation Linux sont disponibles -dans la Debian GNU/Linux via l'installation des paquets +dans Debian GNU/Linux via l'installation des paquets <package>doc-linux-text</package> (version texte) ou <package>doc-linux-html</package> (version html). Après l'installation, ces documents seront disponibles dans, respectivement, les répertoires @@ -733,8 +734,8 @@ </list> -<p>Livres divers (qui peuvent se rapporter aux problèmes concernant UNIX -ainsi que la sécurité mais spécifiquement à Linux) : +<p>Livres divers (qui se rapportent à des questions générales concernant UNIX +et la sécurité, pas spécifiques à Linux) : <list> @@ -748,7 +749,7 @@ </list> -<p>Quelques sites Web utiles pour se tenir informé de la sécurité : +<p>Quelques sites Web utiles pour se tenir informé des questions de sécurité : <list> @@ -772,9 +773,9 @@ <sect>Comment Debian gère la sécurité ? <p> -Afin d'avoir un aperçu général de la sécurité dans la Debian GNU/Linux, -vous devriez prendre note de tous les différents problèmes que Debian -rencontre afin de fournir un système sécurisé : +Tout comme vous avez une vue générale de la sécurité dans Debian GNU/Linux, +vous devez connaître les différents problèmes auxquels Debian s'attaque +afin de fournir un système sécurisé : <list> @@ -783,25 +784,26 @@ <url name="Contrat Social Debian" id="http://www.debian.org/social_contract";> : <em> Nous ne cacherons pas les problèmes. -Nous garderons toujours notre base de données des rapports de bogues ouvertes -au public. Les rapports que les utilisateurs archivent en ligne seront -immédiatement visible aux autres. +Nous garderons toujours notre base de données des rapports de bogues ouverte +au public. Les rapports que les utilisateurs remplissent en ligne seront +immédiatement visibles par les autres. </em> Les problèmes de sécurité sont abordés ouvertement sur la liste de discussion debian-security. -Les Commissions de Sécurité Debian sont envoyées sur les listes de discussions +Les alertes de Sécurité Debian <!-- voir la traduction choisie par les +spécialistes -->sont envoyées sur les listes de discussions publiques (interne et externe) et publiées sur les serveurs publiques. <item>Debian suit les problèmes de sécurité de très près. L'équipe de la sécurité -se tient à jour par rapport aux sources liées à la sécurité, la plus importante +consulte les sources liées à la sécurité, la plus importante étant <url name="Bugtraq" id="http://www.securityfocus.com/cgi-bin/vulns.pl";>, -en étant aux aguets de paquets avec des problèmes de sécurité et qui pourraient -être inclus dans Debian. +à la recherche de paquets possédant des problèmes de sécurité et qui +pourraient être inclus dans Debian. -<item>Les mises à jour liées à la sécurité sont les premières priorités. Lorsqu'un +<item>Les mises à jour liées à la sécurité sont la première priorité. Lorsqu'un problème survient dans un paquet Debian, la mise à jour est préparée aussi vite -que possible et est répartie sur nos versions stable et unstable, y compris sur -toutes les architectures. +que possible et elle est intégrée dans nos versions stable et unstable, et +pour toutes les architectures. <item>Les informations concernant la sécurité sont centralisées en un point unique, <url id="http://security.debian.org/";>. @@ -810,28 +812,31 @@ nouveaux projets de la distribution, comme les vérifications automatiques des signatures de paquets. -<item>Debian essaye de fournir un nombre profitable d'outils liés à la sécurité +<item>Debian fournit de nombreux outils liés à la sécurité pour l'administration système et la surveillance. Les développeurs essayent -solidement d'intégrer ces outils avec la distribution de façon à renforcer -les règles de sécurité. Les outils disponibles sont : vérificateurs d'intégrité, -outils d'audit, outils de durcissement, outils pour pare-feux, outils de détection -d'intrusion, etc... +de lier étroitement ces outils à la distribution de façon à créer une suite +d'outils destinée à rendre effectives les règles locales de sécurité. Les +outils disponibles sont : vérificateurs d'intégrité, +outils d'audit, outils de consolidation, outils pour pare-feux, outils de +détection d'intrusion, etc. <item>Les responsables de paquets sont avertis des problèmes de sécurité. -Ceci conduit à de nombreuses installations de services "sécurisés par défaut" -ce qui