Bonsoir, J'ai relu les chapitres 3 et 10 du Manuel de sécurisation. Voici mes propositions de correction.
Eric
--- after-compromise.sgml 2005-07-09 22:10:37.227047602 +0200 +++ after-compromise.relu.sgml 2005-07-09 22:55:47.071478932 +0200 @@ -12,14 +12,14 @@ réseau en débranchant la carte réseau. <!-- jusqu'a ce que vous puissiez comprendre ce que l'intrus a fait et de sécuriser --> <!-- votre machine --> -La désactivation du réseau à la couche 1 est le seul vrai moyen +La désactivation du réseau au niveau de la couche 1 est le seul vrai moyen de garder un attaquant hors d'une machine compromise. (Conseil sage de Phillip Hofmeister) <p>Cependant, certains rootkits et back doors sont capables de détecter cet événement et d'y réagir. Voir un <tt>rm -rf /</tt> s'exécuter quand vous -débranchez le réseau dy système n'est pas vraiment très drole. Si vous ne +débranchez le réseau du système n'est pas vraiment très drôle. Si vous ne désirez pas prendre le risque et que vous êtes sûr que le système est compromis, -vous devriez <em>débrancher le cable d'alimentation</em> (tous les cables +vous devriez <em>débrancher le câble d'alimentation</em> (tous les câbles d'alimentation s'il y en a plusieurs) et croiser les doigts. Ceci peut être extrême, mais en fait cela évitera toute bombe logique que l'intrus pourrait avoir programmé. Dans ce cas, le système compromis <em>ne doit pas être @@ -42,7 +42,7 @@ d'utiliser un système de fichiers autonome sur un CD-ROM avec tous les outils (et les modules noyau) dont vous pouvez avoir besoin pour accéder au système compromis. Vous pouvez utiliser le paquet <package>mkinitrd-cd</package> pour -construire un tel CDROM<footnote>En fait, c'est l'outil utilisé pour construire +construire un tel CD-ROM<footnote>En fait, c'est l'outil utilisé pour construire les CD-ROM pour le projet <url id="http://www.gibraltar.at/"; name="Gibraltar"> (un pare-feu sur un CD-ROM autonome basé sur la distribution Debian).</footnote>. Vous pourriez également trouver que le CD-ROM <url @@ -58,9 +58,9 @@ retirer l'hôte compromis du réseau et réinstaller le système d'exploitation à partir de zéro. Cela pourrait n'avoir aucun effet si vous ne savez pas comment l'intrus est devenu root. Dans ce cas vous devez tout vérifier : pare-feu, -intégrité fichier, journaux de l'hôte de journalisation, etc. Pour -plus d'informations sur quoi faire après une intrusion, voir <url name="Sans' -Incident Handling Guide" id="http://www.sans.org/y2k/DDoS.htm";> ou +intégrité fichier, les différents journaux de l'hôte, etc... Pour +plus d'informations sur quoi faire après une intrusion, reportez-vous aux documents +<url name="Sans'Incident Handling Guide" id="http://www.sans.org/y2k/DDoS.htm";> ou <url id="http://www.cert.org/tech_tips/root_compromise.html"; name="CERT's Steps for Recovering from a UNIX or NT System Compromise">. @@ -70,13 +70,13 @@ <sect>Sauvegarde du système <p>Rappelez-vous que si vous êtes sûr que le système a été compromis, vous -ne pouvez faire confiance aux logiciels qui s'y trouvent ou à n'importe quelle +ne pouvez pas faire confiance aux logiciels qui s'y trouvent ou à n'importe quelle autre information qu'il vous donne. Les applications pourraient contenir un -trojan, des modules noyau pourraient être installés, etc. +trojan, des modules noyau pourraient être installés, etc... <p>La meilleure chose à faire est une sauvegarde complète du système de fichiers -(en utilisant <prgn>dd</prgn>) après avoir démarré d'un média sûr. Les CDs -Debian GNU/Linux peuvent utiles pour cela car il fournissent un shell en +(en utilisant <prgn>dd</prgn>) après avoir démarré depuis un média sûr. Les CD-ROMs +Debian GNU/Linux peuvent être utiles pour cela car ils fournissent un shell en console 2 quand l'installation est commencée (allez-y en utilisant Alt+2 et en appuyant sur la touche Entrée). Le shell peut être utilisé pour sauvegarder les informations vers un autre endroit si possible (peut-être