Product SiteDocumentation Site

Chapitre 4. Après l'installation

4.1. S'abonner à la liste de diffusion Debian Security Announce
4.2. Faire une mise à jour de sécurité
4.2.1. Mise à jour de sécurité des bibliothèques
4.2.2. Mise à jour de sécurité du noyau
4.3. Changer le BIOS (à nouveau)
4.4. Attribuer un mot de passe à LILO ou GRUB
4.5. Désactivation de l'invite superutilisateur de l'initramfs
4.6. Enlever l'invite superutilisateur du noyau
4.7. Restreindre les accès aux consoles
4.8. Restreindre les redémarrages système depuis la console
4.9. Restriction d'utilisation des touches SysRq magiques
4.10. Monter correctement les partitions
4.10.1. Paramétrer /tmp en noexec
4.10.2. Paramétrer /usr en lecture seule
4.11. Fournir des accès sécurisés aux utilisateurs
4.11.1. Authentification utilisateur: PAM
4.11.2. Sécurité de mot de passe dans PAM
4.11.3. Contrôle de l'accès utilisateur dans PAM
4.11.4. Limites des utilisateurs dans PAM
4.11.5. Contrôle de su dans PAM
4.11.6. Répertoires temporaires dans PAM
4.11.7. Configuration pour les applications PAM non définies
4.11.8. Restreindre l'utilisation des ressources: le fichier limits.conf
4.11.9. Actions de connexion de l'utilisateur: modification de /etc/login.defs
4.11.10. Actions de connexion de l'utilisateur: modification de /etc/pam.d/login
4.11.11. Restreindre le FTP: éditer /etc/ftpusers
4.11.12. Utilisation de su
4.11.13. Utilisation de sudo
4.11.14. Désactiver des accès d'administration à distance
4.11.15. Restriction des utilisateurs
4.11.16. Audit d'utilisateur
4.11.17. Inspection des profils utilisateurs
4.11.18. Positionner des umasks aux utilisateurs
4.11.19. Limiter ce que les utilisateurs peuvent voir et accéder
4.11.20. Générer des mots de passe utilisateur
4.11.21. Vérifier les mots de passe utilisateur
4.11.22. Déconnecter les utilisateurs inactifs (idle)
4.12. Utilisation de tcpwrappers
4.13. L'importance des journaux et des alertes
4.13.1. Utiliser et personnaliser logcheck
4.13.2. Configurer l'endroit où les alertes sont envoyées
4.13.3. Utilisation d'un hôte d'archivage (loghost)
4.13.4. Permissions du fichier de journalisation
4.14. Les utilitaires pour ajouter des correctifs au noyau
4.15. Se protéger contre les dépassements de tampon
4.15.1. Correctif du noyau de protection pour les dépassements de tampon
4.15.2. Tester des programmes pour les dépassements
4.16. Sécurisation des transferts de fichiers
4.17. Limites et contrôle des systèmes de fichiers
4.17.1. Utilisation de quotas
4.17.2. Les attributs spécifiques du système de fichiers ext2 (chattr/lsattr)
4.17.3. Vérifier l'intégrité des systèmes de fichiers
4.17.4. Mise en place de la vérification setuid
4.18. Sécurisation des accès réseau
4.18.1. Configuration des options réseau du noyau
4.18.2. Configurer syncookies
4.18.3. Sécurisation du réseau pendant l'amorçage
4.18.4. Configuration des fonctionnalités de pare-feu
4.18.5. Désactiver les problèmes d'hôtes weak-end
4.18.6. Protéger contre les attaques ARP
4.19. Prendre un instantané («snapshot») du système
4.20. Autres recommandations
4.20.1. N'utilisez pas de logiciels dépendant de svgalib
Une fois que le système est installé, vous pouvez encore en faire plus pour sécuriser le système; certaines des étapes décrites ci-dessous peuvent être effectuées. Bien sûr, cela dépend vraiment de la configuration, mais pour prévenir un accès physique, vous devriez consulter Section 4.3, « Changer le BIOS (à nouveau) », Section 4.4, « Attribuer un mot de passe à LILO ou GRUB », Section 4.6, « Enlever l'invite superutilisateur du noyau », Section 4.7, « Restreindre les accès aux consoles » et Section 4.8, « Restreindre les redémarrages système depuis la console ».
Avant de vous connecter à tout réseau, particulièrement s'il s'agit d'un réseau public, vous devriez, au minimum, faire une mise à jour de sécurité (consultez Section 4.2, « Faire une mise à jour de sécurité »). Vous pourriez facultativement faire un instantané du système (consultez Section 4.19, « Prendre un instantané («snapshot») du système »).

4.1. S'abonner à la liste de diffusion Debian Security Announce

Pour recevoir des informations sur les mises à jour de sécurité disponibles, vous devriez vous abonner à la liste de diffusion debian-security-announce pour recevoir les bulletins de sécurité de Debian[9]. Consultez Section 7.1, « L'équipe de sécurité Debian » pour plus d'informations sur le fonctionnement de l'équipe en charge de la sécurité Debian. Pour des informations sur l'inscription aux listes de diffusion Debian, consultez http://lists.debian.org.
Les DSA sont signées avec la clef de l'équipe de sécurité Debian qui peut être récupérée sur http://security.debian.org.
Vous devriez également envisager de vous abonner à la http://lists.debian.org/debian-security pour des discussions générales sur les problèmes de sécurité dans le système d'exploitation Debian. Vous pourrez entrer en contact avec d'autres administrateurs système ainsi qu'avec des développeurs Debian et des développeurs amont d'outils de sécurité qui pourront répondre à vos questions et proposer leurs conseils.
FIXME : Ajouter la clef ici également?

[9] Debian Security Advisories (DSA).