peut engendrer certaines limites, parfois, à son utilisation normale. +Ceci conduit à de nombreuses installations de service « sécurisé par +défaut » ; cela peut parfois engendrer certaines limitations à +une utilisation normale. Toutefois, Debian essaye d'équilibrer les problèmes de sécurité et la facilité -d'administration, par exemple, les systèmes ne sont pas installés désactivés comme -sur les distributions de la famille BSD. Dans tous les cas, quelques problèmes -spéciaux, tels les programmes setuid, font partie de la -<url id="http://www.debian.org/doc/debian-policy/"; name="Politique Debian">. +d'administration :; par exemple, les systèmes ne sont pas installés en +mode <em>désactivé</em> comme sur les distributions de la famille BSD. +Quelques problèmes spéciaux, tels les programmes setuid, sont abordés par la +<url id="http://www.debian.org/doc/debian-policy/"; name="Charte Debian">. </list> <p> -Ce même document essaye d'imposer, en outre une distribution sécurisée recommandable, -une source d'information sur la sécurité spécifique à la Debian qui complète d'autres -documents liés à la sécurité concernant les outils utilisés par Debian ou le système +Ce document vise à une meilleure distribution en matière de sécurité, en +publiant des informations sur la sécurité spécifiques à Debian qui complètent +d'autres documents liés à la sécurité concernant les outils utilisés par +Debian ou par le système d'exploitation lui-même (voir <ref id="references">). <chapt>Avant et pendant l'installation
--- securing-debian-manual-fr.sgml.2 Sat Oct 26 17:27:30 2002 +++ securing-debian-manual-fr.sgml Mon Oct 28 12:33:16 2002 @@ -843,131 +843,140 @@ <sect>Choisir un mot de passe pour le BIOS <p> -Avant d'installer un système d'exploitation sur votre ordinateur, établissez un -mot de passe pour le BIOS et désactivez les séquences de boot afin de rendre -inutilisable le démarrage à partir d'une disquette, d'un cdrom ou de tout autre +Avant d'installer un système d'exploitation sur votre ordinateur, créez un +mot de passe pour le BIOS. Après l'installation (une fois que vous avez rendu +possible un démarrage à partir du disque dur), retournez dans le BIOS et +changez la séquence de démarrage afin de rendre +impossible le démarrage à partir d'une disquette, d'un cdrom ou de tout autre périphérique. Sinon un pirate n'a besoin que d'un accès physique et d'une disquette de démarrage pour accéder au système complet. - +<!-- traduit selon la version 2.6 --> <p> Désactiver le démarrage sans mot de passe est solution encore meilleure. +<!-- excellent ! pb --> Ceci peut être efficace pour un serveur car il n'est pas redémarré très souvent. -Le mauvais point de cette méthode est que le redémarrage nécessite l'intervention -d'une personne ce qui peut poser des problèmes si la machine n'est pas facilement +L'inconvénient de cette méthode est que le redémarrage nécessite l'intervention +d'une personne, ce qui peut poser des problèmes si la machine n'est pas facilement accessible. <sect>Choisir un schéma de partitionnement intelligent <p> Un schéma de partitionnement intelligent dépend de l'utilisation de la machine. Une bonne règle est d'être assez large avec vos partitions et -de faire attention aux facteurs suivants : +de faire attention aux facteurs suivants : <list> -<item>Toutes arborescences de répertoires auxquelles un utilisateur a -accès, telles que /home et /tmp, se doivent d'être sur une partition -séparée. Ceci réduit le risque qu'un utilisateur malveillant remplisse -votre point de montage "/" et rende votre système inutilisable. (Note: -Ceci n'est pas forcément vrai car il existe toujours de l'espace pour -l'utilisateur root et qu'un utilisateur normal ne pourra remplir). +<item>Une arborescence de répertoires modifiables par un utilisateur, +telles que /home et /tmp, doit d'être sur une partition distincte. +Cela réduit le risque qu'un utilisateur malveillant <!