un serveur de fichier réseau à @@ -84,13 +84,13 @@ réinstallé). <p>Si vous êtes sûr qu'il y a seulement un module noyau trojan, vous pouvez -essayer d'exécuter l'image noyau du CD en mode <em>rescue</em>. Assurez-vous +essayer d'exécuter l'image noyau du CD-ROM en mode <em>rescue</em>. Assurez-vous aussi de démarrer en mode <em>single</em> de façon à ce qu'aucun autre processus trojan ne s'exécute après le noyau. <sect>Contacter votre CERT local <p>Le CERT (<em>Computer and Emergency Response Team</em>) est une organisation -qui peut vous aider à récupérer d'une compromission d'un système. Il y a des +qui peut vous aider à récupérer un système compromis. Il y a des CERT partout dans le monde <footnote> Voici une liste de quelques CERT, pour la liste complète, consultez le @@ -121,10 +121,10 @@ <p>Fournir à votre CERT (ou au centre de coordination CERT) des informations sur la compromission même si vous ne demandez pas d'aide peut également aider -d'autres personnes car les informations aggrégées des incidents reportés sont +d'autres personnes car les informations agrégées des incidents reportés sont utilisées pour déterminer si une faille donnée est répandue, s'il y a un nouveau ver dans la nature, quels nouveaux outils d'attaque sont utilisés. Cette -information est utilisé pour fournir à la communeauté Internet des information +information est utilisé pour fournir à la communauté Internet des informations sur les <url id="http://www.cert.org/current/"; name="activités actuelles des incidents de sécurité"> et pour publier des <url id="http://www.cert.org/incident_notes/"; name="notes d'incident"> et même @@ -134,7 +134,7 @@ name="règles de compte-rendu d'incident du CERT">. <p>Vous pouvez également utiliser un mécanisme moins formel si vous avez besoin -d'aide pour récupérer d'un compromis ou si vous voulez discuter d'informations +d'aide pour récupérer un système compromis ou si vous voulez discuter d'informations d'incident. Cela inclut la <url id="http://marc.theaimsgroup.com/?l=incidents"; name="liste de diffusion des incidents"> et la @@ -144,8 +144,8 @@ <sect>Analyse post-mortem <p>Si vous souhaitez rassembler plus d'informations, le paquetage <package>tct</package> (The Coroner's Toolkit de Dan Farmer et Wietse Venema) contient -des utilitaires qui effectuent une analyse « post mortem » d'un système. -<package>tct</package> permet à l'utilisateur de collecter des informations sur +des utilitaires qui effectuent une analyse « post-mortem » d'un système. +<package>Tct</package> permet à l'utilisateur de collecter des informations sur les fichiers effacés, les processus qui s'exécutent et plus. Voir la documentation incluse pour plus d'informations. Vous pouvez également regarder les paquets semblables <url name="Sleuthkit and Autopsy" id="http://www.sleuthkit.org/";> par Brian Carrier. @@ -172,7 +172,7 @@ un utilisateur avec des privilèges bas). Sinon votre propre système peut être victime de la porte dérobée et également contaminé ! -<p>L'analyse post mortem devrait toujours être faite sur une copie de sauvegarde +<p>L'analyse post-mortem devrait toujours être faite sur une copie de sauvegarde des données, <em>jamais</em> sur les données elles-même car elles pourraient être altérées par cette analyse (et toutes les preuves perdues). @@ -181,9 +181,9 @@ un futur proche. <p>FIXME: décrire comment faire des debsums sur un système stable avec md5sums -sur un CD et avec le système de fichiers récupérés restorés sur une partition +sur un CD-ROM et avec le système de fichiers récupérés restaurés sur une partition séparée -<p>FIXME ajouter des liens vers des papiers d'analyse post-mortem (comme le -challnge inversé de Honeynet ou les <url id="http://staff.washington.edu/dittrich/"; +<p>FIXME ajouter des liens vers des articles d'analyse post-mortem (comme le +challenge inversé de Honeynet ou les <url id="http://staff.washington.edu/dittrich/"; name="papiers de David Dittrich">).