-- c'est bien : a user +DoS, deny of service par un utilisateur que tu traduis ? --> remplisse +votre point de montage « / » et rende votre système inutilisable. +(Note : ce n'est pas strictement vrai car il existe toujours un espace +réservé à l'utilisateur root qu'un utilisateur normal ne pourra remplir.) <item>Toute partition qui peut fluctuer, par exemple /var (surtout -/var/log) devrait être également sur une partition séparée. Sur un +/var/log) devrait être également sur une partition distincte. Sur un système Debian, vous devriez créer /var un petit peu plus grand que la -normale car les paquets téléchargés (apt cache) sont stockés dans +normale car les paquets téléchargés (le cache d'apt) sont stockés dans /var/apt/cache/archives. <item>Toute partition où vous voulez installer des logiciels ne faisant -pas partie de la distribution devrait être sur une partition séparée. -Se référant au Standard Hiérarchique des Fichiers, ceci devrait être -/opt ou /usr/local. Si ce sont des partitions séparées, elles ne seront +pas partie de la distribution devrait être sur une partition distincte. +Selon le standard sur la hiérarchie des fichiers (FHS), c'est +/opt ou /usr/local. Si ce sont des partitions distinctes, elles ne seront pas effacées si vous devez réinstaller Debian. -<item>D'un point de vue sécurité, il est bien d'essayer de déplacer les -données statiques sur une partition donnée et de monter celle-ci en +<item>D'un point de vue sécurité, il est bien d'essayer de mettre les +données statiques sur une partition et de monter celle-ci en lecture seule. Encore mieux, mettre les données sur un périphérique en -lecture seule. Voir ci-dessous pour plus d'infos. +lecture seule. Voir ci-dessous pour plus d'informations. </list> +<!-- sup de version 2.6 pb --> + <sect>Ne pas se connecter à Internet tant que tout n'est pas prêt -<p>Le système que vous êtes sur le point d'installer ne devrait pas +<p>Le système ne devrait pas être connecté à Internet pendant l'installation. Ceci peut paraître -stupide mais c'est généralement le cas. Étant donné que le système +stupide mais il faut savoir que l'installation par le réseau est une méthode +d'installation habituelle. Étant donné que le système va installer et activer les services immédiatement, si le système est connecté à Internet et que les services ne sont pas configurés correctement vous les exposez à des attaques. -<p>Noter également que certains services peuvent avoir des trous de -sécurité qui ne sont pas encore réglés dans les paquets que vous -utilisez pour l'installation. Ceci est généralement vrai si vous -installez depuis de vieux médias (comme les CDroms). Dans ce +<p>Il faut noter également que certains services peuvent avoir des trous de +sécurité qui n'ont pas encore été corrigés dans les paquets que vous +utilisez pour l'installation. C'est généralement vrai si vous +installez depuis de vieux médias (comme des CDroms). Dans ce cas, il se peut que votre système soit compromis avant même la fin de l'installation ! <p>Attendu que l'installation et les mises à jours peuvent être -faites par Internet vous pourriez penser que cela serait une bonne idée +faites par Internet, vous pourriez penser que c'est une bonne idée d'utiliser cette caractéristique lors de l'installation. Si le système va être connecté directement à Internet (et pas protégé par un pare-feux -ou NAT), il est plus judicieux de l'installer sans connexion -à Internet et d'utiliser un miroir local de paquets des sources de -paquets Debian et les mises à jours de sécurité. Vous pouvez mettre en +ou un NAT), il est plus judicieux de l'installer sans connexion +à Internet et d'utiliser un miroir local de paquets contenant à la fois les +paquets sources et les mises à jours de sécurité. Vous pouvez mettre en place des miroirs de paquets en utilisant un autre système connecté à -Internet et des outils spécifiques Debian (si ce n'est pas un système +Internet et des outils spécifiques à Debian (si c'est un système Debian) tels que <package>apt-move</package> ou <package>apt-proxy</package> ou tout autre outil de miroir pour fournir l'archive aux systèmes installés. +<!-- sup en 2.6 pb --> <sect>Définir un mot de passe root <p> Définir un bon mot de passe est la condition de base pour avoir un système sécurisé. +<!-- sup en 2.6 pb --> -<sect>Activer les mots de passe masqués et mots de passes MD5 +<sect>Activer les mots de passe masqués et les mots de passes MD5 <!-- J'ai change ombrés par masqués car plus significatif. Le terme de shadow peut être conservé car c'est le processus "shadow" dans son ensemble. jpg --> <p> A la fin de l'installation, il vous sera demandé si les mots de passe -masqués doivent être activés. Répondez oui à cette question, ainsi les +masqués doivent être activés. Répondez oui à cette question ; ainsi les mots de passe seront stockés dans le fichier <file>/etc/shadow</file>. -Seul l'utilisateur root et le groupe shadow ont accès en lecture à ce +Seul l'utilisateur root et le groupe shadow peuvent lire ce fichier, ainsi aucun utilisateur ne sera en mesure de récupérer une copie -de ce fichier afin d'essayer de le pirater à l'aide de logiciels adéquats. +de ce fichier afin de le donner à un <em>craqueur</em> de mots de passe. Vous pouvez basculer entre les mots de passe masqués et les mots de passes normaux à n'importe quel moment en utilisant <tt>shadowconfig</tt>. De plus, pendant l'installation il vous sera demandé si vous voulez -utiliser les mots de passe MD5. Ceci est généralement une bonne idée étant -donné qu'il permet des mots de passe plus longs et une meilleure encryption. +utiliser les mots de passe MD5. C'est généralement une bonne idée étant +donné que cela permet des mots de passe plus longs et un meilleur chiffrement. <p>Lire davantage sur les mots de passes masqués sur <url name="Shadow Password" id="http://www.linuxdoc.org/HOWTO/Shadow-Password-HOWTO.html";> (<file>/usr/share/doc/HOWTO/en-txt/Shadow-Password.txt.gz</file>). - -<sect>Administrer le nombre minimum de services nécessaire +<!-- plus en 2.6 pb --> +<sect>Administrer le nombre minimum de services nécessaires <p> Les services sont des programmes tels que les serveurs ftp et les -serveurs web. Attendu qu'ils doivent <em>écouter</em> les connexions -entrantes afin de répondre aux requêtes d'ordinateurs externes voulant -se connecter au vôtre. Les services sont parfois vulnérables (entendez par -là qu'ils peuvent être compromis par certaines attaques) et ce sont des -risques de sécurité. <!-- ne peut on pas utiliser facteurs risques plutôt que +serveurs web. Puisqu'ils doivent <em>écouter</em> les connexions +entrantes qui demandent le service, des ordinateurs externes peuvent se +connecter au vôtre. Les services sont parfois vulnérables (entendez par +là qu'ils peuvent être compromis par certaines attaques) : ils créent des +risques pour la sécurité. <!-- ne peut on pas utiliser facteurs risques plutôt que risques de sécurité? Il me semble que ca passerait mieux. jpg --> - +<!-- facteurs de risque, faiseurs de risques oui pb --> <p> Vous ne devriez pas installer les services dont vous n'avez pas besoin -sur votre machine. Chaque service installé peut introduire de nouveaux, -non évidents (ou connus), trous de sécurité sur votre ordinateur. +sur votre machine. Chaque service installé peut introduire de nouveaux +trous de sécurité, peu évidents ou inconnus, sur votre ordinateur. <p> -Comme vous le savez déjà, lorsque vous installez un service donné la +Comme vous le savez sans doute, lorsque vous installez un service, la démarche par défaut est de l'activer. -Dans une installation Debian par défaut sans services installés, -l'empreinte des services actifs est assez faible et est même plus faible -quand on parle des services "réseaux". -L'empreinte de la Debian 2.1 n'était pas aussi ténue que celle de la Debian -2.2 (quelques services inetd étaient actifs par défaut) et dans la Debian +Dans une installation Debian par défaut, sans services installés, +le nombre des services actifs est assez faible et il est même plus faible +quand on parle des services <em>réseaux</em>. +Leur nombre dans Debian 2.1 n'était pas aussi faible que celui dans Debian +2.2 (quelques services inetd étaient actifs par défaut) et dans Debian 2.2 le service rpc est activé à l'installation. Rpc est installé par défaut car il est nécessaire à de nombreux services, par exemple NFS, pour tourner sur un système bien spécifique. Cependant, @@ -975,112 +984,113 @@ de le désactiver. <p> -Lorsque vous installez un nouveau service réseau (daemon) sur votre -système Debian GNU/Linux, il peut être activé de deux façons : via le -super daemon inetd (une ligne sera ajouté à <file>/etc/inetd.conf</file>) -ou via un programme qui se fixe à vos interfaces réseaux. Ces programmes +Lorsque vous installez un nouveau service réseau (démon) sur votre +système Debian GNU/Linux, il peut être activé de deux façons : via le +super démon inetd (une ligne sera ajouté à <file>/etc/inetd.conf</file>) +ou via un programme qui s'attache lui-même aux interfaces réseaux. Ces +programmes sont contrôlés via les fichiers <file>/etc/init.d</file> qui sont appelés lors du démarrage au moyen du mécanisme de SysV (ou un autre) en utilisant des liens symboliques dans <file>/etc/rc?.d/*</file> (pour plus -d'informations sur la manière dont cela est fait lire +d'informations sur la manière dont cela est fait, lire <file>/usr/share/doc/sysvinit/README.runlevels.gz</file>). <!