--- before-install.sgml 2005-07-09 23:04:24.384499210 +0200 +++ before-install.relu.sgml 2005-07-10 00:38:23.083115457 +0200 @@ -21,7 +21,7 @@ <p>Remarque : certains BIOS ont des mots de passe par défaut bien connus et des applications existent également pour récupérer les mots de passe du BIOS. -Corrolaire : ne dépendez pas de cette mesure pour sécuriser l'accès console +Corollaire : ne dépendez pas de cette mesure pour sécuriser l'accès console du système. <sect>Partitionner le système <!-- l'espace disque ? FBO --> @@ -35,10 +35,10 @@ <list> <item>Une arborescence de répertoires modifiables par un utilisateur, telles que <file>/home</file>, <file>/tmp</file> et <file>/var/tmp</file>, doit être sur une partition distincte. -Cela réduit le risque qu'un déni de service par utilisateur <!-- malveillant --> +Cela réduit le risque qu'un déni de service soit provoqué par un utilisateur <!-- malveillant --> <!-- bof, l'utilisateur n'est pas nécessairement malveillant --> <!-- c'est bien : a user -DoS, deny of service par un utilisateur que tu traduis ? --> remplisse -votre point de montage « / » et rende votre système inutilisable +DoS, deny of service par un utilisateur que tu traduis ? --> en remplissant +votre point de montage « / » rendant ainsi votre système inutilisable (Note : ce n'est pas strictement vrai car il existe toujours un espace réservé à l'utilisateur root qu'un utilisateur normal ne pourra pas remplir) et cela empêche les attaques de « liens durs » (<em>hardlinks</em>). @@ -52,7 +52,7 @@ dans laquel un utilisateur local <em>cache</em> profondément une application setuid vulnérable en faisant un lien dur sur celle-ci, évitant de manière efficace toute mise à jour (ou suppression) du binaire lui-même réalisé par -l'administrateur du système. dpkg a été récemment corrigé pour empêcher cela (voir <url +l'administrateur du système. Dpkg a été récemment corrigé pour empêcher cela (voir <url id="http://bugs.debian.org/225692"; name="225692">), mais d'autres binaires setuid (non contrôlés par le gestionnaire de paquets) sont risqués si les partitions ne sont pas mises en place correctement. @@ -85,7 +85,7 @@ répertoire est sur une partition séparée, cette situation ne rendra pas le système inutilisable. Sinon (si le répertoire est sur la même partition que <file>/var</file>), le système pourrait avoir d'importants problèmes : les -entrées des journaux ne seront pas créées, aucun paquet ne pourra être installé +entrées des journaux ne seront pas créées, aucun paquet ne pourra plus être installé et certains programmes pourraient même avoir des problèmes à être exécutés (s'ils utilisent <file>/var/run</file>). @@ -113,7 +113,7 @@ vous êtes moins susceptible de perdre des données pendant le redémarrage matériel. -<item>pour le systèmes de production qui stockent des quantités importantes de +<item>pour les systèmes de production qui stockent des quantités importantes de données (comme les serveurs de courriers, les serveurs FTP, les systèmes de fichiers en réseau, etc.), cela est recommandé pour ces partitions. Ainsi, en cas de plantage du système, le serveur nécessitera moins de temps pour récupérer @@ -142,10 +142,10 @@ alors que les autres ne font que de la journalisation par méta-données, voir <url id="http://lwn.net/2001/0802/a/ext3-modes.php3";>. -<sect>Ne pas se connecter à l'Internet tant que tout n'est pas prêt +<sect>Ne pas se connecter à Internet tant que tout n'est pas prêt <p>Le système ne devrait pas -être connecté à l'Internet pendant l'installation. Ceci peut paraître +être connecté à Internet pendant l'installation. Ceci peut paraître stupide mais il faut savoir que l'installation par le réseau est une méthode d'installation habituelle. Étant donné que le système va installer et activer les services immédiatement, si le système est @@ -162,12 +162,12 @@ <p>Étant donné que l'installation et les mises à jours peuvent être faites par Internet, vous pourriez penser que c'est une bonne idée d'utiliser cette caractéristique lors de l'installation. Si le système -va être connecté directement à l'Internet (et pas protégé par un pare-feu +va être connecté directement à