-- La traduction de deamon existe => démon. Pourquoi ne pas l'employer? jpg --> +<!-- d'accord, pb --> <p> -Si vous voulez néanmoins avoir certains services mais vous les utilisez -rarement, utilisez les commandes update, par exemple 'update-inetd' et - 'update-rc.d' pour leur suppression du processus de démarrage. +Si vous voulez garder certains services tout en les utilisant rarement, +utilisez les commandes update, par exemple 'update-inetd' et + 'update-rc.d' pour les supprimer du processus de démarrage. -<sect1 id="disableserv">Désactivation de services daemon +<sect1 id="disableserv">Désactivation de services. <p> La désactivation d'un daemon est relativement simple. Il y a différentes -méthodes : +méthodes : <list> -<item>supprimer les liens de <file>/etc/rc${runlevel}.d/</file> ou renommer +<item>supprimer les liens de <file>/etc/rc${runlevel}.d/</file> ou re-nommer les liens (de sorte qu'ils ne commencent pas avec 'S') -<item>renommer le script (<file>/etc/init.d/_nom_service_</file>) -sous un autre nom (par exemple <file>/etc/init.d/OFF._nom_service_</file>) +<item>donner un autre nom au script <file>/etc/init.d/_nom_service_</file>, +(par exemple <file>/etc/init.d/OFF._nom_service_</file>) <item>retirer le droit d'exécution du fichier <file>/etc/init.d/_nom_service_</file>. -<item>éditer le script <file>/etc/init.d/_nom_service_</file> pour le voir -s'arrêter immédiatement. +<item>modifier le script <file>/etc/init.d/_nom_service_</file> pour qu'il +s'arrête immédiatement. </list> <p>Vous pouvez supprimer les liens de /etc/rc${runlevel}.d/ manuellement ou en utilisant <tt>update-rc.d</tt> (voir <manref section="8" name="update-rc.d">). Par exemple, vous pouvez désactiver l'exécution d'un -service dans le niveau d'exécution multi-utilisateur en faisant : +service dans le niveau d'exécution multi-utilisateur en faisant : <example> update-rc.d stop XX 2 3 4 5 . </example> -<p>S'il vous plaît, veuillez noter que, si vous <em>n'utilisez</em> pas +<p>Veuillez noter que, si vous <em>n'utilisez</em> pas <package>file-rc</package>, <tt>update-rc.d -f _service_ remove</tt> ne fonctionnera pas correctement, étant donné que <em>tous</em> les liens -ont été supprimés, seul la réinstallation ou la mise à jour du paquet -engendrera la recréation de ces liens (ce n'est probablement pas ce que -vous voulez). Si vous pensez que cela n'est pas intuitif, vous avez sans +ont été supprimés, seules la réinstallation ou la mise à jour du paquet +créeront à nouveau ces liens (ce n'est probablement pas ce que +vous voulez). Si vous pensez que ce n'est pas intuitif, vous avez sans doute raison (voir <url -id="http://bugs.debian.org/67095"; name="Bug 67095">. Depuis la page de man : - +id="http://bugs.debian.org/67095"; name="Bug 67095">. Voici un passage de la page de manuel : +<!-- traduite en français déjà ! pb--> <example> -Si n'importe quel fichier /etc/rcrunlevel.d/[SK]??nom existe déjà alors - update-rc.d ne fera rien. C'est pour cela que l'administrateur système - peut réarranger les liens, pourvu qu'il reste au moins un lien - qui n'a pas vu sa configuration récrite. +Quand un fichier /etc/rcrunlevel.d/[SK]??nom existe déjà, alors + update-rc.d ne fait rien. C'est ainsi pour que l'administrateur système + puisse réarranger les liens -- à condition qu'il en reste au moins un -- + sans que sa configuration soit réécrite. </example> <p>Si vous utilisez <package>file-rc</package> toutes les informations -concernant le démarrage des services est géré par un fichier de configuration -commun et est maintenu même si les paquets sont retirés du système. +concernant le démarrage des services sont gérées par un fichier de configuration +commun et sont conservées même si les paquets sont retirés du système. -<p>Vous pouvez utilisez TUI (Text User Interface)<--!Dois-je le traduire. Comm de jpg: Je ne pense pas.--> -fourni par <package>rcconf</package> pour faire tous ces changements facilement +<p>Vous pouvez utilisez l'interface texte (TUI Text User Interface)<!--Dois-je le traduire. Comm de jpg: Je ne pense pas.--> +fournie par <package>rcconf</package> pour faire tous ces changements facilement (<prgn>rcconf</prgn> fonctionne pour file-rc ainsi que pour les niveaux -d'exécutions normaux System V). +d'exécution normaux de type System V). <p>Les autres (non recommandées) méthodes de désactivation de services sont : <tt>chmod 644 /etc/init.d/daemon</tt> (mais ceci donne un message d'erreur au démarrage), ou modifier le script <file>/etc/init.d/daemon</file> (en ajoutant une ligne <prgn>exit 0</prgn> au début ou en commentant la partie <tt>start-stop-daemon</tt>). Étant donné que les fichiers init.d sont des -fichiers de configurations, ils ne seront pas récris lors d'une mise à jour. +fichiers de configuration, ils ne seront pas récris lors d'une mise à jour. -<p>Malheureusement, contrairement à d'autres systèmes d'exploitations (UNIX), -les services dans la Debian ne peuvent être désactivés en modifiant les fichiers +<p>Malheureusement, contrairement à d'autres systèmes d'exploitation (UNIX), +les services dans Debian ne peuvent être désactivés en modifiant les fichiers dans <file>/etc/default/_nomservice_</file>. -<p>FIXME: Ajouter des informations sur les démons de manipulation utilisant file-rc +<p>FIXME: Ajouter des informations sur la gestion des démons par file-rc <!-- J'ai utilisé démon au lieu de deamon. Quelle uniformisation? jpg --> <sect1 id="inetd">Désactivation des services inetd <p> Vous devriez arrêter tous les services non nécessaires sur votre système, comme -echo, chargen, discard, daytime, time, talk, ntalk et r-services -(rsh, rlogin et rcp) qui sont considérés fort dangereux (utilisez ssh à la place). +echo, chargen, discard, daytime, time, talk, ntalk et les r-services +(rsh, rlogin et rcp) qui sont très peu sûrs (utilisez ssh à la place). Après la désactivation de ceux-ci, vous devriez vérifier si vous avez -réellement besoin du daemon inetd. De nombreuses personnes préfèrent -utiliser les daemons plutôt que d'appeler des services via inetd. Le -La possibilité d'utiliser des "denial of service" sur inetd existe, ce +réellement besoin du démon inetd. De nombreuses personnes préfèrent +utiliser les démons plutôt que d'appeler des services via inetd. Le +La possibilité de <em>denial of service</em> sur inetd existe, ce qui peut augmenter notablement la charge de la machine. Si vous désirez toujours lancer un service du genre d'inetd, tournez-vous plutôt vers un daemon inetd plus configurable tel xinetd ou rlinetd. <p> -Vous pouvez désactiver les services en éditant directement -<file>/etc/inetd.conf</file>, mais Debian offre un meilleur moyen -de faire ceci : +Vous pouvez désactiver les services en modifiant directement +<file>/etc/inetd.conf</file>, mais Debian offre un meilleur moyen : <tt>update-inetd</tt> (qui commente les services de manière à ce qu'ils -soient facilement réactivés). Vous pouvez supprimer le daemon telnet +puissent être facilement réactivés). Vous pouvez supprimer le démon telnet en exécutant cette commande pour changer le fichier de configuration -et redémarrer le daemon (dans ce cas le service est désactivé) : +et redémarrer le démon (dans ce cas le service est désactivé) : <example> /usr/sbin/update-inetd --disable telnet @@ -1095,16 +1105,18 @@ by Alexander to the debian-security mailing list -->. Ou utiliser un autre daemon tel que <prgn>xinetd</prgn>. +<!-- sup en 2.6 pb --> + <sect>Lire les listes de discussions debian sur la sécurité <p>Cela ne fait pas de mal de jeter un oeil à la liste de discussion -debian-security-announce, où des conseils et solutions pour les paquets +debian-security-announce, où des alertes et des solutions pour les paquets sont annoncés par l'équipe sécurité de Debian, ou sur la liste debian-security@lists.debian.org, où vous pouvez participer aux discussions à propos de différentes choses liées à la sécurité Debian. -<p>De façon à recevoir d'importantes alertes concernant les mises à jour liées -à la sécurité, envoyez un émail à +<p>De façon à recevoir les alertes importantes concernant les mises à jour liées +à la sécurité, envoyez un courriel à <url name="[EMAIL PROTECTED]" id="mailto:[EMAIL PROTECTED]"> avec le mot "subscribe" dans le sujet du courrier. Vous pouvez également vous inscrire à