Internet (et n'est pas protégé par un pare-feu ou un NAT), il est plus judicieux de l'installer sans connexion à Internet et d'utiliser un miroir local de paquets contenant à la fois les paquets sources et les mises à jour de sécurité. Vous pouvez mettre en place des miroirs de paquets en utilisant un autre système connecté à -l'Internet et des outils spécifiques à Debian (si c'est un système +Internet et des outils spécifiques à Debian (si c'est un système Debian) tels que <package>apt-move</package> ou <package>apt-proxy</package> ou tout autre outil de miroir pour fournir l'archive aux systèmes installés. Si vous ne pouvez pas faire cela, vous pouvez @@ -184,7 +184,7 @@ <p> Beaucoup d'informations sur le choix de bons mots de passe peuvent être trouvées -sur l'Internet ; deux URL qui fournissent un bon résumé et une +sur Internet ; deux URL qui fournissent un bon résumé et une argumentation sont les <url name="How to: Pick a Safe Password" id="http://wolfram.org/writing/howto/password.html";> de Eric Wolfram et @@ -220,7 +220,7 @@ sur les mots de passe système. Concernant les mots de passe MD5, il s'agit de l'option par défaut quand vous installez le paquet <package>passwd</package>. Vous pouvez reconnaître les mots de -passe md5 dans le fichier <file>/etc/shadow</file> par leur préfixe $1$. +passe MD5 dans le fichier <file>/etc/shadow</file> par leur préfixe $1$. <p> Cela modifie tous les fichiers sous <file>/etc/pam.d</file> en modifiant la @@ -272,7 +272,7 @@ super démon inetd (une ligne sera ajoutée à <file>/etc/inetd.conf</file>) ou via un programme qui s'attache lui-même aux interfaces réseaux. Ces programmes sont contrôlés via les fichiers <file>/etc/init.d</file> qui sont -appelés lors du démarrage au moyen du mécanisme SysV (ou un autre) en +appelés lors du démarrage au moyen du mécanisme System V (ou un autre) en utilisant des liens symboliques dans <file>/etc/rc?.d/*</file> (pour plus d'informations sur la manière dont cela est fait, lire <file>/usr/share/doc/sysvinit/README.runlevels.gz</file>). @@ -291,7 +291,7 @@ méthodes : <list> -<item>supprimer les liens de <file>/etc/rc${runlevel}.d/</file> ou re-nommer +<item>supprimer les liens de <file>/etc/rc${runlevel}.d/</file> ou renommer les liens (de sorte qu'ils ne commencent pas avec « S ») ; <item>donner un autre nom au script <file>/etc/init.d/<var>nom_service</var></file>, @@ -345,7 +345,7 @@ démarrage), ou modifier le script <file>/etc/init.d/daemon</file> (en ajoutant une ligne <prgn>exit 0</prgn> au début ou en commentant la partie <tt>start-stop-daemon</tt>). Étant donné que les fichiers init.d sont des -fichiers de configuration, ils ne seront pas ré-écris lors d'une mise à jour. +fichiers de configuration, ils ne seront pas réécris lors d'une mise à jour. <p>Malheureusement, contrairement à d'autres systèmes d'exploitation (UNIX), les services dans Debian ne peuvent être désactivés en modifiant les fichiers @@ -495,13 +495,13 @@ <sect1>Supprimer Perl -<p>Vous devez prendre en compte qu'enlever <prgn>perl</prgn> peut ne pas très +<p>Vous devez prendre en compte qu'enlever <prgn>perl</prgn> peut ne pas être très simple (en fait, cela peut être assez difficile) sur un système Debian car il est utilisé par beaucoup d'outils système. Le paquet <package>perl-base</package> est également <em>Priority: required</em> (ce qui veut tout dire). C'est tout de même faisable, mais vous ne pourrez pas exécuter d'applications <prgn>perl</prgn> sur le système ; vous devrez également -tromper le système de gestion des paquets pour lui faire croîre que le paquet +tromper le système de gestion des paquets pour lui faire croire que le paquet <package>perl-base</package> est installé même si ce n'est pas le cas. <footnote>Vous pouvez créer (sur un autre système) un paquet bidon avec <package>equivs</package> @@ -596,7 +596,7 @@ </list> -<p>Donc, sans Perl et à moins que vous ne ré-écriviez ces outils en script +<p>Donc, sans Perl et à moins que vous ne réécriviez ces outils en script shell, vous ne pourrez probablement pas gérer de paquets (vous ne pourrez donc pas mettre à jour le système, ce qui n'est <em>pas une Bonne Chose</em>).
